Miközben a picit nagyobb kijelzős MacBook Prót vártuk, meg a megbízható billentyűzetet, nem árt felfigyelni arra, hogy a cég termékpalettájában egy ezeknél ezerszer fontosabb termék hiányzik, 2018 tavasza óta. Egy olyan termék, aminek a nemléte sokkal többet jelent, mint amit elsőre gondolnánk.
Nem árulom el, mi az. Sokan biztos rájöttetek, a többieket rávezetem.
Az Apple egyik legnagyobb selling point-ja az új vásárlók körében jelenleg a privacy, vagyis az az ígéret, hogy a cég vigyáz az adataidra. Nem hagyja, hogy mások lenyúlják, “ami az iPhone-odon történik, az iPhone-odon marad”, nem adja el, és másoknak is csak annyira hagyja eladni, amennyire muszáj.
Mit jelent a privacy? Azt, hogy az elvileg legálisan elmentett trillió bájtnyi adataink esetében beleszólásunk van abba, hogy milyen információk kikerüléséhez járulunk hozzá. Ez az adatmennyiség jelenleg csekély törvényi szabályozással lökődik egyik helyről a másikra, és az Apple abban a viszonylag kényelmes helyzetben van, hogy ezeket az adatokat már csak azzal is megvédheti, hogy ő maga nem nyúlja le őket. Nem kell gigászi erőket mozgósítania ahhoz, hogy jó fejnek tűnjön, egyszerűen elég a biznisz modellt máshogy kialakítani. Elég egy bukott iAd, és a bukást előnnyé kovácsoló ötlet.
Vannak azonban más adatszivárgások is, ez pedig a hackerek, adathalászok, másnéven a rosszfiúk által lenyúlt információk. Ha össze akarnánk hasonlítani a fenti adatmennyiséget a hackerek által lenyúlt adatokkal, akkor valószínűleg a Napot és a Földet kellene egymás mellé képzelnünk. A security azonban sokkal nagyobb meló, mint a privacy fenntartása: erre az oldalra nem hatnak a törvénymódosítások, nem hatnak a böngészőbe épített pluginek, nem érdekli őket a marketing-biztonság. Ha itt lépsz egy bábúval, a másik oldalon is lépnek, és végtelennek tűnik a küzdelem.
Az Apple pedig sokkal többet foglalkozik a privacy-vel, mint a security-vel. Mostanában komolyabban elkezdett érdeklődni utóbbi iránt is, ennek köszönhető az immár rendes bug bounty programja, de egy nagyon fontos lépésük arra mutatott, hogy gyakorlatilag minden erőfeszítésüket kétségessé teszik, és a felhasználókat mégiscsak kiteszik a támadásoknak:
megszüntették a saját routerek fejlesztését, kinyírták az akkor már sok éve nem frissített Airport családot.
És azóta sincs hír arról, hogy terveznék újra beindítani. Ami nagy kár.
A lépés különös volt, mert az Airportok a kezdetektől igen szeretett termékek voltak. Könnyű volt őket konfigurálni, nem kellett egy mezei felhasználónak mindenféle DOS-os adatlapokat nyomogatni, rá lehetett kötni adott esetben hangszórókat, és működött. De ennél is fontosabb, hogy aki akarta, minden termékét az Apple-től vásárolhatta annak érdekében, hogy eszözeit rendeltetésszerűen használhassa otthon.
Fogod az iPhone-odat, elküldesz egy fájlt cloud-ba, és a kettő között ott van egy kábé láthatatlan eszköz, egy nagyon is potenciális biztonsági rés: a router. Ha komolyan veszed azt, hogy az Apple biztonságban tartja az adataidat, mit szeretnél? Ő adja azt a routert, vagy megveszed másnál?
