Как стать автором
Обновить

Комментарии 20

Я думаю, Макафи получит миллиардик от яблочников в любом случае:
а) если он взломает, то он защитит техническую защиту эппла, так как будто бы использует социнж. Репутация эппла не пострадает.
б) если он не взломает, то он опять защитит техническую защиту эппла, и при этом таки размоет на инфополе вопрос конфликта фбр с эпплом своей клунадой.
Не забывайте про ботинки!
В смысле:
а) миллиард плюс сохранённые ботинки
б) миллиард минус съеденные ботинки
За миллиард долларов кто угодно согласится съесть ботинки. С большим аппетитом. Гордость человека можно купить и за гораздо меньшую сумму.
А какую сумму потеряет Эппл, если:
а) взломает или поможет взломать аппарат;
б) суд оштрафует эппл за неподчинение, может быть санкции, плюс будет проведена медиа-компания изображающее поведение эппла как пособничество террору?
Вся эта шумиха выгодна и Аппл — типа заботятся от безопасности и ФБР — все будут уверены что писать можно открытым текстом. Аппл легко может пушнуть фикс для легкого взлома и все будут довольны.
Ок, если они правда не могут предложить ничего лучше чем брутфорс, то даже если Apple опубликует бекдор, достаточно ставить надежные пароли.
Когда пароль сведён но 4ёх циферного пин кода, надёжностью не пахнет в случае возможности брутфорса.
На андроиде можно любой пароль, на айфоне судя по статье тоже.
Да, и следующий апдейт по просьбе ФБР будет запрет на пароли, длиннее 5 симовлов.</sarcasm>
Как вам сказать, чтобы не обидеть.

Больше всего во всей этой истории умиляет уровень комментаторов и людей, пишущих статьи. А он, как бы, не "ниже плинтуса", а вообще на таком уровне, что не знаешь — смеяться или плакать.

Факты — они перед всеми, совершенно открыты, но никто их не замечает.

А факты таковы:

  1. ФБР регулярно требует от Apple (Google, Microsoft — далее по списку) чтобы те открыли ту или иную вещь (данные на телефоне, переписку с GMail'а и прочее).
  2. Apple (Google, Microsoft — далее по списку) отчаянно и, что самое главное, искренне этому сопротивляются. И довольно успешно.
    Второй факт многими оспаривается, но, тем не менее, он верен. И если подумать — то должно быть совершенно очевидно, что он верен. Дело всё в факте номер три:
  3. ЦРУ (которое, казалось бы, должно "париться" ничуть не меньше ФБР) при этом молчит и ни от кого ничего не требует.

Знаете чем объясняется факт номер три? Нет? Всё очень просто: во всех современных системах полным-полно дыр. Уже один тот факт, что iOS и прочие телефоны на Android'е взламывается регулярно чего стоит (ведь все эти Jailbreak'и — это ведь взлом… очень похожий на то, что сейчас ФБР требует). И ведь их делают люди, у которых и близко нет тех ресурсов, которые есть у правительственных служб. То, что ЦРУ особо "не парится" говорит нам о том, что если нужно — взломают кого угодно. И неважно — BlackBerry вы используете, iOS или Android.

Так в чём же дело? Откуда тогда эти регулярно всплывающие "разборки" ФБР с разными компаниями? А очень просто: ФБР ловит преступников, а ЦРУ — шпионов. И потому для ФБР важно, чтобы улики можно было отнести в суд — а ЦРУ на это наплевать. Вот и вся разница.

Борьба идёт не за то, чтобы достать информацию с вашего телефона, а за то, чтобы сделать это легально. Такие дела.

Вот так вот просто примиряются факты 1, 2 и 3. Как к этому относиться — думайте сами.
Тут вопрос лишь в том, какой уровень паранойи вас устраивает. Можно конечно считать, что бекдоры есть везде и большой брат не дремлет. Потому что сделать аудит всего софта которым пользуешься самостоятельно невозможно, даже если он опенсорсный, а по другому гарантировать отсутствие бекдоров нельзя.
С другой стороны, аргумент несколько надуманный. Ибо очевидно, что то самый шпион, которого ловит ЦРУ, работает далеко не на дураков и хранить шпионские данные в потенциально взломанном айфоне не будет. В отличии от "клиентов" ФБР, которым таки нужны улики. А значит польза от вставки бекдора в айфон с затратами не соотносится. Тем более что к пойманному шпиону гораздо дешевле применить терморектальный криптоанализ.
И вообще технические штучки это не профиль ЦРУ — они занимаются в основном агентурной разведкой.
Кроме того, iOS сам по себе, а на андроиде я данные могу зашифровать хоть самописной прогой. И бекдоры не помогут.
Имея на руках бекдор, легализовать его можно миллионом разных способов, не крича на весь мир.

