Tegnap futótűzként kezdett terjedni az interneten a hír, miszerint a kanadai yard 2010-től kezdődően sikeresen visszafejtett egy bűnügy kapcsán bizonyos BlackBerryk közti kommunikációt. Az ügyet exkluzívként tálaló Vice News cikke azt sugallja, hogy a nyomozószerveknek valahogy a birtokába került az a mesterkulcs, amivel ezt megtehették, bár azt senki nem tudja biztosan, hogy ez pontosan hogyan került hozzájuk, és még mindig használják-e "megfigyelésre".
A sajtó persze - részben az Apple-FBI csörte hatására - felkapta a sztorit, a témában megjelent cikkek egy része azonban szokás szerint köszönőviszonyban sincs a valósággal, de legalábbis némi pontosításra szorul.
Először is, több cikk határozottan állítja, hogy hat évvel ezelőtt a kanadaiak kezébe került mesterkulcs a BBM titkosítását oldja fel, illetve kvázi akinek ez a kulcs a birtokába kerül, az kénye-kedve szerint beleolvashat bárkinek az üzeneteibe. Ez azonban egyértelműen hülyeség, mivel még a forrás cikk is PIN to PIN üzenetet ír, aminek kétségtelenül van köze a BBM-hez, nagyjából annyi, mint szekérnek a Lamborghinihez (gyk mindkettőnek négy kereke van).
A fenti hasonlat abból a szempontból is találó, hogy a PIN to PIN üzenetek tekinthetők a BBM ősének: A rendszer arra épült, hogy két BlackBerry közt direktben lehessen üzenetet küldeni a BlackBerry (akkor még RIM) szerverén keresztül, a készülékek egyedi azonosítóját (vagyis a PIN-t - aminek semmi köze SIM-ek, vagy bankkártyák PIN-jéhez!) felhasználva. A PIN üzenetek 168 bites 3DES titkosítást használtak, a visszafejtéshez szükséges univerzális kulcsokat pedig minden BlackBerry tartalmazta gyárilag. Vagyis aki ennek a kulcsnak a birtokában van (volt), és valahogy hozzájut(ott) a készülékek közti kódolt adatfolyamhoz, minden üzenetbe beleolvashat(ott). Nagyjából ezt érte el a kanadai rendőrség 2010-ben.
A BBM ehhez képest ma már erősebb titkosítást használ, így a 3DES titkosítás felett egy másik titkosítási réteg (TLS, vagyis Transport Layer Security) is húzódik. Ez a titkosítási módszer (amit többek közt a banki kommunikációban is használnak) máshogy épül fel, mint a 3DES, vagyis nem létezik egy olyan univerzális, mindenható kulcs, amivel minden üzenetet vissza lehetne fejteni. A (nagy)vállalatoknak kínált BBM Protected még ezt a titkosítási szintet is megemeli egy harmadik titkosítási réteg, a PGP beiktatásával, ami a váltakozó kulcspárok miatt a manapság elérhető egyik legbrutálisabb titkosítási metódus.
Magyarul ha BlackBerryd van, vagy BBM-et használsz más készüléken, ez a mostani "leleplezés" jó eséllyel egyáltalán nem érint téged, ha pedig 4-5 évnél régebbi BlackBerry típust használsz és még mindig PIN-üzenetekkel kommunikálsz valakivel, aki hozzád hasonlóan 4-5 évnél régebbi BlackBerryvel nyomul, akkor meg magadra vess.
Az ügy persze ettől még felvet bizonyos kérdéseket, például hogyan került az ominózus mesterkulcs a kanadai rendőrökhöz, illetve a rendőrség miért nem a mesterkulccsal rendelkező BlackBerrytől kérte az érintett adatok (kommunikáció) kiadását - ami egyébként a legális útja lenne egy nyomozati tevékenységnek. Vagy miért pont most ütött be a mennykő, amikor az ügyben érintett bírósági tárgyalás alapján évek óta kvázi nyilvános volt, hogy a kanadaiak BlackBerryk közti kommunikációt hallgattak le.
Itt tartunk most, remélhetőleg a BlackBerry is ismerteti mielőbb az álláspontját a témában, és tisztáz néhány hülyeséget, amit az utóbbi órákban produkált a netes hírgyár.
Igen, a Google-től, jól olvastad.
Ma van a "Biztonságos Internet Nap", ami remek alkalom arra, hogy egy ilyen cég felhívja a nethasználók, illetve velük párhuzamosan az okoseszköz-felhasználók figyelmét a rájuk leselkedő biztonsági kockázatokra, egyben tippet adva arra, hogyan lehet ezeket elkerülni. A biztonsági szakértők ugyanis többnyire egyetértenek abban, hogy a (kiber)támadások sikerrátája jóval alacsonyabb lenne, ha a felhasználók kellő körültekintéssel választanák meg például a jelszavukat, vagy biztonságtudatosabban használnának egyes szolgáltatásokat.
A Google most ráadásul +2 gigabájtnyi ingyenes Drive-tárhellyel próbálja a biztonsági beállítások megerősítésére, ellenőrzésére sarkallni a felhasználóit, valamint az alábbi tippeket tette közzé a cég a biztonságosabb kütyühasználat érdekében. Érdemes átfutni, nem csak Google-felhasználóknak (a lenti szöveg egy az egyben idézet a Google sajtóközleményéből):
Tíz egyszerű biztonsági tipp
A Google-nél a biztonság minden tevékenységünket átszövi. Azt szeretnénk, hogy mindenki biztonságosan és szabadon használhassa az internetet anélkül hogy feladná adatainak védelmét és biztonságérzetét.
Ezért építettünk minden termékünkbe olyan funkciókat, melyek szűrik és megelőzik a gyanús tevékenységeket és adathalász-kísérleteket. Ennek ellenére az internetes adathalász támadások 45 százaléka még mindig sikeres. A legújabb technológia segítségével védünk meg az online biztonsági veszélyektől a Google termékekben és azokon kívül egyaránt, ugyanakkor számos apró dologgal te is tehetsz azért, hogy még biztonságosabb legyen az online jelenléted.
Top tippek a biztonságos internetezéshez:
- Legyen “hacker-biztos” jelszavad! A jelszó az első védelmi vonal a cyber bűnözők ellen, így jobb, ha a jelszavad nem az, hogy “jelszó vagy password”. Fontos, hogy erős jelszót válassz, ami minden fontos fiókod esetében eltérő, emellett jó ha időről-időre frissíted is ezeket. Minél hosszabb a jelszavad, annál nehezebb kitalálni. Számok, szimbólumok, nagy és kis kezdőbetűk hozzáadásával nehezebb kitalálni vagy feltörni a jelszavad. Ne használd az “123456” vagy a “jelszó/password” szavakat és kerüld az olyan nyilvánosan elérhető információk használatát mint amilyen a telefonszámod.
- Duplázd meg a biztonságod a kétlépcsős azonosítással. A kétlépcsős azonosításnál a bejelentkezéshez a saját jelszavadra és egy másik adatra, a telefonodra küldött kódra lesz szükséged. Választhatod azt is, hogy SMS-t kapj, de akár telefonhívással, vagy egy erre való speciális alkalmazásban is megkaphatod a kódot. A lényeg, hogy hasonlóan például banki szolgáltatásokhoz, a jelszavad mellett plusz egy védelmi vonalad van, a jelszó mellett az egyszer használatos, csak neked elküldött kód is kell hozzá, hogy belépj a fiókodba. A kétlépcsős azonosításról bővebben olvashatsz itt: https://goo.gl/rZGE7m
- Találd meg elvesztett készüléked! Ha elhagytad készüléked, csak lépj be a böngészőben az Android Eszközkezelőbe. Ennek segítségével meghatározhatod a térképen készüléked hozzávetőleges helyét, valamint megtudhatod mikor használták utoljára. Ha a közeledben szeretnéd megtalálni a telefonod, meg is csörgetheted így, de ha attól tartasz, hogy illetéktelen kezekbe került, egy kattintással zárolhatod, vagy törölhetsz is róla mindent.
