Arról már korábban beszámoltunk (most túl fáradt vagyok előkeresni, és linkelni, bocs), hogy a BlackBerry 10 rendszer biztonsága elnyerte a német kormányzat tetszését, így több ezer magasrangú tisztviselő fog újgenerációs szedret kapni. Ami a németek számára döntő volt, hogy a korábbi BlackBerrykhez képest az internetes kommunikáció immár nem a BlackBerry központi szerverein keresztül kell, hogy áthaladjon, hanem az decentralizálható - így a teljes adatforgalom Németországban, a német szervek által üzemeltetett szervereken és hálózatokon maradhat. Ezt egészíti ki, hogy egy német vállalat, a Secusmart hardveres kripto-chippel (nem kripta!) tudja felszerelni a BlackBerryket, hogy minden hanghívás (!), SMS, email és chat erős titkosítást kaphasson.
A BlackBerrynek annyira megtesztett ez a megoldás, hogy nemrég fel is vásárolta a céget.
Német lapok által most felszínre került, hogy milyen további feltételekhez kötötte a német kormány, hogy a BlackBerrytől, pontosabban a Secusmarttól vásároljanak magas biztonsági szintű telefonokat. Ezek egyike sem igazán meglepő, de mindig érdekes belátni függönyök mögé:
- a Secusmart kutatás-fejlesztése és gyártása továbbra is Németországban kell, hogy maradjon, és továbbra is a Secusmarton keresztül vásárolja a német állam a biztonságos mobilokat;
- a BlackBerrynek meg kell mutatnia a BB10 forráskódot a német biztonsági szerveknek, hogy azok átnézhessék, és auditálhassák;
- bármilyen biztonsági rés jut a BlackBerry tudomására, azt a német szerveknek azonnal továbbítania kell;
- a BlackBerry jogi vállalást tett a német kormány felé, hogy nem lehetnek kötelezettségei más hírszerző szolgálatok felé bizalmas információk kiadásáról (vagyis nem adhat át információt a németekről).
Nyilvánvaló, hogy a feltételek egyúttal azt is szolgálják, hogy a német kormányzati kommunikációt az egyébként szövetséges brit és amerikai hírszerzési szerverzetek ne, vagy sokkal nehezebben tudják lehallgatni, ahogyan az botrányos körülmények közepette kiderült a múltban.
Ne legyünk persze naívak, az NSA-CIA, és GCHQ-SIS erőforrásait és eszközeit ép ésszel felfogni is nehéz, és ha diplomáciai akadályát nem látják, előbb-utóbb megtalálják a módját, hogy megszerezzék, amit akarnak - talán a BlackBerry forráskódjába nyúlnak majd bele titokban, ügynökök vagy hackelés révén; vagy akár a Secusmarthoz építenek be valakit, hogy sebezhetőséget nyisson a titkosításban; esetleg a telefonokat szállítás közben fogják el, cserélik ki sebezhetőekre. Vagy csak egyszerűen nekimennek a titkosításnak egy tíz megawattos szuperszámítógéppel és egy csapat matematikussal. A védelmi rendszereknél sosem az a kérdés, megtörnek-e, hanem hogy milyen gyorsan. A lecke mindenesetre fel van adva.
Sokféle teóriát és konkrét indokot hallottam már annak kapcsán, miért került lejtmenetbe pár évvel ezelőtt a BlackBerry, de mind közül az egyik legfurcsább magyarázattal Stewart Baker, az Amerikai Nemzetbiztonsági Ügynökség, vagyis az NSA egykori vezető jogtanácsosa szolgált a hét elején a dublini Web Summiton: Szerinte a BlackBerry ott rontotta el, hogy túlságosan komolyan vette a biztonságot.
Baker szerint azok a titkosítási megoldások és normák, melyeket a BlackBerry mellett újabban az Apple és a Google is előszeretettel használ, igazából a nyugati kormányok szemében is szálka, emellett meg több olyan ország (rezsim?) működik a világon, ahol alapfeltétel egy telekommunikációs szolgáltatás működésénél a relatív könnyű lehallgathatóság, de legalábbis a szoros együttműködés a hatóságokkal. Márpedig a BlackBerry ez utóbbi téren csakugyan nem teljesített túl jól az elmúlt években, volt is összetűzés az indiai meg a szaúdi kormányzattal, de nem különösebben szeretik (szertették) a BlackBerry szuperbiztonságos megoldásait például Kínában vagy Oroszországban sem.
Emellett a nyugati kormányok - azon túl, hogy azért némelyikük eléggé aktívan ráutalja magát egyebek mellett a BlackBerry megoldásaira - nem nézik jó szemmel, ha például egyes terroristacsoportok vagy bűnszervezetek olyan kommunikációs csatornákat vesznek igénybe a szervezkedéshez, melyre nincs direkt rálátása senkinek, leszámítva a platform üzemeltetőjét. Baker szerint egyébként felesleges küzdeni a titkosszolgálatokkal, mert bár kétségtelenül jól mutat a sajtóban, hogy egy cég ujjat húz az NSA-val az ügyfelek érdekében, a végén úgyis mindenkinek le kell mennie kutyába - ergo nem is olyan fontos ez az egész biztonsági hókusz-pókusz, borg kifejezéssel élve az ellenállás értelmetlen, úgyis mindenki meg lesz fingatva.
Nem túl meglepő, hogy egész máshogy látja a helyzetet Marty Beard, a BlackBerry operatív igazgatója, aki a kormányzati érdekeltségű technológiai hírekre fókuszáló FedScoop magazin FedTalks nevű rendezvényén reagált az egykori NSA-s főtanácsadó szavaira. Beard szerint a kommunikációs eszközök, így többek közt a mobilkommunikációs megoldások által nyújtott biztonsági faktor napjaink egyik legégetőbb problémája a kiberbiztonság terén. A BlackBerry illetékes vezetője hozzátette, a kormányzati szervek mindig is a BlackBerry elsődleges ügyfélköréhez tartoznak, nem véletlenül.
Mit tesz a véletlen éppen az amerikai kormányzat támasztja a legszigorúbb biztonsági elvárásokat a kommunikációs berendezések és platformok felé, többek közt BlackBerryt használ Barack Obama is, illetve idén a német kormány vásárolt több tízezer, a beszédforgalmat is lekódoló chipkártyával ellátott BlackBerryt - a német SecuSmart felvásárlásával a komplett kommunikációs és biztonsági platformot a kanadai cég nyújtja.
Az IT-biztonság egyik kőbe vésett alaptörvénye manapság, hogy lehetőleg minél bonyolultabb, nehezebben kitalálható jelszót kell választani a különböző eszközeink, internetes fiókjaink számára. Ez azért van így, mert a hosszabb, többféle karakterből (betűk, számok, szimbólumok keveréke) álló jelszót nehezebb kitalálni, ami az egyik kézenfekvő módja a törésnek. Az ilyen jelszavakkal azonban van egy elég súlyos bökkenő: ki tudja megjegyezni azt, hogy W322+'@rjDvM9, netán azt, hogy rel)!IHX38DJzv?
Szerencsére a jól megalkotott biztonsági rendszereknél nem kell ilyen bonyolult jelszavakat memorizálni. Például ott vannak a bankkártyákhoz tartózó PIN-ek, melyek csupán négy karakterből állnak, ráadásul mind a négy szám, mégis rá merjük bízni erre a látszólag elég vérszegény védelemre a kisebb-nagyobb vagyonunkat. Óvatlanság lenne? Aligha, mivel három helytelen PIN-beütést követően a kártyát letiltja a bank.
Valami hasonló az oka annak, hogy a BlackBerryken nem kell a fentiekhez hasonló, rémes kódsorokat bepötyögni ahhoz, hogy feloldjuk a képernyőzárat. A BlackBerryk jelszavas védelmi rendszere ugyanis nem engedi, hogy valaki korlátlanul próbálkozzon a jelszóbevitellel, de legalábbis tíz érvénytelen próbálkozás után jön a daráló, vagyis elindul a teljes készüléktörlés, ami egyrészt mindent kipucol a memóriából, másrészt legalább fél óráig tart, addig pedig semmit nem lehet csinálni a telefonnal.
Egy véletlenszerűen kiválasztott, kizárólag négy kisbetűből álló jelszót egyébként átlagosan olyan 228 ezer próbálkozásból lehet feltörni, vagyis annak az esélye, hogy valaki tíz próbálkozásból eltalálja a kódot, nagyjából 0,002%. Nyilván meg lehet könnyíteni az illetéktelenek dolgát az olyan jelszavakkal, mint az "1234", vagy a "jelszó" és társai, de ez kábé olyan, mintha ráírnánk a bankkártyánkra a PIN-ünket - és ugye ilyen böszmeségre senki nem vetemedik?
Az Inside BlackBerry blog nyomán.
