Опубликованный протокол Окружного суда Восточного района Нью-Йорка повествует о том, почему Apple игнорирует требования прокуроров разблокировать телефон Джана Фенга. Фенг был владельцем iPhone 5s с операционной системой iOS7. Телефон Фенга был настроен так, что при десяти неудачных попытках ввода кода стирал все данные.
В этот раз на слушаниях Apple упрямо утверждала, что в будущем не будет выполнять такие задачи. Более того, iOS8 и iOS9 невозможно взломать даже силами самой компании, утверждают юристы.
В ответ на это прокуроры напомнили о 70 ордерах о просмотре данных телефонов подозреваемых, которые исполнила Apple. По мнению компании, это были иные случаи, потому что тогда правительство просило помощи технической поддержки.
Защита пользовательских данных является частью бизнес-модели Apple. DaylyDot приводит цитату одного юриста, который говорит, что Apple больше занята собственным восприятием общественностью, чем поиском преступников. Через некоторое время после этих слушаний глава компании Тим Кук высказался в поддержку системы шифрования и защиты персональных данных и отказался предоставить ключи шифрования администрации Барака Обамы. Если будет лазейка для спецслужб, ею воспользуются и злоумышленники.
Комментарии (69)
nikitastaf1996
31.01.2016 12:57+20Apple я не доверяю.На публику можно говорить что угодно.Только open source.Только хардкор.А вообще надеюсь со временем это станет повсеместным явлением.
Razaz
31.01.2016 13:53+18Открытие исходников ничего не дает. OpenSSL например. Искать уязвимости и хитрые закладки может только определенный класс специалистов, которые тратят рабочее время на то, за что платят.
Areso
31.01.2016 15:01+8Да, возможно это так. С другой стороны, это гарантирует, что очередная крутая программа шифрования данных (за деньги!) не XOR'ит первые 128 байт в шифруемом файле…
Потому что если программа раскручена, популярна и Open Source, то, будь у общественности такой интерес, они могут собрать средства (краудфандингом) на её аудит теми специалистами, которые могут читать и код, и разбираются в шифровании и алгоритмах. За деньги.Razaz
31.01.2016 15:18-4А если проприетарный софт закажет аудит у той же компании? :)
Открытые исходники не гарант безопасности. Они гарант того, что вы не останетесь без штанов из-за хотелок вендора ПО. Например Jenkins и Hudson, OpenSSO и OpenAM.Razaz
01.02.2016 12:42Хоть скажите кому не понраивлось, что не так то?) Просто ели две компании c разным подходом к разработке заказывают аудит у одной компании и она говорит что все ок, то можно ли считать что оба решения соответствуют требованиям безопасности? :)
А опенсорс как раз спас такие проекты как Hudson и OpenSSO, когда Оракл решил их позакрывать или посадить своих людей.Areso
01.02.2016 17:54+1Не понравилось то, что заказчики аудита — разработчики — и музыку заказывают — за их деньги аудиторская контора вполне может поступиться с принципами, «просмотреть» бэкдор и нарисовать хороший отчет, или, хотя бы, подправить его в лучшую сторону. Когда заказчик — третье лицо, причем максимально заинтересованное в честных результатах — такие финты ушами просто не имеют смысла.
Razaz
01.02.2016 18:05Тоесть вопрос доверия к аудитору. Тут уж никто не застрахован. Могут и не особо внимательно проверять открытые исходники, сотрудник может полениться или не обладать достаточной квалификацией. такие размышления могут дальше к теориям заговора привести)
Я не защищаю софт с закрытыми исходниками, но отождествлять открытость и безопасность не стоит.
То, что у некоторых товарищей из правителств пригорает от того, что они не могут просто так вскрыть информацию — определенный маркер.
Foolleren
31.01.2016 19:38-1Извините, но самый стойкий метод шифрования — одноразовый блокнот — использует именно XOR
tmin10
31.01.2016 20:20+1Но ксорить только первые 128 байт с постоянным ключом это даже нельзя назвать шифрованием. А именно так поступала какая-то раскрученная программа под мобильные ОС, которую ещё и продавали.
Foolleren
31.01.2016 21:25в том то и загигулина, что дело не в XOR, а в том как его используют
Два программиста встречаются:
-У тебя есть генератор случайных чисел?
-179.
Sadler
31.01.2016 15:35которые тратят рабочее время на то, за что платят.
