Az IT-biztonság egyik kőbe vésett alaptörvénye manapság, hogy lehetőleg minél bonyolultabb, nehezebben kitalálható jelszót kell választani a különböző eszközeink, internetes fiókjaink számára. Ez azért van így, mert a hosszabb, többféle karakterből (betűk, számok, szimbólumok keveréke) álló jelszót nehezebb kitalálni, ami az egyik kézenfekvő módja a törésnek. Az ilyen jelszavakkal azonban van egy elég súlyos bökkenő: ki tudja megjegyezni azt, hogy W322+'@rjDvM9, netán azt, hogy rel)!IHX38DJzv?

password.jpg

Szerencsére a jól megalkotott biztonsági rendszereknél nem kell ilyen bonyolult jelszavakat memorizálni. Például ott vannak a bankkártyákhoz tartózó PIN-ek, melyek csupán négy karakterből állnak, ráadásul mind a négy szám, mégis rá merjük bízni erre a látszólag elég vérszegény védelemre a kisebb-nagyobb vagyonunkat. Óvatlanság lenne? Aligha, mivel három helytelen PIN-beütést követően a kártyát letiltja a bank.

Valami hasonló az oka annak, hogy a BlackBerryken nem kell a fentiekhez hasonló, rémes kódsorokat bepötyögni ahhoz, hogy feloldjuk a képernyőzárat. A BlackBerryk jelszavas védelmi rendszere ugyanis nem engedi, hogy valaki korlátlanul próbálkozzon a jelszóbevitellel, de legalábbis tíz érvénytelen próbálkozás után jön a daráló, vagyis elindul a teljes készüléktörlés, ami egyrészt mindent kipucol a memóriából, másrészt legalább fél óráig tart, addig pedig semmit nem lehet csinálni a telefonnal.

Egy véletlenszerűen kiválasztott, kizárólag négy kisbetűből álló jelszót egyébként átlagosan olyan 228 ezer próbálkozásból lehet feltörni, vagyis annak az esélye, hogy valaki tíz próbálkozásból eltalálja a kódot, nagyjából 0,002%. Nyilván meg lehet könnyíteni az illetéktelenek dolgát az olyan jelszavakkal, mint az "1234", vagy a "jelszó" és társai, de ez kábé olyan, mintha ráírnánk a bankkártyánkra a PIN-ünket - és ugye ilyen böszmeségre senki nem vetemedik?

Az Inside BlackBerry blog nyomán.

Címkék: biztonság jelszó blackberry

A hét eleje óta tele van az internet azzal, hogy egy állítólagos hacker állítólag egy egyébként tök kommersz módszerrel állítólag száznál is több híresség állítólag meztelen fotóit lopta el az Apple online szolgáltatásából, az iCloudból. A problémát tehát sokan, sokféleképpen kitárgyalták már az interneten és mindenféle egyéb médiumokban, még az Apple is nyilatkozott a témában, félig-meddig elismerve a felelősségét, de azért kicsit az óvatlan celebekre is rákenve a szart. A jelenség éppen ezért részben a BlackBerry számára is adhat lehetőséget némi rivaldafényre -- újra.

Azért mondom, hogy újra, mert pár évvel ezelőtt nagyjából minden, magára kicsit is adó amerikai híresség a BlackBerryjével fotózkodott, a kanadai gyártó készülékei sokáig amolyan celeb-ikonnak számítottak. Nem véletlenül, a BlackBerry kezdetek óta legendás biztonsága szavatolta, hogy senki nem kukkanthat be csak úgy egy híresség e-mailjeibe, névjegyzékébe, vagy SMS-eibe, netán BBM-üzeneteibe, ami lássuk be, bizonyos szempontból még annál is nagyobb károkat okozhat, hogy valakiről meztelen képek jelennek meg az interneten (meg aztán ne feledjük, hogy az emberek egyáltalán nem biztos, hogy minden celeb meztelen fotójára kíváncsiak).

johansson.jpgEzt a képet sem a BlackBerryjéről lopták el Scarlett Johanssonnak

A BlackBerry megoldásait használva a mostani eset több okból kifolyólag sem fordulhatott volna elő szegény sorsú celebnőkkel. Először is, a BlackBerrynek (még) nincs saját online tárhelye, ahová képeket lehetne feltölteni a készülékről, vagyis nincs mit ellopni a BlackBerry szervereiről.