- Szánj 2 percet a biztonsági ellenőrzésre! Egy mindössze két perces művelettel még nagyobb védelmet biztosíthatsz Google fiókodnak. Ehhez mindössze a biztonsági beállításaidat kell ellenőrizned, frissítened. Először jelentkezz be Google fiókodba, majd a jobb sarokban látható nevedre vagy profilképedre kattintva menj tovább a “saját fiók” opcióra. Itt válaszd a biztonsági ellenőrzés opciót, és kattints a kezdésre. Szánj rá két percet, és tedd még biztonságosabbá az internetezést magadnak!
- Állítsd a keresőt családbarát módba! A Biztonságos Keresés automatikusan szűri a potenciálisan sértő vagy felnőtt tartalmakat. Amikor bekapcsolod a Google fiókodon, a Biztonságos Keresés blokkolja a felnőtt tartalmakat a keresési találatokból bármely böngészőn és számítógépen ahol bejelentkezel a fiókodba. A Biztonságos Keresés bekapcsolásához látogass el a keresési beállítások oldalra. A Biztonságos Keresési szűrők pontban jelöld be a Biztonságos Keresést, majd az oldal alján mentsd el a beállításokat.
- Zárold eszközöd távolról, akárhol hagytad is. Tedd biztonságosabbá készüléked, zárold, határozd meg a helyét, csörgesd meg vagy töröld a rajta lévő adatokat távolról. A legfrissebb Androidon nyisd meg az app menüből a Google beállításokat és kattints a biztonság menüpontra, itt engedélyezheted a távoli zárás és törlés funkciót, melynek segítségével a későbbiekben készüléked nélkül is azonnal cselekedhetsz.
- Rejtsd el a kíváncsi szemek elől készüléked! A személyes információk biztonságban maradhatnak PIN-kód jelszó vagy képernyőzár minta segítségével. Ne hagyd hogy felkapva telefonod bárki hozzáférhessen adataidhoz. Válassz PIN-kódot, jelszót vagy mintát de akár az arcoddal is zárolhatod készüléked.
- Bízd jelszavaidat a böngésződre! Ha ugyanazt a felhasználónevet és jelszót több weboldalon is felhasználod és ezek egyikét feltörik, adataiddal a többi oldalhoz is hozzáférhetnek illetéktelenül. Hagyd hogy a Chrome megjegyezze jelszavaidat és csökkentsd az adathalászat kockázatát.
- Kapj értesítést neved említéséről a weben. Az “Én a weben” funkció segíthet megérteni és kezelni mit láthatnak mások ha rákeresnek a nevedre a Google-on. Segítségével beállíthatsz Google értesítőt, hogy nyomon követhesd a neveddel együtt megjelenő online információkat, de automatikusan ajánlást tesz olyan kifejezésekre is, amelyeket érdemes lehet figyelemmel követned.
- Kezeld a Google fiókodon tárolt adatokat! A Google Irányítópult megmutatja a Google fiókodban tárolt adatokat és áttekintést kínál a fiókodhoz tartozó tevékenységedről. Egyetlen központi helyen egyszerűen megnézheted az adataidat és tevékenységeidet, és hozzáférhetsz olyan szolgáltatások beállításaihoz mint a Blogger, Naptár, Dokumentumok, Google+.
Minél jobban átszövi életünket az internet és az ahhoz kapcsolódó eszközeink, a biztonság annál fontosabbá válik. Tudjuk, hogy együtt kell dolgoznunk azon, hogy az internetet mindannyiunk számára biztonságosabb hellyé tegyük.
Nem éppen mai hír, már több mint egy hetes, mindenesetre egy mai sajtóközlemény apropóján most mégis úgy voltam vele, hogy érdemes foglalkozni a témával.
A mai hír az, hogy a Samsung Magyarország két díjat is nyert a "Kiválóság az Ügyfélkiszolgálásban" nevű üzleti versenyen.
Hogy mit gondolok erről a versenyről, most inkább nem részletezem, inkább jöjjön a másik hír:
Hollandiában egy fogyasztóvédelmi csoport azért perli a Samsungot, mert a koreai cég nem szolgáltatott elég információt az okostelefonjaira érkező szoftverfrissítéseket illetően, illetve úgy általában, nem igazán jeleskedett abban, hogy időben kiadta volna (ha egyáltalán) az ominózus frissítéseket.