Nincs privacy adatbiztonság nélkül, de van adatbiztonság privacy nélkül
Ez a biztonságtechnikai cégek kedvenc szólása. Ha az Apple szempontjából vizsgáljuk, az állítás nettó szívás. Azt jelenti, hogy hiába erőlködsz a privacy-vel, ha nem figyelsz eléggé az adatok biztonságára, akkor végül valaki mégiscsak hozzáfér a féltett adatokhoz. Az Apple ennek ellenére azt üzeni, vásárolj otthonra iPhone-t, iPadet, Apple TV-t, HomePodot, Apple Watch-ot, hogy aztán az összes termék minden adatot egy routernek küldjön, ami továbbítja az adatokat, becsszó, rendeltetésszerűen. Ez szinte cinizmus.
A cég egyszerűen lusta volt. Tavaly a The American Consumer Institute (ACI) felmérése szerint az USA-beli routerek 83%-a nyitva hagyja a kaput egy támadás esetén, mert a firmware-jüket nem frissítik a támadások elkerülése érdekében. És ha abban gondolkodsz, hogy drágább routert veszel, mert abban jobb firmware dolgozik, akkor csalódsz, mert folyamatosan érkeznek cikkek arról, hogy azokban is találnak sérülékenységet. Majd te frissítesz rendszeresen, és biztos vagy abban, hgoy időben lépnek a gyártók a befoltozásra? Hát persze. Így lesz.
Ez egy nehéz terep. A routerek ára viszonylag alacsony, legalábbis az Apple mércéjével mérve. Folyamatos és komoly fejlesztéseket igényelnének, és semmilyen új ficsört nem lehet eladni általuk azon túl, hogy működnek, és hogy biztonságosak. Mennyivel egyszerűbb azt mondani, ha baj van, hogy mi mindent megtettünk, a több gyártó termékét nem kellett volna használni.
Nincs privacy adatbiztonság nélkül, de van adatbiztonság privacy nélkül, és az Apple-nek nagyon gyorsan el kellene kezdeni kiépíteni, elérhetővé tenni a saját, zárt rendszerét, legalább a saját otthonunkban, hogy ha már arra kérnek, hogy nyugodtan dőljünk hátra, ne egy potenciális veszélyforráson keresztül kapjam a biteket, amik kirajzolják a képernyőmre ezt a magasztos üzenetet.
szucsadam
2019.07.27. 14:30
Címkék: privacy titok
Az Apple HomePodjának a hangzásán kívül van még egy nagyon előnyös tulajdonsága: hivatalosan is az Apple kezeli az elküldött hangokat. Az Apple pedig nem adja el az adatokat kereskedelmet javító célzattal, vigyáz a privát szféránkra, mert a hardverből él, ami miatt a szoftvert bezárja. Ezt gondoljuk, nem igaz? Az Apple szeretné, hogy ezt gondolnánk.
Van azonban egy pont, ahol ez a dolog már nem annyira egyértelmű.
A Guardian cikke nagy port kavart, pedig nem állított sokat. Csak azt, hogy az Apple által felkért alvállalkozóknál az alkalmazottak sok olyan hangfájlt hallgatnak meg, amit nem szeretnének. Egy pár szexel, mások drogüzletről beszélgetnek, valaki a betegségét beszéli meg másokkal. Azért hallgatják meg ezeket, hogy javítsák az asszisztens hangértését, nem azért, hogy feljelentsenek, nem is társul a hang Apple ID-val. Az Apple válaszul kijelentette, hogy az alvállalkozók titoktartási szerződést írnak alá, és hogy a rögzített hangoknak csak nagyon kicsi, kevesebb mint 1%-a jut el emberi fülekhez.
Akkor mi a gond?
1% az baromi sok. 0,5% is. Az azt jelenti, hogy valószínűleg már téged is meghallgatott valaki, ha rendszeresen használod az asszisztenst.
A másik gond, hogy titoktartás ide vagy oda, mégis megjelent a Guardian cikke. Szóval az emberek beszélnek. Most, ennek a lapnak keveset, holnap, másnak, többet, ki tudja?
Harmadrészt baszki. Alvállalkozók? Az Apple nem volt képes házon belül tartani ezt a humán feldolgozási eljárást? Több mint ezer alkalmazottjuk van modemchipek gyártására, holott a cég csak most vásárolt fel egy Intel leányt, amivel egyáltalán modemchipet lehet gyártani. Gyanítom, még sok ezren dolgoznak olyan munkakörben, aminek sok év múlva, ha egyáltalán, látjuk hasznát. A “titokbefogadó központ” meg outsourcolva van?