De mi van, ha illetéktelenek kezébe jut a mobil? Abban az esetben, ha jelszó védi (és ugye védi?) a telefont, a tudomány mai állása szerint nem igazán lehet mit kezdeni vele, ráadásul a brute force megoldások sem működnek, mivel tíz helytelen próbálkozás után a készülék nemes egyszerűséggel törli a teljes memóriát, meztelen fotóstul, névjegyzékestül, mindenestül (ha nagyon ki akarsz cseszni egy haveroddal, akinek jelszó védi a BlackBerryjét, nyugodtan próbáld csak ki).

Vajon meg lehet-e kerülni ezt a biztonsági kerítést a BlackBerry ID (az appleID megfelelője) jelszavának a feltörésével? A válasz ismét csak nem, mivel a BlackBerry ID esetében a jelszó reseteléséhez egyfelől e-mail cím megadása szükséges, ráadásul még egy undok kis ellenőrző kódot (captcha) is be kell gépelni, ami pont az olyan brute force megoldások ellen hatékony, mint amivel az érintett celebek appleID-jét is feltörték. Mert hogy az Apple a két biztonsági lépcsőfok (e-mail kontroll, captcha) egyikét sem alkalmazta.

Azért gyorsan leszögezem, feltörhetetlen rendszer nincs, de ha csak a BlackBerryn múlik, egyetlen fotó, illetve semmilyen személyes adat, információ nem kerülhet avatatlan kezekbe, vagy legalábbis csak aránytalanul nagy energiaráfordítás révén. Ráadásul a kanadai gyártó az egyetlen olyan okostelefon-gyártó a világon, melynek az adaton kívül a beszédhívások magas szintű titkosítására is van megoldása -- de ennek már egészen másfajta celebek veszik hasznát, olyanok, akikről végképp senki sem szeretne meztelen képeket látni az interneten. Ők a politikusok.

Címkék: apple biztonság celeb blackberry icloud

Személyes adatokat, fotókat, videókat illetve más, személyes használatú digitális tartalmakat lehet levadászni a használtan áruba bocsátott okostelefonokról, még akkor is, ha a felhasználó az újraértékesítés előtt gondosan törölt mindent a készülék memóriájából -- hozzá ránk a frászt az egyik legismertebb antivírus-szoftver, az Avast készítői által kiadott tegnapi sajtóközlemény.

shredder.jpg

A fejlesztőcég mindezt egy tesztben igyekezett bizonyítani, amiben véletlenszerűen összevásároltak 20 darab használt okostelefont, amelyekről temérdek mennyiségű képet, e-mailt, SMS-t és névjegyet tudtak kibányászni olyan egyszerű eszközökkel, melyek mindenki számára elérhetők. Durva, mi? Lefogadom, hogy az ominózus használt készülékek közt egyetlen BlackBerry sem volt -- és nem azért, mert BlackBerryre egyébként nem érhető el az Avast mobilos terméke.

Hanem mert semmi szükség nincs rá. A BlackBerry OS, illetve a BB10 máig a világ legbiztonságosabbnak tartott mobilos operációs rendszere, és félreértés ne essék, ebben benne van az is, hogy a készüléken tárolt adatokat biztonságosan lehet törölni, ha már nincs rájuk szükség. Talán nem véletlen, hogy a BlackBerryk menüjében a gyári adatok visszaállítása funkciót szó szerint biztonsági törlésnek nevezik (és nem véletlen az sem, hogy egy iratmegsemmisítő az ikonja). Ha egyszer egy ilyen törlést ráeresztesz a BlackBerrydre, akkor a tudomány mai állása szerint nincs az az egyszeri halandók számára is elérhető módszer, amivel vissza lehet hozni a tartalmat.

secuwipe.jpg

Aki már csinált egyébként ilyen biztonsági adattörlést, annak bizonyára nem újdonság, hogy a művelet valami irgalmatlan hosszú ideig tart, akár egy órán keresztül is szüttyöghet a telefon, mire újra lehet használni. A hosszadalmas procedúrát megmagyarázhatja, hogy a készülék szoftvere ilyenkor a felhasználói memóriát (tehát azt a területet, ahol a felhasználói adatok, appok stb. találhatók) gyakorlatilag bitről bitre újraírja, nem egyszerű gyorsformázást hajt végre, mint más operációs rendszerek.

Hozzáteszem, semmilyen hasonló biztonsági funkció nem védi meg a felhasználót a saját (illetve cég esetében a rendszergazda) hülyeségétől, vagy nemtörődömségétől, szóval ezúton is arra biztatnék mindenkit, hogy ha eladósorba kerül a BlackBerryje, mielőtt kiadja a kezéből a készüléket, mindenképpen futtasson le egy biztonsági törlést...

Kösz a tippet Ádámnak!

Forrás: Avast

Címkék: biztonság blackberry biztonsági törlés avast telefontörlés

Mai kis hírek a mobilos biztonságtechnológia világából rovatunk két érdekességgel jelentkezik. Egyrészt olybá tűnik, hogy végre-valahára forgalomba kerül a nagy múltú SGP Technologies szuperbiztonságos terméke, a Mobile World Congress idején beharangozott Blackphone, ami lássuk csak..., lényegében egy mezei fogyasztókat célzó, az átlagosnál jóval biztonságosabb okostelefon. 

blackphonee.jpg

A HWSW cikke szerint a hardver -- legalábbis androidos mércével mérve -- elég öregecske, ráadásul Google szolgáltatások sem érhetők el a telefonnal, ami mondjuk ez esetben nem hiba, hanem tudatos döntés eredménye: Jobb nem kiengedni a szellemet a palackból. A Blackphone annyira biztonságos, hogy az operációs rendszer saját nevet is kapott, ez a PrivOS, ami persze ettől még android-alapú, de pár funkciót megváltoztattak rajta, így például ennél a rendszernél minden szénné titkosítható, beleértve a memóriakártya tartalmát, vagy akár a névjegyzéket. A Blackphone ára 630 dollár, a szállítás állítólag már megkezdődött, aki szerint a biztonság és az Android szavak egy mondatban említése eleve nem paradoxon, itt megnézheti és meg is vásárolhatja a készüléket.

Ide tartozik a hír, miszerint a német államvezetést támogató biztonsági szakembereknek megesett végre a szívük Angela Merkel kancellár asszonyon, aki a hónap végén megkaphatta a düsseldorfi biztonsági cég, a Secusmart kriptográfiai chipjével kiegészített BlackBerry Q10-esét. A durván 2500 euróba (!) kerülő chip lényegében egy újabb hardveres titkosító réteget von a telefon köré, és nem csak az adatforgalmat, hanem a beszédet is gyakorlatilag visszafejthetetlenné teszi. Az egyetlen bökkenő, hogy beszédtitkosításnál feltétel, hogy a másik oldalon is ugyanilyen készüléket, vagy legalábbis titkosító rendszert használjanak. A megoldás ebből a szempontból kissé hasonlít ahhoz, amit Barack Obama is használ, nem véletlen, hogy az Egyesült Államok elnöke a hírek szerint mindössze tíz embert tud felhívni a BlackBerryjével.

merkel_q10.jpg

Merkel asszony egyébként állítólag választhatott, hogy a Q10-et, vagy egy Z30-at használna inkább, de végül a QWERTY-s megoldásnál maradt a német politikus. Neki aztán van ízlése, és ez nem csak az öltözködésén látszik!

Forrás: 

HWSW

Focus

Címkék: biztonság merkel q10 blackphone secusmart

A BlackBerry számára az információbiztonság mindig is meghatározó tényezőnek számított, már azokban az időkben is, amikor a kanyarban sem volt a Google, meg a Facebook, illetve Edward Snowden is legfeljebb a csattogós lepkét tologatta. A cég mostanra már ráadásul nem csak a saját okostelefonjainál veszi véresen komolyan a biztonságos működést, hanem az androidos készülékekkel, valamint az iPhone-okkal kapcsolatban is.

Mindezt kitűnően alátámasztja, hogy a cég ma bejelentette, a BlackBerry Enterprise Service 10 által menedzselt Secure Work Space nevű elkülönített vállalati működési környezet androidos és iOS-es verziója megkapta a FIPS 140-2 jelű biztonsági certifikációt, mely az egyik legmagasabb szintű észak-amerikai (adat)biztonsági sztenderdnek számít az elektronikai eszközök esetében. Többek közt ez a megfelelőség az egyik előfeltétele annak, hogy egy kommunikációs célú eszközt (jelen esetben okostelefont, illetve menedzsment-platformot) az amerikai kormányhivatalok, illetve a legfelsőbb katonai/politikai vezetők használhassanak a tengerentúlon.

A Secure Work Space működéséről elég annyit tudni nagy vonalakban, hogy lényegében egy, a telefon operációs rendszerén belül elkülönített környezetről van szó, mely szervesen kapcsolódik a "céges" hálózathoz. A kapcsolat egy titkosított adatcsatornán keresztül jön létre, ezen keresztül lehet elérni többek közt a céges leveleket, a megosztott naptárakat, valamint a szervereken tárolt dokumentumokat. A BlackBerry által fejlesztett környezet az adatcsatorna létrehozásán túl arról is gondoskodik, hogy a telefonon tárolt adatokhoz se férjen hozzá senki, vagyis a rendszert sem lehallgatni, sem feltörni nem lehet, vagy legalábbis csak elég körülményesen.

Mindez tehát azt jelenti, hogy mostantól gyakorlatilag mindenféle androidos készülék, illetve minden iPhone bevihető az összes, magas szintű biztonsági protokollt használó amerikai és kanadai intézménybe, de csak akkor, ha a háttérrendszert a BlackBerry mobilmenedzsment-platformja üzemelteti. A fentiek azt hiszem kitűnően példázzák, hogy - legalábbis jelenleg - miként tudja sokkal sikeresebben pozicionálni magát a BlackBerry ebben a szegmensben, mint a készülékek piacán.

Címkék: biztonság space blackberry work android secure ios bes10

Manapság, amikor a csapból is az folyik, hogy mindenkit, érted MINDENKIT orrba-szájba lehallgatnak, megfigyelnek, egyre többekre vetül rá a félelem árnyéka. Nem csoda, hiszen MINDENKI elképesztően értékes és bizalmas információkat tárol a telefonján, amire bizonyára RENGETEGEN kíváncsiak. Ja, hogy céges meg kormányzati adatok? Az meg kit érdekel?

Ilyen vészterhes időkben bizony az egyszerű közembernek is kijár a hétpecsétes információbiztonság, legalábbis így gondolták azok a tagok, akik megálmodták a Blackphone-t, a világ legbiztonságosabb mobiltelefonját. Hogy mitől olyan biztonságos, azt nem árulják el (egyelőre), de már készült egy nagyon trendi videó róla, ami alapján egy biztos: Az hétszentség, hogy ezt a terméket nem cégeknek akarják eladni.

blackphone.jpg

Szóval van egy telefon, ami kétségtelenül fekete is, meg telefon is, na meg annyit lehet még róla tudni, hogy android fut rajta, illetve annak egy mutációja, amit PrivatOS-nek (!) hívnak. De nem akarom lelőni a videó összes poénját, készüljetek az adrenalinbombára!

Hát ennyi, további részletek Barcelonában, a Mobile World Congressen.

Via Blackphone.

Címkék: biztonság lehallgatás kémkedés blackphone