Az androidos mobilok szoftverfrissítési kálváriája tavaly nyáron került mondhatni először komoly reflektorfénybe, amikor a StageFright sebezhetőség valósággal lesokkolta az iparágat. A Google nagyjából e tájt döntötte el, hogy a Microsofthoz hasonlóan havi rendszerességgel ad ki az Androidhoz biztonsági frissítéseket, melyeket minden gyártó rendelkezésére bocsát, így azok beépíthetik a saját szoftverfrissítéseikbe.
És nagyjából ezen a ponton el is hasalt az amúgy ígéretesnek tűnő kezdeményezés, ugyanis hiába tapsolt a legtöbb androidos gyártó felállva a hír hallatán, a havi rendszerfrissítéseket hogy, hogy nem a mai napig csak a Nexusokra és a PRIV-re küldik le a gyártók. Ebből lett elege a holland Consumentenbondnak, mely pert indított a Samsung helyi leányvállalata ellen, részben a frissítések hiánya, részben az aluldokumentáltság (van ilyen szó?) okán.
Azért tegyük hozzá, hogy a Samsung nem egyedüliként küzd kihívásokkal ezen a téren, másfelől az Android frissítési procedúrájának legnagyobb kerékkötői sokszor a mobilszolgáltatók, akiknek nem feltétlenül az az elsődleges érdekük, hogy a végfelhasználók biztonságos mobilokat használhassanak, hanem sokkal inkább az, hogy minden szolgáltatás hibátlanul működjön a készüléken. Vagyis az operátorok az erőforrásaikat nem igazán szeretik holmi biztonsági patchekkel való pepecselésre fordítani - kivéve persze, ha a saját biztonságukról van szó.
Másfelől a Samsungnak elképesztően széles körű az androidos kínálata, a BlackBerrynek ezzel szemben egyetlen androidos mobilja van, szóval mondhatni így könnyű a Nexusokkal egy időben leküldeni a patcheket a telefonra. Ettől függetlenül ma már hatványozottan igaz, hogy a gyártóknak fokozottan figyelniük kell a kliensoldali biztonságra, és nem feltétlenül csak az üzleti szférában. Ha erre önmaguktól nem jönnek rá, majd figyelmezteti őket a bíróság -- most még csak Hollandiában.
Via Forbes.
A BlackBerry első androidos okostelefonja, a PRIV bizony nem gyerekjáték, bár mitagadás, a Google Play Store kínálata révén akár azzá is válhat, noha aligha ez a rendeltetésszerű használata. A telefon szoftvere nem véletlenül tartalmaz több tucatnyi, teljesen egyedi módosítást a motorháztető alatt, illetve végső soron nem véletlenül kerül annyiba, amennyibe: Ez egy professzionális munkaeszköz, hűen a BlackBerry márkához. Ha ez nem lenne elég világos mindenkinek, a BlackBerry egy globális webcast alkalmával ecseteli a részleteket a fejlesztőknek és vállalati rendszergazdáknak jövő kedden.
A webcast éppen ezért két fő témakörre koncentrál majd, az egyik, hogy a PRIV egyedi hardveres képességeit (csúszka kialakítás, kapacitív érintésérzékeny fizikai billentyűzet) hogyan és mire használhatják a fejlesztők, valamint arra, hogy hogyan lehet a készüléket integrálni BES12, illetve Android for Work környezetbe.
Az internetes előadás egyben bemutatja azt is, hogy a BlackBerry fejlesztőknek szóló oldalán, a DevZone-on milyen új eszközök, letölthető dokumentumok teszik könnyebbé a fejlesztők munkáját -- nyilván itt elsősorban azokra igyekszik elsőként gondolni a BlackBerry, akik céges környezetben építenek (androidos) appokat, és szeretnék kihasználni a BlackBerry nyújtotta extra biztonsági réteget.
Ha kíváncsi vagy a részletekre, itt regisztrálhatsz, a webcast november 17-én, keleti parti idő szerint délelőtt 11-kor, azaz magyar idő szerint délután ötkor kezdődik -- ideális levezetés munka után, nemde?
A Google mobilos operációs rendszeréről, pontosabban az azokra épülő okostelefonokról általában véve elmondható, hogy küzdenek némi kihívással a mobilbiztonság terén, ám ennek okai meglehetősen sokrétűek, és még pár hónappal ezelőtt is elsősorban arra voltak visszavezethetők, hogy a gyártók, vagy a gyártók legfontosabb partnerei (a mobilszolgáltatók) elhanyagolták a (biztonságkritikus) rendszerfrissítéseket. Pedig manapság egy okostelefon szinte ugyanolyan intenzitású támadásoknak van kitéve, mint egy számítógép, márpedig akinek windowsos gépe van, az tudja jól, hogy legkésőbb havi rendszerességgel ezeket a sebezhetőségeket foltozgatja a Microsoft, meg a legtöbb partnercég.
A nyáron kirobbant Stagefright botrány valószínűleg az utolsó csepp volt a pohárban a Google számára, hogy végleg elkötelezze magát a PC-szerű, havi frissítések mellett. Csakhogy ez is gyártó- és szolgáltatófüggő, vagyis egy cég egyáltalán nem köteles a megváltozott kódot átvenni, illetve egy mobilszolgáltató szintén nem köteles a javításokat továbbítani az ügyfeleknek.
A BlackBerry már most közölte, hogy egyike lesz azon kevés gyártóknak, akik minden, havi rendszerességgel kiadott patchet átvesznek, az első lépcsőfok a PRIV, illetve az utána következő androidos BlackBerryk rendszerszintű védelmében a
Havi Android biztonsági frissítés.
A rossz hír ezzel kapcsolatban csak annyi, hogy ez a frissítés csak a gyárilag független modellekre jár majd automatikusan, a mobilszolgáltatók - akárcsak a BB10 esetében - nincsenek rá kötelezve, hogy bármit is jóváhagyjanak és kiküldjenek az ügyfélnek. Azaz simán lehet, hogy egy-egy nagyobb frissítőcsomag eltérő időpontban jut el mondjuk egy amerikai, és egy európai ügyfélhez.
Vannak ugyanakkor olyan, súlyos esetek, amikor nem lehet egy hónapot sem várni egy hibajavítás kiadásával, a BlackBerry ezért elérte, hogy bizonyos, különösen súlyos esetekben egyéni mérlegelés alapján megkerülheti ezt az egész procedúrát. Itt a cég elsősorban a biztonsági rés súlyosságát, azaz a potenciális veszély szintjét méri fel, és ha kell, soron kívüli frissítést ad ki, hiszen egy több hetes jóváhagyatási folyamat ilyenkor kicsit olyan, mint amikor a krónikus beteget egyik orvostól a másikig küldik, egészen addig, míg a végén már csak az életmentő beavatkozás segít rajta, vagy már az sem. Ezeket a gyorstapaszokat egyébként úgy hívja a szakma, hogy
Hotfix.
Végül pedig a BlackBerry arra is lehetőséget ad, hogy egy vállalat saját kezébe vegye, saját maga menedzselje a dolgozóknál lévő androidos flotta frissítését. Ez szintén PC-s örökség, és a számítógépek esetében általában kettős célt szolgál(t): egyrészt a cég kötelezheti a felhasználót, hogy telepítsen egy kritikus biztonsági frissítést, másrészt pedig ugyanezzel az erővel vissza is tarthat bármilyen, egyéb frissítést, ha a belső tesztek alapján kiderül teszemazt, hogy súlyos szoftveres inkompatibilitási problémákhoz, így a munkaállomás kieséséhez vezethet a telepítése.
A BlackBerry saját mobilmenedzsment-rendszere, a BES12 révén pontosan ugyanezt a lehetőséget kínálja a céges rendszergazdának, aki eldöntheti, hogy a dolgozó készüléke milyen patchet mikor kapjon meg. Ez tehát a
Vállalati szintű frissítés.
Láthatjátok, hogy a BlackBerry egyáltalán nem veszi félvállról az androidos sebezhetőségeket, egyes, konzumerorientált, vagy mondjuk úgy, a felhasználói támogatásra kevesebb hangsúlyt fektető gyártóval ellentétben. Persze a puding próbája az evés, így a PRIV rövidesen megmutathatja, hogy ez a háromlépcsős frissítési kör mennyire lehet hatékony, vagy mennyire üres ígéret.