A hét eleje óta tele van az internet azzal, hogy egy állítólagos hacker állítólag egy egyébként tök kommersz módszerrel állítólag száznál is több híresség állítólag meztelen fotóit lopta el az Apple online szolgáltatásából, az iCloudból. A problémát tehát sokan, sokféleképpen kitárgyalták már az interneten és mindenféle egyéb médiumokban, még az Apple is nyilatkozott a témában, félig-meddig elismerve a felelősségét, de azért kicsit az óvatlan celebekre is rákenve a szart. A jelenség éppen ezért részben a BlackBerry számára is adhat lehetőséget némi rivaldafényre -- újra.
Azért mondom, hogy újra, mert pár évvel ezelőtt nagyjából minden, magára kicsit is adó amerikai híresség a BlackBerryjével fotózkodott, a kanadai gyártó készülékei sokáig amolyan celeb-ikonnak számítottak. Nem véletlenül, a BlackBerry kezdetek óta legendás biztonsága szavatolta, hogy senki nem kukkanthat be csak úgy egy híresség e-mailjeibe, névjegyzékébe, vagy SMS-eibe, netán BBM-üzeneteibe, ami lássuk be, bizonyos szempontból még annál is nagyobb károkat okozhat, hogy valakiről meztelen képek jelennek meg az interneten (meg aztán ne feledjük, hogy az emberek egyáltalán nem biztos, hogy minden celeb meztelen fotójára kíváncsiak).
Ezt a képet sem a BlackBerryjéről lopták el Scarlett Johanssonnak
A BlackBerry megoldásait használva a mostani eset több okból kifolyólag sem fordulhatott volna elő szegény sorsú celebnőkkel. Először is, a BlackBerrynek (még) nincs saját online tárhelye, ahová képeket lehetne feltölteni a készülékről, vagyis nincs mit ellopni a BlackBerry szervereiről.
De mi van, ha illetéktelenek kezébe jut a mobil? Abban az esetben, ha jelszó védi (és ugye védi?) a telefont, a tudomány mai állása szerint nem igazán lehet mit kezdeni vele, ráadásul a brute force megoldások sem működnek, mivel tíz helytelen próbálkozás után a készülék nemes egyszerűséggel törli a teljes memóriát, meztelen fotóstul, névjegyzékestül, mindenestül (ha nagyon ki akarsz cseszni egy haveroddal, akinek jelszó védi a BlackBerryjét, nyugodtan próbáld csak ki).
Vajon meg lehet-e kerülni ezt a biztonsági kerítést a BlackBerry ID (az appleID megfelelője) jelszavának a feltörésével? A válasz ismét csak nem, mivel a BlackBerry ID esetében a jelszó reseteléséhez egyfelől e-mail cím megadása szükséges, ráadásul még egy undok kis ellenőrző kódot (captcha) is be kell gépelni, ami pont az olyan brute force megoldások ellen hatékony, mint amivel az érintett celebek appleID-jét is feltörték. Mert hogy az Apple a két biztonsági lépcsőfok (e-mail kontroll, captcha) egyikét sem alkalmazta.
Azért gyorsan leszögezem, feltörhetetlen rendszer nincs, de ha csak a BlackBerryn múlik, egyetlen fotó, illetve semmilyen személyes adat, információ nem kerülhet avatatlan kezekbe, vagy legalábbis csak aránytalanul nagy energiaráfordítás révén. Ráadásul a kanadai gyártó az egyetlen olyan okostelefon-gyártó a világon, melynek az adaton kívül a beszédhívások magas szintű titkosítására is van megoldása -- de ennek már egészen másfajta celebek veszik hasznát, olyanok, akikről végképp senki sem szeretne meztelen képeket látni az interneten. Ők a politikusok.
Személyes adatokat, fotókat, videókat illetve más, személyes használatú digitális tartalmakat lehet levadászni a használtan áruba bocsátott okostelefonokról, még akkor is, ha a felhasználó az újraértékesítés előtt gondosan törölt mindent a készülék memóriájából -- hozzá ránk a frászt az egyik legismertebb antivírus-szoftver, az Avast készítői által kiadott tegnapi sajtóközlemény.
A fejlesztőcég mindezt egy tesztben igyekezett bizonyítani, amiben véletlenszerűen összevásároltak 20 darab használt okostelefont, amelyekről temérdek mennyiségű képet, e-mailt, SMS-t és névjegyet tudtak kibányászni olyan egyszerű eszközökkel, melyek mindenki számára elérhetők. Durva, mi? Lefogadom, hogy az ominózus használt készülékek közt egyetlen BlackBerry sem volt -- és nem azért, mert BlackBerryre egyébként nem érhető el az Avast mobilos terméke.