Но это все домыслы. Ваши и мои. Вам кажется, что мы живем в мире где любая информация доступна спецслужбам, мне приятно верить, что все не так плохо. Правды нам не узнать.
Можно конечно считать, что бекдоры есть везде
Госсподя. Да причём тут бекдоры? Есди вы считает, что везде и всюду натыканы бекдоры, то вам лечиться от паранойи нужно — как раз бекдоров-то нигде и нет!

Правда если у вас паранойя — то это не значит, что за вами не следят :-)

Дыры есть везде. Баги обычные. Что-то что-то где-то как-то не проверил/не подумал — и всё. Это я вам говорю как человек, который ежедневно общается с людьми, которые оные дыры ловят и затыкают. Меньше одной дыры в день — это, в общем, плохой «улов». А если подобные дыры обнаруживаются и затыкаются пачками, то, как вы думаете, сколько их остаётся до релиза? Правильный ответ: достаточно. ЦРУ хвататет.

Ибо очевидно, что то самый шпион, которого ловит ЦРУ, работает далеко не на дураков и хранить шпионские данные в потенциально взломанном айфоне не будет.
А где он, я извиняюсь, будет их хранить? На бумажке под подушкой? Где он невзамываемое железо и софт возьмёт? У ЦРУ купит? Так не факт, что такое и у ЦРУ есть!

Кроме того, iOS сам по себе, а на андроиде я данные могу зашифровать хоть самописной прогой.
Можете. Но делаете ли?

И бекдоры не помогут.
Бекдоры не помогут, а ошибки — легко. Забудет ваша «самописаная программа» стек за собой прибрать или mlock(2) сделать — и всё: секретный ключ удёт в swap, откуда его-таки легко вытащить. А ведь ошибка может быть и в ядре и в bionic'е и в art'е и вообще где угодно.

Откуда вообще такая фиксация на бекдорах? Как раз специально сделанных бекдоров почти наверняка нигде нет. От них гемору больше, чем пользы. При том отношении к разработке ПО, которое везде сейчас царит (тесты проходят ⇒ в продакшн!) они никому нафиг не сдались.
Дыры есть везде. Баги обычные.

Возьмем обычное шифрование AES — алгоритм на пару страниц кода. Сколько там незакрытых дыр может быть? Понятно, что чем сложнее код, тем больше, но все таки?

Правильный ответ: достаточно. ЦРУ хвататет.

Еще раз — этим занимается АНБ а не ЦРУ.

А где он, я извиняюсь, будет их хранить? На бумажке под подушкой? Где он невзамываемое железо и софт возьмёт? У ЦРУ купит? Так не факт, что такое и у ЦРУ есть!

Если его агентство занимается улучшением своего софта 10 лет, то ЦРУ его за день не взломает.

Можете. Но делаете ли?

Я — неуловимый Джо. Если бы у меня была информация, критичная настолько, что нельзя допустить даже мысли, что кто-то ее узнает — делал бы.

Бекдоры не помогут, а ошибки — легко. Забудет ваша «самописаная программа» стек за собой прибрать или mlock(2) сделать — и всё: секретный ключ удёт в swap, откуда его-таки легко вытащить. А ведь ошибка может быть и в ядре и в bionic'е и в art'е и вообще где угодно.

Ну дыры еще надо найти. Все ядро пока перероешь, оно устареет уже..

При том отношении к разработке ПО, которое везде сейчас царит (тесты проходят ⇒ в продакшн!) они никому нафиг не сдались.

Вы вольны делать иначе.
По поводу glibc, попробовал у себя на арче их proof-of-concept, бага (уже?) не воспроизводится.
Пакет glibc версии 2.22-4, ядро 4.4.1-2-ARCH.
Шумиха с Эпплом непонятна. Как я понимаю, и в Андроиде и в Яблоке можно поставить любой апдейт на конкретный телефон. Что, кроме пиара, мешает Яблочникам это сделать, если есть судебный ордер?
Это означает «прецедент» и орды пользователей, которые ценят в своих гаджетах в том числе з̲а̲щ̲и̲т̲у̲ ̲п̲р̲и̲в̲а̲т̲н̲о̲с̲т̲и̲, резко поубавятся, потому, что защищённость сразу становится эфемерной.
Прецедент чего? Выдачи пользовательских данных по решению суда? Какая разница — выдадут они их из облака или достанут из устройства?
Такая, что пользователь имеет свободу (вроде пока имеет?) не подключать облако. Данные из облака яблочники давно открыли суду. Обвинители недовольны тем, что данные из облака староваты.
Ну, возможно, кому-то это кажется принципиальным вопросом, а по мне так все, что попало в современный смартфон или gmail — по-умолчанию можно считать почти что публичной информацией.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий