Új hét, új mobilos oprendszer bétaverzió, azonban a hardcore rajongók számára talán jó hír, hogy ezúttal nem a PRIV-re, hanem az összes korábbi BB10-es készülékre érkezett új tesztrendszer, ami a soron következő 10.3.3-as verzió egyes funkcióinak kipróbálására ad lehetőséget - kizárólag a fejlesztőknek. A 10.3.3.746-os verziószámú béta kiadás autoloadere tehát nem véletlenül érhető el a Dev Alpha letöltési oldalon, az átlagfelhasználók számára erősen ajánlott, hogy várják meg a végleges kiadást, melynek megjelenésére állítólag már csak néhány hetet kell várni.

bb10_heins.jpg

Az új rendszer ezúttal szinte már csak a BlackBerry fő kompetenciájának számító biztonságra fókuszál, azaz nem várható, hogy új funkciók kerülnek majd be a menükbe, vagy éppen (megint) átrajzolják az ikonokat a dizájnerek. Persze azért ahogy az ilyenkor lenni szokás, várható, hogy a rendszerben kijavítanak egy-két, kisebb-nagyobb bosszúságot jelentő hibát - és ugyanez lesz a helyzet a várhatóan jövő év elején érkező 10.3.4-es verzióval is. 

Az új kiadást a hírek szerint megkapja minden, korábbi BB10-es készülék, vagyis a több mint három éve piacon lévő Z10-ek és Q10-ek is, a frissítések terjesztésébe azonban beleszólhatnak a mobilszolgáltatók is, így könnyen lehet, hogy a legrégebbi modellek letesztelésére már nem lesz kapacitás, vagy akarat néhol, szóval a felhasználónak valamilyen alternatíva után kell néznie ahhoz, hogy frissíteni tudja a hároméves okostelefonját.

Via BlackBerry Developer.

A BlackBerry korábban számtalanszor igyekezett bizonyítani, hogy az Android operációs rendszert sikerült úgy megerősítenie, hogy biztonságkritikus környezetben is használni lehessen (pontosabban használni merjék) a cég androidos okostelefonjait. Nem mondanám, hogy könnyű dolga volt, illetve van a gyártónak, hiszen az Androiddal kapcsolatban nem éppen a biztonság ugrik be első számú versenyelőnyként a legtöbb felhasználó fejében.

Szerencsére ezt már a Google is belátta, és a rendszert az elmúlt egy-két évben igyekezett több pilléren megerősíteni, a BlackBerry részben erre építve, részben a saját technológiáit implementálva tette biztonságosabbá a platformot.

A Google például tavaly nyár óta havonta ad ki biztonsági frissítéseket az Androidhoz, amit a független gyártók közül a BlackBerry eddig minden alkalommal átvett és továbbított a vásárlóinak, mindenféle késlekedés nélkül. Szintén része az Androidnak egy ideje a Verify Apps funkció, mely a kártékony alkalmazások kiszűrésére alkalmas háttérben futó szolgáltatás - gyakorlatilag ennek a mintájára épült fel a teljes operációs rendszer integritását felügyelő BlackBerry Integrity Detection (BID), mely kizárólag az androidos BlackBerryk exkluzív funkciója.

dtek_integrity.jpg

A BID rendszerszintű folyamatként a háttérben futva folyamatosan figyelemmel kíséri, hogy valami nem piszkált-e hozzá az operációs rendszerhez, valamilyen ismert biztonsági rést kihasználva. A szkennert a vírusirtókhoz hasonlóan a háttérben folyamatosan frissülő definíciós adatbázisokkal tartja naprakészen a BlackBerry - a BID érdekessége, hogy a legtöbb biztonsági alkalmazással ellentétben semmilyen frontendet nem biztosít, vagyis a működése és az említett frissítési folyamat teljesen láthatatlan (és kikapcsolhatatlan) a felhasználó által.

 A rendszer integritását korábban kizárólag a BlackBerry saját rendszermonitor-alkalmazása, a DTEK tudta kiolvasni, ez azonban a PRIV-re elérhető Android 6.0 frissítést követően változott. A fejlesztők mostantól a BID Framework segítségével a DTEK-hez hasonlóan lekérhetik a rendszeralkalmazástól a biztonsági állapotjelentést, így az alkalmazások egyes funkcióinak meghívása előtt ellenőrizhető, hogy a készüléket nem kompromittálták-e, azaz nem törték-e fel, vagy nem fut-e rajta valamilyen kártékony kód.

Ilyen funkcióhívás lehet például egy felhasználói név-jelszó páros beírása, ellenőrzése, valamilyen autentikációval vagy adatátvitellel kapcsolatos NFC-művelet (például mobilfizetés), vagy egy másik alkalmazás meghívása.

A BID-ben rejlő pontos lehetőségekről és az integrációs folyamatról a BlackBerry fejlesztői blogján található részletes leírás.

A különféle, okostelefonos, vagy okostelefonokon is használható chatplatformokkal ma már milliárdok csevegnek világszerte, nem csoda, hogy egyre több bűnöző szakosodik arra, hogy ezeket a felhasználókat megvezesse, így elsősorban mindenféle ravasz módszerekkel megkopassza.

Mivel a chatprogramok fejlesztői az utóbbi időben szerencsére egyre több figyelmet fordítanak a privát szféra védelmére a különféle titkosítási eljárások bevezetésével (lásd legutóbb a WhatsApp-féle végponti titkosítást), a leggyengébb láncszem a felhasználó maradt, aki sokszor önként és dalolva osztja meg az életét (és a pénzét) vadidegenekkel, vagy éppen adathalászatban utazó bűnözőkkel.

phishing.jpg

Sajnos az adathalász támadások az idő előrehaladtával egyre rafináltabbak lettek, így egyre nehezebb is felismerni őket, de ha figyelsz az alábbi figyelmeztető jelekre, jó eséllyel nem tud kicsalni belőled senki semmit chaten keresztül:

  1. Figyelj oda, kitől kapsz meghívót, illetve ki küldte neked az üzenetet. Ha teljesen ismeretlen a feladó, érdemes visszakérdezni, hogy honnan ismeritek egymást, de a legjobb az, ha teljesen figyelmen kívül hagyod az üzenetét vagy a meghívóját.
  2. Ha egy régi ismerősöd egyszer csak furcsán kezd viselkedni, meglepő, tőle szokatlan dolgokat ír, légy résen! Vagy részeg, de valószínűbb, hogy feltörték a fiókját, és azon keresztül próbálnak a bizalmadba férkőzni.
  3. A furcsa gépelési hibák is gyanúsak. Ha egy neked küldött hivatkozásban (URL) látsz furcsa, nem odaillő betűket, még gyanúsabb. Ezeket még véletlenül se kattintsd le!
  4. Ha az üzenet személytelen, gépies, az alighanem azért van így, mert személytelen gépek (vagyis robotok) küldték. Abban is biztos lehetsz, hogy az üzenetet nem egyedül neked címezték, még ha első olvasatra ez nem is feltétlenül nyilvánvaló.
  5. Amikor a feladó szokatlan dolgokat kér tőled, kezeld gyanakvóan! Chaten keresztül senkinek ne ígérj vagy küldj pénzt, és még véletlenül se oszd meg a bankkártyád adatait! Ugyanez igaz bármilyen bejelentkezési azonosítóra és jelszóra.
  6. Ötösöd volt a lottón, HURRÁ! Vagy túl jól hangzik, hogy igaz legyen? Pláne ha életedben nem lottóztál? Ne dőlj be az ilyen üzeneteknek, inkább töröld őket, és ne feledd: boldog ember nem lottózik.
  7. Ha valaki azzal fenyeget, hogy súlyos következményekkel járhat, ha nem válaszolsz AZONNAL az üzenetére, vagy nem teszel meg neki valamit AZONNAL, azért se válaszolj neki, inkább nézz szembe a nyilvánvalóan nem létező következményekkel. És egyébként is, soha ne hagyd magad sürgetni, ez ugyanis az adathalászok egyik leghatékonyabb fegyvere.
  8. Ha a küldő profilja (profilkép, név, korábbi tevékenységek - ha van) bármilyen egyéb szempontból gyanút ébreszt benned, egyszerűen hagyd figyelmen kívül az üzeneteit, vagy blokkold véglegesen.

Ha a fenti óvintézkedéseket betartod, jó eséllyel nem fognak kibabrálni veled, de ha utólag rájössz, hogy valakinek mégis sikerült túljárnia az eszeden, nincs minden veszve, ezekkel a lépésekkel mentheted a menthetőt:

  • Azonnal változtass jelszót minden általad használt online szolgáltatásban.
  • Ha bankkártyaadatokat szereztek meg tőled, azonnal értesítsd a bankodat és kérd a kártya letiltását.
  • Ha bejelentkezési adatokat adtál meg - az első lépést követően -, egy biztonságos kommunikációs csatornán jelezd az ismerőseid, chatpartnereid felé, hogy a fiókodat jó eséllyel feltörték, és ha furcsa üzeneteket kapnak a nevedben, ez ennek köszönhető.

Végül, de nem utolsósorban a megelőzéshez hozzátartozik, hogy próbálj meg változatos jelszavakat és bejelentkezési adatokat használni, és lehetőség szerint ne adj meg több szolgáltatáshoz is ugyanolyan jelszó- és felhasználóinév párost. Ahol pedig csak teheted, használj többlépcsős azonosítást a maximális védelem érdekében!

Via Inside BlackBerry blog.

A Google mobilos operációs rendszere, az Android ma a világ legelterjedtebb mobilplatformjának számít, olyannyira, hogy egyes statisztikák szerint a világon jelenleg használatos okostelefonok 85%-án ez a rendszer fut. Az informatika és a telekommunikáció világában márpedig kemény farkastörvények uralkodnak, ezen mondhatni törvényszerűségek egyike, hogy mindig a legnépszerűbb platformokat éri a legtöbb támadás.

A Google-féle Androidról persze nem csak ezért terjedt el korábban, hogy a rendszer biztonsági szempontból finoman szólva is kihívásokkal küzd, de a fejlesztők gőzerővel dolgoznak azon, hogy a felhasználókra leselkedő veszélyeket minimalizálják - még akkor is, ha a támadások nagy része valójában a felhasználók hanyagságára, nemtörődömségére, vagy figyelmetlenségére épül.

A cég az utóbbi években szerencsére eléggé transzparens módon áll hozzá a mobilos sebezhetőségek, biztonsági rések kérdésköréhez, illetve több olyan partneri megállapodást is kötött (egyebek mellett a BlackBerryvel), melyek rendszerszintű változásokkal, illetve egyes készülékgyártók közreműködésével próbálják a régi sztereotípiát megváltoztatni. 

yoy_playstore.jpg

Így például a Google minden évben kiad egy biztonsági beszámolót, melyben több aspektusból is vizsgálja a cég, hogy a korábbi időszakkal összevetve hogyan alakult a biztonsági incidensek aránya. Például a potenciálisan kártékony alkalmazások (PHA) telepítési rátája, mely a 2014-es évhez képest 2015-ben 40%-kal esett vissza, a ténylegesen fertőzött készülékek aránya pedig 0,5%-ra esett.

yoy_outsideplaystore.jpg

Fontos szempont, hogy a Google a Play Áruházba került alkalmazásokat igyekszik alaposan megvizsgálni a jóváhagyási folyamat során, így a legkisebb valószínűsége akkor van a fertőzésnek, ha valaki a hivatalos piactérről tölt le appokat a telefonjára. A Google szerint a Play Store-ból letöltött app esetén tized akkora az esély a fertőzésre, mint az egyéb (nem ellenőrzött) külső alkalmazásboltoknál. Gondolom ebből mindenkinek lejött mostanra a tanulság:

Ha jót akarsz, a Google Play Áruházból töltsd le az androidos appokat!

Egyre hatékonyabban igyekszik kivédeni a fertőzött, illetve kártékony alkalmazások telepítését az Android 4.2-es verziója óta a rendszer részét képező Verify Apps funkció, mely gyakorlatilag az Android beépített spyware/malware szekkenlő rendszere. Ez a telepítéskor és a telepítés után is ellenőrzi az alkalmazások működését, és mivel öntanuló, idővel egyre több gyanús elemet képes kiszűrni. A felhőalapú szolgáltatásnak egyébként van dolga bőven, a Google azt állítja, hogy napi szinten 6 milliárd alkalmazásra "néz rá". A Google által kiadott statisztikák szerint a Verify Appsnek köszönhetően a kéretlen adatgyűjtést végző, illetve spywar-ek fertőzési aránya egy év alatt 40, illetve 60 százalékkal csökkent (a telepített arány 2015-ben 0,08% és 0,02%.volt).

A fentiek tehát jól mutatják, hogy az Android már az átlagfelhasználó számára is jóval biztonságosabb játékszer, mint 2-3 évvel ezelőtt volt, a vállalatok szempontjából pedig egyebek mellett az olyan platformok jelentik a kulcsot a még nagyobb információbiztonsághoz, mint az egyfajta konténerizált megoldást nyújtó Android for Work, a BES részét képező Secure Work Space, vagy éppen a Samsung-féle KNOX. A BlackBerry saját mobilmenedzsment-platformja, a BES12 mindhárom rendszerrel kompatibilis, és képes akár teljesen elkülöníteni az alkalmazott privát szférájét a céges környezettől, egyebek mellett az alkalmazások letöltésének korlátozásával, vagy a céges alkalmazásboltok támogatásával.

flblackberrypriv.jpg

Az Android biztonsága szempontjából a fentieken túl kulcstényező lehet az is, hogy a rendszerszintű sebezhetőségeket az androidos gyártók milyen gyorsan javítják ki a Google közreműködésével. A minél gyorsabb reagálás érdekében az Android tavaly nyár óta gyakorlatilag a Windowshoz hasonló frissítési ciklusokat követ, vagyis havonta jönnek a rendszerhez a frissítőcsomagok, melyeket a gyártók kiadhatnak a saját készülékeikre.

Itt azért láthatóan még van hová fejlődni, a havi frissítéseket ugyanis a jelek szerint nagyon kevés gyártó készíti el, és küldi le a készülékekre időben -- többnyire a szolgáltatók jóváhagyatási procedúrája miatt, vagy arra hivatkozva. A BlackBerry gyakorlatilag a mai napig az egyetlen olyan független androidos gyártó, mely a félig-meddig a Google égisze alatt készülő Nexusokkal egy időben, vagy akár azoknál korábban leküldi a havi biztonsági frissítéseket a telefonokra.

Via Google, via HWSW.

Eddig kellett várni arra, hogy a BlackBerry részéről valamilyen reakció szülessen a média által múlt hét végén felkapott "sztorira", miszerint a mindig is szuperbiztonságos mobil megoldásairól híres gyártó telefonjait a kanadai rendőrség már "2010 óta lehallgatja". Ez persze így ebben a formában erős csúsztatás, de ezt már a múlt héten egy posztban részleteztem, a hivatalosnak tekinthető reakcióban pedig valójában semmi újdonságot nem mond John Chen, a BlackBerry elnök-vezérigazgatója.

A BlackBerry ugyanis régóta kitart azon álláspontja mellett, hogy a tech cégeknek a törvényes keretek közt, megfelelő etikai normák szerint igenis együtt kell működniük a nyomozó hatóságokkal annak érdekében, hogy bizonyos, a társadalom egésze, vagy jelentős része számára potenciális fenyegetést jelentő csoportokat (jellemzően terroristákat, szervezett bűnözői hálózatokat) lekapcsolhassanak.

chen_perfect.jpeg

Ennek a kérésnek a cégek egyébként saját belátásuk szerint, saját, kvázi etikai kódexük alapján tehetnek eleget, vagy utasíthatják el (vállalva annak jogi és egyéb következményeit), illetve vannak olyan helyzetek, amikor - az adatforgalom jellegéből adódóan - nem is tudnak eleget tenni ezeknek a kéréseknek, akkor sem, ha akarnának. Ilyen, nyilvános etikai kódexe amúgy a BlackBerrynek is van, itt lehet olvasgatni (angolul), tanulságos olvasmány, főleg újságíróknak.

A múlt héten nyilvánosságra került ügy kapcsán a BlackBerry voltaképpen semmit sem cáfol, Chen ugyanakkor hozzáteszi, hogy a BlackBerry mindvégig a saját maga által megállapított etikai normák szerint működött együtt a kanadai hatóságokkal, melynek végeredményeként egy maffiahálózat prominens tagjai rács mögé kerülhettek. A BlackBerry ezzel együtt határozottan tagadja, hogy a BES szervereken keresztüli adatforgalom lehallgatható (ezt mondjuk az ominózus cikk sem állította), illetve emlékeztet arra, hogy volt már rá példa korábban (nem is olyan rég), hogy kerek-perec megtagadta a cég, hogy egy kormányzat (Pakisztán) kénye-kedve szerint hozzáférhessen az országon belül zajló BlackBerry-adatforgalomhoz.

Nem minden országgal volt ilyen szigorú a BlackBerry (bár a fent belinkelt etikai kódex szerint nincs kivétel), vegyük például Indiát, ahol 2013-ban olyan megállapodás születhetett a cég és a helyi kormányzat között, hogy a BlackBerry adatforgalom egy részéhez jogállami keretek között hozzáférést kaphatnak a hatóságok a mobilszolgáltatókon keresztül. A BES adatforgalom itt sem volt érintett.

A fent belinkelt etikai normák értelmében egyébként az egyedi esetek kommentelése, vagy az azzal kapcsolatos bármilyen spekulálás a BlackBerry számára tabu, ennek megfelelően John Chen is gyorsan rövidre zárja a témát.

Most már tényleg csak az a kérdés - legalábbis számomra -, hogy ez az egész ügy miért pont most ütötte fel (újra) a fejét.

Via Inside BlackBerry blog.

Tegnap futótűzként kezdett terjedni az interneten a hír, miszerint a kanadai yard 2010-től kezdődően sikeresen visszafejtett egy bűnügy kapcsán bizonyos BlackBerryk közti kommunikációt. Az ügyet exkluzívként tálaló Vice News cikke azt sugallja, hogy a nyomozószerveknek valahogy a birtokába került az a mesterkulcs, amivel ezt megtehették, bár azt senki nem tudja biztosan, hogy ez pontosan hogyan került hozzájuk, és még mindig használják-e "megfigyelésre". 

A sajtó persze - részben az Apple-FBI csörte hatására - felkapta a sztorit, a témában megjelent cikkek egy része azonban szokás szerint köszönőviszonyban sincs a valósággal, de legalábbis némi pontosításra szorul. 

Először is, több cikk határozottan állítja, hogy hat évvel ezelőtt a kanadaiak kezébe került mesterkulcs a BBM titkosítását oldja fel, illetve kvázi akinek ez a kulcs a birtokába kerül, az kénye-kedve szerint beleolvashat bárkinek az üzeneteibe. Ez azonban egyértelműen hülyeség, mivel még a forrás cikk is PIN to PIN üzenetet ír, aminek kétségtelenül van köze a BBM-hez, nagyjából annyi, mint szekérnek a Lamborghinihez (gyk mindkettőnek négy kereke van).

A fenti hasonlat abból a szempontból is találó, hogy a PIN to PIN üzenetek tekinthetők a BBM ősének: A rendszer arra épült, hogy két BlackBerry közt direktben lehessen üzenetet küldeni a BlackBerry (akkor még RIM) szerverén keresztül, a készülékek egyedi azonosítóját (vagyis a PIN-t - aminek semmi köze SIM-ek, vagy bankkártyák PIN-jéhez!) felhasználva. A PIN üzenetek 168 bites 3DES titkosítást használtak, a visszafejtéshez szükséges univerzális kulcsokat pedig minden BlackBerry tartalmazta gyárilag. Vagyis aki ennek a kulcsnak a birtokában van (volt), és valahogy hozzájut(ott) a készülékek közti kódolt adatfolyamhoz, minden üzenetbe beleolvashat(ott). Nagyjából ezt érte el a kanadai rendőrség 2010-ben.

bbm_encryption.png

A BBM ehhez képest ma már erősebb titkosítást használ, így a 3DES titkosítás felett egy másik titkosítási réteg (TLS, vagyis Transport Layer Security) is húzódik. Ez a titkosítási módszer (amit többek közt a banki kommunikációban is használnak) máshogy épül fel, mint a 3DES, vagyis nem létezik egy olyan univerzális, mindenható kulcs, amivel minden üzenetet vissza lehetne fejteni. A (nagy)vállalatoknak kínált BBM Protected még ezt a titkosítási szintet is megemeli egy harmadik titkosítási réteg, a PGP beiktatásával, ami a váltakozó kulcspárok miatt a manapság elérhető egyik legbrutálisabb titkosítási metódus.

Magyarul ha BlackBerryd van, vagy BBM-et használsz más készüléken, ez a mostani "leleplezés" jó eséllyel egyáltalán nem érint téged, ha pedig 4-5 évnél régebbi BlackBerry típust használsz és még mindig PIN-üzenetekkel kommunikálsz valakivel, aki hozzád hasonlóan 4-5 évnél régebbi BlackBerryvel nyomul, akkor meg magadra vess.

Az ügy persze ettől még felvet bizonyos kérdéseket, például hogyan került az ominózus mesterkulcs a kanadai rendőrökhöz, illetve a rendőrség miért nem a mesterkulccsal rendelkező BlackBerrytől kérte az érintett adatok (kommunikáció) kiadását - ami egyébként a legális útja lenne egy nyomozati tevékenységnek. Vagy miért pont most ütött be a mennykő, amikor az ügyben érintett bírósági tárgyalás alapján évek óta kvázi nyilvános volt, hogy a kanadaiak BlackBerryk közti kommunikációt hallgattak le.

Itt tartunk most, remélhetőleg a BlackBerry is ismerteti mielőbb az álláspontját a témában, és tisztáz néhány hülyeséget, amit az utóbbi órákban produkált a netes hírgyár.