Которые тоже люди и тратят своё время не всегда на то, что Вы ожидаете.Razaz
01.02.2016 12:38Согласен. Но это капля в море. Последняя пара лет показала нам шикарный список уязвимостей в открытом софте. Я не умаляю достоинств опенсорса, но надеяться что у семи нянек дитя будет с целым глазом я бы не стал. Весь посыл был к этому.
l27_0_0_1
01.02.2016 08:58Думаю, вам будет интересно ознакомиться с вот этим документом:
www.apple.com/business/docs/iOS_Security_Guide.pdf
Cr558
31.01.2016 13:43+17Тоже не верю эплу, но откуда мне знать, что в системе с открытым кодом все чисто? О, да я могу посмотреть миллионы строк кода… Ну, ладно десятки тысяч… Легче стало. А еще, я конечно же специалист в области алгоритмов шифрования и могу выявить закладки в нем на уровне математики. Думаю, открытый код лучше, его видят миллионы человек, но вероятность, что каждый из них квалифицирован, имеет время, желание, незаинтересован в плохом и изучит нужный кусок очень мала. Уязвимость к тому же может быть за пределами одной программы, где-то в сторонней библиотеке, которую так же пишут разные люди. Поэтому open source, лишь иллюзия безопасности. Да плюс к закрытому коду, но далеко не панацея. Закладки еще аппаратные бывают, к слову так.
flowrd
31.01.2016 19:28Я интуитивно с вами согласен. Но тот факт, что многие пользователи убеждённы в «только opensource», заставляет меня задуматься, что может мы чего-то не знаем?
higin
31.01.2016 19:28Вот в том то и прелесть open source, что вы можете посмотреть исходники (если конечно вам это нужно). На счет безопасности- полностью с вами согласен, расслабляться не надо!
yoshitoshi
01.02.2016 00:54Исходники — это половина дела. Их ещё надо скомпилировать. Думаю, не надо дальше объяснять, что разные компиляторы из одного исходного кода соберут разные исполнимые файлы? В том числе, может так случиться, что в «невинный» исходный код при компиляции будут добавлены закладки. Вы и компилятор будете проверять? :-)
neomedved
01.02.2016 08:05+1Конечно, все же знают что компилятор должен быть как минимум собран из исходников компилятором, собранным из исходников.
Charg
31.01.2016 19:29Думаю, открытый код лучше, его видят миллионы человек, но вероятность, что каждый из них квалифицирован, имеет время, желание, незаинтересован в плохом и изучит нужный кусок очень мала.
Так и есть. Лучше именно по той простой причине что вероятность больше ноля.
domix32
01.02.2016 00:56Собственно потому в гос.учреждениях пользуют сертифицированное ПО, а не open source. Конечно там же и сертифицированные закладки
Elmot
31.01.2016 14:23+4Нет, чтобы сразу признаться — мы за легалайз.
Тиму Куку-то теперь чего бояться?
Diagon
31.01.2016 19:29+1Здесь выдают, там не выдают.
Приватность данных должна быть реализована на уровне техники, а не политики.
tabaki
31.01.2016 19:29+1А может он чей-то поставщик и они сами боятся спалиться?
В других 70 случаях проблем не было, а теперь вдруг такие принципиальные.
Wizard_of_light
31.01.2016 19:29Ну, продукция Эппл тоже многих вставляет :)
А вообще, видимо, информация с телефона не так важна, и юридически не так просто, иначе уже дело бы не ограничилось вялым пинанием Эппла. Сдампить флеш-память для предотвращения стирания и расшифровать, как я понимаю, не космических технологий требует. Хоть там и AES-256, но я не верю, что простой наркоторговец придумал совсем уж оригинальный пароль.
vitamin
31.01.2016 19:44+3Я недавно разговаривал с товарищем, через Facetime. Он как раз собирался на конференцию и говорил, что собирается купить костюм. Я ответил, что лучше б он заранее озаботился этим вопросом и заказал пошив. Через некоторое время в Safari я увидел это: www.dropbox.com/s/yrpn76x607acqrp/IMG_4534.jpg?dl=0
Я уже привык, что за мной следят и пытаются продать то, что я искал, но не думал, что и подслушивают тоже. Я и не обратил бы внимания, если бы речь шла не о костюмах, коих у меня за всю жизнь было всего 3 (и надевал я их немногим больше этой цифры раз, последний — лет 10 назад). Соответственно, представить себе, чтобы я искал в интернете костюм, да ещё его пошив — мне решительно невозможно.
Я к чему — Apple заботится о приватности пользователей. И никому не раскрывает данные, ага.Foolleren
31.01.2016 19:49Меня эта реклама на хабре уже достала, хотя я про тряпки ничего даже рядом не искал.
vitamin
31.01.2016 19:52А может, говорили, как я? :)
Я не исключаю, конечно, что у меня паранойя. Но не вижу особых сложностей с реализацией.Foolleren
31.01.2016 19:57+1по телефону «максимум» могу сказать «путин бомба взрыв чеченцы» — шутки шутками а качество связи по межгороду заметно растёт после такого заклинания.
qw1
31.01.2016 23:31Осторожнее с этим, в беларуси за ложное сообщение о терракте даже в приватном разговоре дают реальный срок.
Goodkat
31.01.2016 20:05Эппл зарабатывает миллиарды на продажах железа, и вся эта кампания против слежки за пользователями и выдачи данных, дефолтный do not track в браузере, блокировщики рекламы в последней версии iOS — это, имхо, в пику главному конкуренту, Гуглу с его Андроидом, который захватил мир своей бесплатностью и живёт ТОЛЬКО ЛИШЬ за счёт продажи данных своих пользователей рекламодателям.
Поэтому рисковать репутацией и тратить ресурсы на прослушку разговоров в FaceTime, когда они свою Siri допилить до нормального понимания речи не могут, только ради того, чтобы заработать крохи на рекламе, мне кажется глупым.
DnV
01.02.2016 00:47Если бы распознавание разговоров с выявлением ключевых слов и отправкой в рекламные сети действительно было реализовано, то это можно было бы повторить и доказать специально проговаривая нужные слова. И это был бы скандал, поэтому такое делать никто не будет без ведома пользователей.
JC_Piligrim
01.02.2016 05:38+1Офигеть. Я думал, что подобные истории — совпадение.
У самого недавний случай — как-то супруга имела неосторожность в присутствии наших телефонов (у неё iPhone, у меня Android) произнести фразу: «дорогой, у меня швабра сломалась, будешь мусор выносить — выброси, а будешь в магазине — купи новую».
Каково же было наше удивление, когда у меня гуггл в контекстной рекламе на следующий день выдал «ищете новую швабру? Купите xxxx!» с ссылкой на интернет-магазин. А у неё перед просмотром ролика с ipad с её аккаунтом youtube выдал целый 15-секундный видеоряд о преимуществах моющего пылесоса компании yyyyy.
При этом совершенно точно никто из нас не искал информацию о швабрах и пылесосах, т.к. и так понятно что это «одноразовая» вещь и где её брать, а пылесос есть и устраивает.
Как по мне, это уже за гранью.
Я, конечно, подозревал, что нас «пасут» шпионские модули с функцией звонков и СМС, но не думал, что прослушивают и логгируют всё и вся настолько дерзко.
Так что все эти дешёвые завявления о том, как корпорации заботятся о моей приватности — не более чем популизм.lamoss
01.02.2016 10:29Возможно дело в том, что у вас включена активация по команде «Привет Siri»?
neomedved
01.02.2016 12:54Даже Привет, Siri/OK, Google распознаётся не со 100% точностью, а распознать ключевые слова для рекламы ещё труднее.
lamoss
01.02.2016 13:00Я к тому, что при включенной опции смартфон постоянно (на зарядке) слушает и отправляет в эппл все звуки попавшие в микрофон
Aingis
01.02.2016 20:26Вы не понимаете, как это работает. Если телефон будет постоянно слушать (!), да ещё отправлять (!!) подслушанное, он сядет за несколько часов. Наоборот, телефоны стараются лишний раз соединение не открывать, чтобы сэкономить энергию.
На самом деле, для таких простых фраз вроде «Привет, Сири» отправлять данные на сервер вообще не требуется, можно составить простую сигнатуру, которую легко распознать прямо на клиенте. Именно за счёт того, что сигнатура простая и на её распознование не требуется много энергии, это можно делать в фоновом режиме. Если помните, Эппл даже не сразу ввела это новшество, раньше надо было включать устройство.
Что касается упомянутых случаев, то возможно имело место простое совпадение. На огромной аудитории Гиктаймса единичное совпадение совсем не удивительно. В свою очередь, производители швабр могли решить, что с потеплением в городе много грязи и это подходящее время, чтобы запустить рекламную кампанию.lamoss
01.02.2016 20:31Я понимаю как это работает, потому что активация по «Привет Сири» доступна только когда телефон подключен к зарядке. Без зарядки эта опция недоступна.
И эппл только думает над тем, чтобы составить сигнатуры, а пока — любой запрос отправляется на сервер, а там уже распознается.Truefiber
02.02.2016 16:13На 6s Plus доступна и без подключения к зарядке
lamoss
02.02.2016 16:28Возможно пошли на уступки и без зарядки распознают только Привет Сири, а с зарядкой — всё подряд?