Az Apple biztosan nem szegett ezzel törvényt, a Privacy dokumentumaiban minden szó stimmel. Hogy akkor mi a gond?
Az, hogy így ők is csak egy újabb cég, ami olyan szlogeneket pufogtat, hogy “ami az iPhone-odon történik, az iPhone-odon marad”, meg hogy a “felhasználó csak azzal osztja meg a bizalmas dolgait, akit kijelöl rá”. Miközben jobban járunk, hogy ha tényleg a valóságra vágyunk, átnyálazzuk az EULA-t.
Ja, hogy ez nem kereskedelmi cél? Hogy nem eladják az adatokat, hanem javítják a szoftverüket? Tényleg. Tényleg, elismerem, hogy nagy különbség. Aki nem szeret termék lenni, az továbbra is az Apple-lel nem lesz az. Csak hát az a helyzet, hogy ha átlátható, világos irányelvek alapján szeretnéd, ha az adataidat kezeljék, ha te is úgy szereted, ha a “mindig” az azt jelenti, hogy MINDIG, akkor az Apple is csak egy EULA-kreátor, és nem az a jó fej buddy, akire rábízhatod a titkaid.
Mert ő átpasszolja olyanoknak, akik aláírtak egy papírt valakivel, aki ez alapján aláírattat egy másik papírt mással, az meg egy újabbat egy gyakornokkal, aki szarik az egészre, csak meglegyen a nyári meló. Egyébként meg hé, tudod mit hallottam a minap…?
szucsadam
2019.06.12. 09:22
Címkék: vélemény biztonság privacy
Meg tudunk találni egy ellopott Macet akkor is, ha alvó módban van…
- olvasom több helyen is az állítást. Igen, a T2-es chippel ellátott Mac-ek a következő macOS verzióban már tudni fogják ezt: Bluetooth beaconokká válnak, kibocsátanak egy alacsony energiájú jelet, amit bárki almás eszköze érzékelhet. Aztán, mint egy nagy testvéri hálózatban, a jelet az eszközök továbbítják az Apple számára, aki meg ezt továbbítja az eszközt kereső személynek.
Az egész titkosított és névtelen. Minimum két Apple eszközödnek kell lennie, a Find My-jal. Mindkét eszközöd egy-egy folyamatosan megújuló, de páronként megegyező kulcsot állít elő, és ennek hash kódját küldözgeti. A Mac, ha elvesztetted, mások közeli Apple-eszközeinek segítségével. Az Apple-nek csak annyi a dolga, hogy az egyik - meglévő, tehát a keresési kérelmet elküldött eszköz - kulcsával azonosat keressen a rendszerben. Ha egyezik, a titkosított helyadatot a készülékünk a kulccsal visszafejtheti, és megtalálja az elveszett laptopot.
Az ellopottat is? Nem, azt nem hinném.
Ugyanis jó ideje tudhatja minden tolvaj, hogy elektronikai eszöz lopása esetén az első dolog, hogy ki kell kapcsolni az eszközt. Megakadályozza valami ebben őket? A világon semmi.
Csakhogy a kikapcsolás pillanatában elveszik a lehetősége annak, hogy a készülék felcsatlakozzon a netre a háttérben, vagy hogy beacon jelet küldözgessen, akármilyen kifinomult eljárással is teszi ezt. Persze az Apple fejlesztése nem rossz, és elvesztés esetén segít, de hogy lopásnál is segítsen, ahhoz más kellene. Egy különálló, aprócska akksi, ami csak a T2 chip jeladóját látja el, és mivel nagyon kicsi az áramszükséglet, sokáig meg is teszi. A kisakksit a nagyakksi tölti, ha minden oké, viszont ha a nagyakksi kikapcsol, életben marad a pici.
Ez nem illúzió lenne, hanem valódi biztonság.
De nem ez az egyetlen, amiben az Apple biztonsági állításai hamisnak, vagy legalábbis féligaznak bizonyulnak. Ebben a Wired cikkben pedig arról van szó, hogy Mojave egy éve életben lévő biztonsági megoldásai - ami abból áll, hogy a felhasználó rákattint egy gombra, miszerint engedélyezi vagy megtiltja az érzékeny adatok átadását egy külső program számára - nem éppen kijátszhatatlanok. Sőt. A gépi klikkek segítségével - ami egy kisegítő lehetőség azoknak, akik nem tudnak egeret vagy trackpadet használni - simán lekattinthatóak voltak ezek az ablakok. És nem is kellett a felhasználó beleegyezése a gépi klikkelésbe: malware-ek is képesek voltak rá.
Egyszerűen azért, mert bizonyos appok számára - VLC például - nem kellett engedély, hogy használják a synthetic clicks szolgáltatást. Patrick Wardle, ex NSA biztonsági szakértő a tavalyi évben több módszerrel is átment ezen a biztonsági kerítésen, és mint elmondta, ha módosítja a VLC kódját, akkor onanntól kezdve a saját malware-je is simán lekattinthatja azokat az ablakokat, ami a malware számára átadott érzékeny információkat akadályozhatnák meg. Az Apple ellenőrzi ugyan, hogy az adott app kapott-e már engedélyt a synthetic click-re, de leginkább csak a nevét nézi, a kódot nem. Ha VLS ruhába öltözik, szinte bármi megkapja az engedélyt.
Az Apple állítólag nem reagált azokra az üzenetekre, amikben felhívta a figyelmet a problémákra, és nem is javították a dolgot. És ha ez így van, akkor félő, hogy az Apple, noha egyre erőteljesebben hangoztatja a privacy és a security szavakat, tényleg marketing eszközként tekint ezekre. Valódi fejlesztés zajlik persze náluk, de a megoldásaik sokszor lyukasak, mint egy sajtreszelő. Abban biztosak lehetünk, hogy szándékosan nem fogják átadni az adatainkat másoknak - ahogy sok cég teszi -, és hogy minden erejükkel meg is védik az információkat. De hogy mekkora ez az erő, arról talán rossz kép van a fejünkben.
Lehet, hogy a Mac-eseket továbbra is az egyre vastagodó árcédula védi meg leginkább a támadásoktól. Ez tartja garantáltan 10% alatt a piaci részesedést, történjen bármi, és egyben ez az, ami kellő mennyiségű pénzt ad az Apple-nek ahhoz, hogy az adatainkra költsön, és ne hasznot húzzon belőlük.
Az viszont a mi feladatunk, hogy számon kérjük rajtuk a ráfordított költés és figyelem mértékét. A baj addig van, amíg azt hisszük, a biztonság számunkra ingyen van. Egy Mac árában igenis tételesen ott kellene szerepelnie a szoftverek, az operációs rendszer, a biztonsági megoldások, a privacy és a többi járulékos csomag árának. És akkor tiszta sor, hogy nem egy ingyenes szolgáltatás miatt reklamálunk, amikor azt kérjük, hogy használják a közösség és az etikus hackerek bejelentéseit, hanem a pénzünkön vásárolt jogunkkal élünk.
szucsadam
2019.03.27. 13:47
Címkék: privacy apple card
A Goldman Sachs vezetője, Richard Gnodde egy interjúban elmondta, hogy az Apple Card számára már keresik a nemzetközi terjeszkedés lehetőségét. Ez egyrészt jó, mert az USA rég nem azonos az Apple-felhasználókkal, még megközelítőleg sem, másrészt azért különös, nem?
A bank vezetője jelentette be, mit akar az Apple.
Ilyen kommunikációs fordulatra az Apple előre felkészíti a partnereit, tilos bármit, bármilyen formában megosztani, különben ugrik a szerződés. De az Apple hozzászokott, hogy a cégek léte, legalábbis abban a méretben, ahogy épp áll, tőlük függ, itt viszont a Goldman Sachsról beszélünk. Megtehetik, és simán megússzák.
Na, azt nem tudni, hogy mikor és hogyan lépik ezt meg, de leginkább sokára és nehezen. Az egészen biztos, hogy az 1-3%-os cashback rendszer az USA sajátja, ezt máshol nem lehetne átültetni a gyakorlatba. Persze szürke, fém kártyákat máshol is lehet osztogatni, de ez az egész nem erről szól. Az egész arról szól, hogy az Apple Pay még jobban terjedjen, illetve hogy
az Apple egy hatalmas kapuvá váljon, amin belül az adataid a tiédek, azon kívül meg ki tudja.
Az egész bemutató legfontosabb üzenete az volt, hogy az Apple kézben tartja az adataidat, amik csak akkor és olyan formában hagyják el a telefonodat, amennyire feltétlenül muszáj. És ezt az ígéretet jó lenne világszinten biztosítani, és tudja az Apple is, hogy az USA-n belül az egész szabadságharc valamiféle lokális érdekesség lehet legfeljebb.
szucsadam
2019.02.11. 07:42
Címkék: privacy
Amikor először meglátjuk, hogy az Apple eltörli a “Do Not Track” funkciót a Safariban egy “Intelligent Tracking Prevention” nevű másikra, úgy érezhetjük, hígul a limonádé. Most tényleg, tegye fel a kezét, aki szerint nem az ordít a két kifejezésről, hogy egy korábbi szigorú nemengedem szabályt cserélnek fel egy "intelligens”, vagyis válogatós, helyzettől függő tiltásra. A mindig tiltást cserélik bizonyos esetekben-re?
Nem, épp ellenkező a helyzet.
A Do Not Track funkciót nem az Apple találta ki. 2009-ben javasolta először a használatát három kutató, mint eszközt arra, hogy a weboldalak láthassák, ki nem szeretné, ha követnék a viselkedését. Az egész borzasztó egyszerű, valójában egy header változót jelöl: a DNT változó értéke lehet 1, ekkor a user nem szeretné, ha követnék. Lehet 0, amennyiben beleegyezik a látogató a követésbe, és olyan is van, hogy a változó nem determinált, ekkor a látogató nem tett a követésre utaló kérést.
A Do Not Track olyan elegáns, mint egy teázó brit lord: udvariasan kér, jelzi az indíttatást, majd várja, hogy tartsák tiszteletben az óhaját. Aztán a lord nagyot néz, mint Brexit után a white trash - nemhogy leszarja mindenki a DNT változóját (Google, Facebook, Twitter, mindenki), sőt. Sokan kifejezetten elkezdik felhasználni ezt fingerprinting metódusokban.
Ja, plusz változó? Köszi, ez is plusz adat.
Tehát épp az ellenkező hatást éri el a DNT, mint amire tervezték.
A DuckDuckGo felmérése szerint az USA-beli felnőttek 23 százaléka kapcsolta be ezt a funkciót, viszont azok közül, akik bekapcsolták, kevesebb mint 60 százalék volt tisztában a Do Not Track engedékenységével. Vagyis hogy semmire nem kötelez senkit.
Így aztán az Apple meg is szünteti a kontraproduktív headert, helyette ráfekszenek az Intelligent Tracking Prevention-re, ami már nem udvariasan kér. Egy machine learninget is használó megoldásról van szó, aminek során statisztitai adatokból kiszűrik, mely domaineknek van lehetősége a felhasználók követésére, majd kiszűrik azokat a first party sütiket, amikkel megvalósítják ezt, majd blokkolják ezeket a sütiket.
Csak míg korábban volt egy 24 órás ablak, amin belül ha visszatértél ugyanarra a weboldalra, akkor a hirdetést kezelő szervernek még lehetősége volt az általa elhelyezett sütit elolvasni, így téged visszatérő vendégként kezelni, addig mostanra már minden reatargeting eszköz megszűnik. Egyszerűen azért, mert a hirdetéskezelőnek lehetősége sem lesz elhelyezni azt a bizonyos sütit, hacsak a felhasználó nem járult hozzá ehhez. Bővebben itt.
Az EU a GDPR-ral átláthatóságot és szabad akaratból előre beleegyezést rendelt el. Az Apple a saját böngészőjének határain belül megpróbálja blokkolni a létező gyakorlatokat, és egy vírusíró-vírusirtó játszmában elindulni.