Hanem mert semmi szükség nincs rá. A BlackBerry OS, illetve a BB10 máig a világ legbiztonságosabbnak tartott mobilos operációs rendszere, és félreértés ne essék, ebben benne van az is, hogy a készüléken tárolt adatokat biztonságosan lehet törölni, ha már nincs rájuk szükség. Talán nem véletlen, hogy a BlackBerryk menüjében a gyári adatok visszaállítása funkciót szó szerint biztonsági törlésnek nevezik (és nem véletlen az sem, hogy egy iratmegsemmisítő az ikonja). Ha egyszer egy ilyen törlést ráeresztesz a BlackBerrydre, akkor a tudomány mai állása szerint nincs az az egyszeri halandók számára is elérhető módszer, amivel vissza lehet hozni a tartalmat.
Aki már csinált egyébként ilyen biztonsági adattörlést, annak bizonyára nem újdonság, hogy a művelet valami irgalmatlan hosszú ideig tart, akár egy órán keresztül is szüttyöghet a telefon, mire újra lehet használni. A hosszadalmas procedúrát megmagyarázhatja, hogy a készülék szoftvere ilyenkor a felhasználói memóriát (tehát azt a területet, ahol a felhasználói adatok, appok stb. találhatók) gyakorlatilag bitről bitre újraírja, nem egyszerű gyorsformázást hajt végre, mint más operációs rendszerek.
Hozzáteszem, semmilyen hasonló biztonsági funkció nem védi meg a felhasználót a saját (illetve cég esetében a rendszergazda) hülyeségétől, vagy nemtörődömségétől, szóval ezúton is arra biztatnék mindenkit, hogy ha eladósorba kerül a BlackBerryje, mielőtt kiadja a kezéből a készüléket, mindenképpen futtasson le egy biztonsági törlést...
Kösz a tippet Ádámnak!
Forrás: Avast
Mai kis hírek a mobilos biztonságtechnológia világából rovatunk két érdekességgel jelentkezik. Egyrészt olybá tűnik, hogy végre-valahára forgalomba kerül a nagy múltú SGP Technologies szuperbiztonságos terméke, a Mobile World Congress idején beharangozott Blackphone, ami lássuk csak..., lényegében egy mezei fogyasztókat célzó, az átlagosnál jóval biztonságosabb okostelefon.
A HWSW cikke szerint a hardver -- legalábbis androidos mércével mérve -- elég öregecske, ráadásul Google szolgáltatások sem érhetők el a telefonnal, ami mondjuk ez esetben nem hiba, hanem tudatos döntés eredménye: Jobb nem kiengedni a szellemet a palackból. A Blackphone annyira biztonságos, hogy az operációs rendszer saját nevet is kapott, ez a PrivOS, ami persze ettől még android-alapú, de pár funkciót megváltoztattak rajta, így például ennél a rendszernél minden szénné titkosítható, beleértve a memóriakártya tartalmát, vagy akár a névjegyzéket. A Blackphone ára 630 dollár, a szállítás állítólag már megkezdődött, aki szerint a biztonság és az Android szavak egy mondatban említése eleve nem paradoxon, itt megnézheti és meg is vásárolhatja a készüléket.
Ide tartozik a hír, miszerint a német államvezetést támogató biztonsági szakembereknek megesett végre a szívük Angela Merkel kancellár asszonyon, aki a hónap végén megkaphatta a düsseldorfi biztonsági cég, a Secusmart kriptográfiai chipjével kiegészített BlackBerry Q10-esét. A durván 2500 euróba (!) kerülő chip lényegében egy újabb hardveres titkosító réteget von a telefon köré, és nem csak az adatforgalmat, hanem a beszédet is gyakorlatilag visszafejthetetlenné teszi. Az egyetlen bökkenő, hogy beszédtitkosításnál feltétel, hogy a másik oldalon is ugyanilyen készüléket, vagy legalábbis titkosító rendszert használjanak. A megoldás ebből a szempontból kissé hasonlít ahhoz, amit Barack Obama is használ, nem véletlen, hogy az Egyesült Államok elnöke a hírek szerint mindössze tíz embert tud felhívni a BlackBerryjével.
Merkel asszony egyébként állítólag választhatott, hogy a Q10-et, vagy egy Z30-at használna inkább, de végül a QWERTY-s megoldásnál maradt a német politikus. Neki aztán van ízlése, és ez nem csak az öltözködésén látszik!
Forrás: