CDR.cz - Vybráno z IT

Diskuse k CDR SecUpdate SPECIÁL: Jak se dostat k citlivým datům iPhonu za pár sekund

To je právě ono, když si Apple myslí, že jejich systém je a zůstane neohrožený. Opravdu naivita

+1
-5
-1
Je komentář přínosný?

Tohle není jen o Apple, tohle je primárně o tom, že

a/ lidi věří smartfounům příliš a ukládají na ně citlivá data a dovolují přístup k citlivým datům uloženým jinde bez dalšího ověření (resp. kolik lidí z menších firem má firemní notebook chráněný kvalitním heslem, šifrovaná data ...? Ze zkušenosti vím, jak se lidi tváří kysele, když musí používat více hesel - jedno k poště, jedno k VPN, jedno ke sdíleným souborům ... Smartfoun považuji prakticky za regulérní počítač než jen telefon, proč by měl být výjimkou?)

b/ existuje jednoduchý způsob, jak z něj data dostat bez kvalitní autentikace (Má vůbec nějaký výrobce dost odvahy, aby v případě chybné autentikace vyhodnotitelné jako útok prostě obsah telefonu/zařízení bez náhrady a možnosti obnovení smazal? To je podle mne jediná správná cesta. Zálohování dat by mělo být dovoleno až po důkladnější autentikaci - něco jako sudo v Linuxu a root účet s kvalitním heslem)

c/ získaná data nejsou kompletně šifrovaná něčím odolným (a to máme tolik způsobů jak šifrovat a mnoho z nich je i účinných, šifrování by mělo být by default a ne jako komplikace pro uživatele)

iPhone je teď zrovna skvělým příkladem lehkomyslnosti, ale stejně tak to může být cokoli jiného. Typicky ty mraky flashdisků s firemními dokumenty, které sebou občas lidi nosí. A ztracený flashdisk za pár korun narozdíl od telefonu nikdo nehledá, pokud zrovna data nepotřebuje.

I když bych chtěl článek považovat za dobrý argument proti smartfounům, stejně mne nikdo nebude poslouchat a kdybych se tomu pokusil zabránit, tak si radši najdou admina, který je nebude obtěžovat kecama o zabezpečení.

+1
-9
-1
Je komentář přínosný?

Nesnáším prznitele češtiny, kteří místo českého slova "Ověření" používají anglicismus "autentikace". Měl byste se zamyslet nad tím, jestli se cítíte jako Čech a pokud ne, tak se rychle odstěhujte do států mluvících anglicky.

+1
+6
-1
Je komentář přínosný?

Já taky nemám rád nadužívání cizích slov a už vůbec ne zmršených slov cizího jazyka. Leč český jazyk je živý, stále se vyvíjející a ani já, ani Ty s tím nic nenaděláme :-)
Autentizace je v současné době přejaté slovo. Ano, používá se pro ověření totožnosti (člověka i stroje), zpravidla ve smyslu "strojové ověření totožnosti". Jo jasně, misto "totožnost" často používáme "identita".
Souvisí to s tím, že někde na začátku je někdo, kdo neumí pořádně cizí jazyk (Anglicky), případně neumí ani pořádně Česky. Pak prostě používá anglické slovo místo českého. Vznikne z toho odborný termín, nad kterým už pak (skoro) nikdo nepřemýšlí...

+1
-7
-1
Je komentář přínosný?

moc se divas na spionske filmy ;-)

+1
-7
-1
Je komentář přínosný?

Ona kolikrát trocha paranoie není na škodu, zvlášť když se zabezpečení chytrých telefonů opravdu bere často na lehkou váhu. Průmyslová špionáž není ničím nereálným.

Lidé věří smartphonům a často si neuvědomují, jaké to je riziko. Je to prostě něco nového, tolik se o tom nemluví a možná by přílišná pozornost ohledně bezpečnosti ani nebyla zrovna po chuti výrobcům.. Určitě bych přirovnal operační systémy chytrých telefonů k desktopovým OS.

+1
0
-1
Je komentář přínosný?

To není jen o špiónských organizacích s třípísmennou zkratkou :-)

To je v první řadě o tom, že svět je plný zlodějů, kteří se snaží dostat snadno k cizímu majetku, krádežemi čísel kreditních karet počínaje, přes rozesílání spamu, krádeže obchodních tajemství, kontaktů, nákupy na cizí účet, ukrývání vlastní identity při páchání zločinu, phishing, botnety atd... A ačkoli je zločinců malé procento, tak jsou snaživí a dovedou napáchat značné škody. A hlavně spousta lidí ani netuší, co všechno se dá zneužít, nevědí jak se chovat, nepřikládají tomu důležitost. A co je ještě horší, tak spousta zodpovědných (a schopných) adminů má potíže zcela důvěřovat svým systémům (obecně, nejenom smartfounům), prostě proto, že jsou příliš rozsáhlé, těžko kontrolovatelné a metody skrývání velmi propracované (detekce průniku taky, ale občas poněkud se zpožděním a ne vždy lze použít).

+1
+6
-1
Je komentář přínosný?

Internetový svět nabývá obrovských rozměrů, nejen (ale především) díky finančním transakcím všeho druhu. Asi bych o zformuloval spojením "kde se dá něco ukrást, tam je zloděj" :)

Bezpečnostní povědomí se dá zvednout pouze vzděláváním (ať už povinným či nepovinným), ne nadarmo vychází každé pondělí CDR SecUpdate (+ SPECIÁLy).

+1
0
-1
Je komentář přínosný?

Neni to neco noveho. Smartphone je proste pocitac. Kazda snaha predstavit smartphone jako neco jednodussiho co muze pouzivat kazdy blbec vede NEVYHNUTELNE ke katastrofalni bezpecnosti.

+1
-13
-1
Je komentář přínosný?

Neměl jsem na mysli ani tak smartphone jako takový (to opravdu není nic nového), ale spíše zabezpečení dat na smartphonech.. Jinak s vámi souhlasím, v jednoduchosti je sice síla, ale za jakou cenu.

+1
-4
-1
Je komentář přínosný?

Řešení existuje asi jediné, pokud nemáme možnost rychle zadávat dlouhý klíč (biometrická čtečka apod.). Data mít šifrovaná velmi silným klíčem, který není reálné dešifrovat hrubou silou. Tento dlouhý klíč mít uložený v HW čipu, ze kterého není možné jej snadno dostat a který jej vydá pouze po zadání krátkého klíče (pinu nebo tak něčeho) a v případě několika málo špatných pokusů klíč už nikdy nevydá (nejlépe smaže). Původní dlouhý klíč lze mít pro případ špatného zadání zálohovaný na bezpečném místě nebo chráněn dlouhým heslem (passphase).

Samozřejmě někde v laboratoři by to z toho čipu někdo dostal, ale útočníků s takovým zázemím je podstatně méně. Pokud už si kvůli tomu pořídí takovou laboratoř, tak ho asi nezastaví řádná ochrana mobilu.

+1
-16
-1
Je komentář přínosný?

Netvrdím, že se do toho nejde dostat (nevím), ale třeba Android umožňuje - co vím ICS a dál - šifrovat souborový systém jak interní, tak na SD kartě. Takže root asi nestačí.
Jinak samozřejmě vše okolo, ale to už asi každý smartphone, což už asi obejít jde - firemní politikou vynutitelné lepší heslo, zamykání displeje, vyčištění mobilu po pár chybných pokusech o zadání, vzdálený výmaz atd.
To už musíte opravdu vědět, jak na to.

+1
-3
-1
Je komentář přínosný?

nech sa na mna prosim nikto nehneva, ale clanok trochu zbytocny. ked uz niekomu zoberiete iphone a spravite z neho zlaohu (backup) cez itunes, tato zaloha sa da nahrat na rovnaky model iphone a mate tak vytvoreny prakticky klon telefonu a nemusite lustit ziadne hashe a cumiet do xml-iek.

+1
-2
-1
Je komentář přínosný?

Dovolím si silně oponovat:

1) Co já vím, tak záloha nahraná do jiného telefonu nepřenáší non-apple app data (viz třeba http://osxdaily.com/2010/10/21/restore-iphone-from-backup/ ), takže bychom o důležitá data přišli a to je nežádoucí.

2) Paradoxně přímo z iOS nedostanete důležité informace jako poloha, čas, info o smazaných smskách, mailech a mnohé další věci. Navíc kdyby byla záloha šifrovaná, nahrát do telefonu nepůjde (musí se "cracknout").

+1
-7
-1
Je komentář přínosný?

robim servis iphone, takze viem celkom dobre co sa prenasa. a prenasa sa uplne vsetko, ak neverite, mozete si to vyskusat alebo vam to mozem aj osobne ukazat =) ved logicky, aky by to bol backup, keby vam neobnovi kalendar, ci kontakty?! je to pisane aj v tom linku, co ste poslali: 'Be aware this process restores the contacts, calendars, notes, text messages, and settings...'. obnovi to proste uplne vsetko vratane galerie, nastaveni mailovych uctov, apple id a pod.

+1
-5
-1
Je komentář přínosný?

Měl jsem na mysli komentář k článku, cituji:

"BEWARE: restoring from a backup to a different device than the original backup device (like if you upgrade or get a AppleCare replacement) will NOT restore your non-apple application data. You will need something like http://priddysoftware.com/software/iPhoneRescue/ to get at your application data but restoring that data is another issue.

I am an iOS developer with productivity apps out there who has experienced this pain. I really dont understand why apple is not allowing the restoration of the non-apple application data to upgrade/replacement devices."

Nejsem servisák, takže nemohu mluvit z praxe, ale tohle mi přijde docela logické - 3rd party apps data to neobnoví (a co potom, když jsou důležitá?).

Samozřejmě, že se obnoví kontakty, fotky a kalendář, proč by se jinak dělala záloha - na tom se shodujeme :)

Každopádně, a musím se opakovat, i kdyby se obnovily i smazané sms a podobné informace, tak se k nim z iOS prostředí nedostaneme (bez jailbreaku). Stejně tak nelze obnovovat ze zašifrované zálohy (tuším že to Apple řeší heslem k záloze přes iTunes).

+1
-5
-1
Je komentář přínosný?

ano, sifrovana zaloha je mozna, ale este som sa so ziadnou realne nestretol, uzivatelia iphone zvacsa nebyvaju velmi technicky zdatnymi, aby nieco take riesili... neoficialne aplikacie sa neobnovia, to je jasne, asi sme sa na zaciatku zle pochopili. pisal som o tom, ze ked mate zalohu (nesifrovanu), mozete ju obnovit aj do ineho telefonu a v tom budu rovnake kontakty, maily, spravy a pod (zmazane spravy tam ale nie su). takze najjednoduchsie riesenie pre ziskanie informacii je proste nahrat to do druheho telefonu a mate prakticky jeho kopiu a netreba k tomu ani nejaky extra skill. v tej vytvorenej kopii iphone si nasledne dohladate informacie, ktore vas zaujimaju. po nahrati takejto zalohy treba telefon este aktivovat, to je velmi jednoduchy ukon, vlozenim spravnej sim a odklikanim par veci na obrazovke. v pripade, ak je telefon neblokovany na operatora, aktivovat sa da vlozenim akejkolvek funkcnej sim. pripadne je aj mnoho sposobov, ako to aktivovat cez windows.

+1
-10
-1
Je komentář přínosný?

To, že znáte lepší způsob, jak si získaná data prohlédnout, nedělá tenhle článek zbytečným. Hlavním obsahem sdělení toho článku totiž bylo: "Podívejte se, jak snadno se může špión/hacker/... dostat k datům z vašeho iPhonu!". Přičemž nejdůležitějším slovem v té větě není "jak" (způsob), ale "snadno" (jde to opravdu lehce). A jestli to jde snadno způsobem A nebo snadno způsobem B, to je už vedlejší.

+1
-1
-1
Je komentář přínosný?

+1 (Proč tu sakra to tlačítko pořád nemáme. Musím to popohnat. :-))

+1
-3
-1
Je komentář přínosný?

Trochu off-topic: Nenapadá někoho, jak v nalezeném iPodu nano nalézt majitele pro vrácení?

+1
+5
-1
Je komentář přínosný?

Pro psaní komentářů se, prosím, přihlaste nebo registrujte.