Truefiber
02.02.2016 16:34В каком смысле «все подряд»? «Привет, Сири» активирует помощника, и, конечно, ему можно уже говорить всё подряд. Пока активирующую фразу не скажешь, телефон и не подает признаков жизни. Аналогично и с «Ок, гугл»
Pakos
02.02.2016 17:10Был в комментариях mail.ru гражданин-радиоинженер-со-стажем, который утверждал что за ним паспорт с машиносчитываемой зоной (машино- — значит там страшный-следящий-чип сидит, про OCR он не в курсе был) следит через спутник, чтобы сообщить о том, что он взял не свой телефон, а телефон жены. Так что поосторожнее с идеями слежки — недолго и радиоинженером стать.
LanMaster
01.02.2016 08:59-1>>цитату одного юриста, который говорит, что Apple больше занята собственным восприятием общественностью, чем поиском преступников.
Этот юрист ещё и юморист. Интересно, чем же, по его мнению, должна быть больше занята Apple?
QuaziKing
01.02.2016 08:59ИМХО: Интернет == свобода. Государства нужны для поддержания НЕ равенства. Интернет — очередной шаг на пути глобализации. Ест-но текущая система сопротивляется. Я рад что цели очень сильной компании пока(?) совпадают с нашими.
vettspace
«мегамфетамина». Заинтриговали.
По теме -выдавать данные наркоторговца коих тысячи, которого к тому же все равно посадят не гоже для компании с астрономической капитализацией. Зачем рисковать репутацие. Думаю, если бы это был какой-нибудь международный террорист — дела обстояли бы иначе и парой бумажек из полиции «вскройте его телефон пожалуйста» здесь бы не обошлось.
И еще не могу понять фразу (хотя регулярно на нее натыкаюсь) «Более того, iOS8 и iOS9 невозможно взломать даже силами самой компании» может я чего то не понимаю? а зачем взламывать то? Резервные копии моего телефона, которые лежат на серверах Apple, не представляет сложности вскрыть.
Barsuk
Если в данном конкретном случае они вобще делались, что маловероятно. И если они не шифруются индивидуально для каждой записи.
sT331h0rs3
Возможно, резервные копии, лежащие в облаке, также зашифрованы.
vettspace
Возможно, но iTunes при создании резервной копии локально их не шифрует к примеру. Вот с их же сайта
«Программа iTunes не шифрует резервные копии по умолчанию. Чтобы зашифровать резервную копию с помощью пароля в iTunes в первый раз, необходимо установить флажок «Зашифровать резервную копию»»
Что бы включить шифрование нужно сделать небольшой, но все же ряд действий. А так — это просто папка с файлами.
neomedved
Я думаю, наркоторговец все же задумывался о безопасности данных.
AmberSP
Вот тот чувак из гетто в фиолетовой бандане, который толкает мет на улице и созванивается с корешами по украденному айфону — задумывается о сохранности данных? А ведь он тоже наркоторговец.
Alexeyslav
Они тоже люди, большая часть из них даже контакты не закрывает и прописывают туда реальные имена… по которым вычисляют еще и подельников.
DukeNukem3D
Там же через одного победители олимпиад, а каждый десятый — доктор наук.
Apazhe
Нет, конечно. Но и не тупые идиоты, как вам хотелось бы думать.
DukeNukem3D
«Наркодилера поймали во время раздачи листовок с его услугами»
«Наркодилер организовал благотворительную продажу „травки“ в помощь жертвам урагана „Сэнди“»
«Житель американской Флориды, пытавшийся сбыть наркотики, случайно отправил SMS сотрудникам полиции.»
«Ростовский наркодилер упал в обморок, поняв, что продал марихуану оперативникам»
«Контрабандисты случайно сбросили на дом Майи Доннелли пакет с 12 килограммами марихуаны»
И таких историй сотни. И большинство наркодиллеров — идиоты, мечтающие срубить бабла влегкую. Поищите на ютубе как ловили распространителей спайса, пока они о закладках не догадались.
Apazhe
Вау, cherry picking в виде подборки заголовков жёлтых СМИ.
Да, мелким криминалом в основном занимаются идиоты, не сумевшие пристроить себя в легальном поле.
Но «в основном» не значит «все поголовно». Барыги очень разные бывают, очень.
Я, например, долгое время закупался травой и кислотой у дипломированного архитектора, с клиентами и заказами. Он таким образом не столько зарабатывал, сколько знакомился с новыми интересными людьми. Нет, не попался, сейчас совладелец ресторана вместе с одним из своих бывших покупателей.