Emellett ne feledkezzetek meg arról sem, hogy a legfőbb BlackBerry-komponensek, mint például az androidos Hub, a Naptár, vagy éppen a BlackBerry virtuális billentyűzet külön letölthető alkalmazások, melyek a Google Play-en keresztül gyakorlatilag azonnal frissíthetők, bár itt valószínűleg nem biztonsági szempontok alapján jönnek majd az új verziók, hanem egyéb hibajavítások és új funkciók megjelenésére lehet majd számítani - ki tudja, milyen gyakorisággal.
Via Inside BlackBerry blog. Fotó: CrackBerry.
A BlackBerry korábbi ígéretéhez híven folyamatosan ellátja a nagyérdeműt újabb és újabb információkka arra vonatkozóan, hogy hogyan szándékozik megvalósítani a (közel) lehetetlent: az Android biztonságossá tételét. Az egyik kulcselem ebben a képletben a ki tudja miét DTEK-nek keresztelt alkalmazás, mely éberen őrködik a telefon biztonsága, ezzel együtt a felhasználó privát szférája felett. A DTEK tehát egyfajta biztonsági radar, de ezúttal szerencsére ennél konkrétabb információkat is elárultak róla a kanadaiak.
A DTEK alapelve kicsit a manapság egyre komplexebbé váló vírus- és kártevőkeresőkéhez hasonlít, bár éppen víruskereső funkciója nincs. A BlackBerry szerint a legfontosabb, hogy időben észrevegyük, ha valaki az engedélyünk nélkül kutakodik, vagy úgy általában tesz bármit a telefonunkon/telefonunkkal, illetve rendelkezésre álljanak olyan eszközök, amelyekkel ezeknek az esélyét csökkenthetjük. Ez utóbbiak létezéséről sokszor nem is tud a felhasználó, vagy ha tud, fogalma sincs, hol lehet például bekapcsolni a fotóalapú jelszózárat -- természetesen ehhez is segítséget nyújt a DTEK.
1. Detektálás
A program amellett, hogy három lépcsős biztonsági minősítést ad a telefonnak a beállítása alapján (ezt alakíthatja például, hogy használunk-e jelszót), árgus szemekkel figyeli a telepített appokat, és folyamatosan jegyzi, ha azok teszemazt:
- fotókat és videókat készítenek a felhasználó beavatkozása - és adott esetben tudta - nélkül (igen, van ilyen!)
- bekapcsolják a készülék mikrofonját a felhasználó beavatkozása nélkül (ilyen is)
- SMS-t küldenek a felhasználó beavatkozása nélkül
- kiolvassák a partnerlistát,
- vagy a GPS-alapú helyzetet (természetesen ismételten a felhasználó beavatkozása nélkül)
A DTEK logolja, hogy egy adott app mindezt milyen gyakorisággal és milyen hosszú ideig végezte.
2. Figyelmeztetés
Az appok aktivitását nem csak úgy mellékesen feljegyzi a DTEK, hanem felhasználói beállítás alapján figyelmeztetést is küldhet minderről, alkalmazás, és funkciószinten.
A figyelmeztetéseket akár minden szenzorra be lehet állítani egyenként, azaz például a telefon mindig szól, ha egy app hozzáfér a GPS helyhez, de például megadható az is, hogy csak egy bizonyos appra vonatkozóan kapjon a felhasználó figyelmeztetést.
3. Megelőzés
Ahogy fentebb is írtam, a BlackBerry szerint a kulcs a megelőzés, így a DTEK három ponton próbálja erősebbé tenni a telefon védelmét, ha nem találja azt megfelelőnek.
Például javaslatot tesz arra, hogy a képernyőzárat kapcsoljuk be (van PIN-es, minta-alapú, illetve fotóalapú képernyőzár), hogy letiltsunk minden más, alkalmazás beszerzésére használható forrást a Google Play Store-on kívül, vagy hogy ne lehessen resetelni a telfont a személyes jelszavunk ismerete nélkül - utóbbi a tolvajok orra alá törhet komoly borsot, hiszen ők többnyire azonnal letörölnek minden adatot a lopott készülékről.
A BlackBerry szerint a DTEK működése ezen három vezérlőelv mentén pofonegyszerű lesz, ám ez még mindig csak az egyik alkotóeleme a biztonságos Android koncepciónak.
Via Inside BlackBerry blog.