מה זה GrayKey? כלי המפריע את הצפנת iPhone וסיסמאות

פרסומת

הצפנה היא ברכה לכל מי שמשתמש במכשיר דיגיטלי. ה האינטרנט יהיה מקום מסוכן ללא הצפנה 5 סוגי הצפנה נפוצים ומדוע לא כדאי לכם להכין בעצמכםהאם כדאי לגלגל את אלגוריתם ההצפנה שלך? האם תהית אי פעם אילו סוגי הצפנה הנפוצים ביותר? בוא נגלה. קרא עוד , וכך גם נקודות גישה ל- Wi-Fi ומכשירים מוגנים באמצעות סיסמה כמו מכשירי iPhone.

עם זאת, האייפון כבר אינו מעוז הביטחון שהיה פעם. רשויות אכיפת החוק האמריקאיות משתמשות בכלי זול כדי לעקוף את הצפנת האייפון, מה שמפחית באופן דרסטי את הפרטיות תוך פגיעה באבטחה.

להלן מבט מעמיק יותר על הכלי החדש של GrayKey, מה הוא עושה, מדוע הוא מסוכן ומדוע אפל חוששת מכך.

אפל מול ה- FBI

לפני שנבדוק את GrayKey, מעט רקע רקע להצפנת אייפון ומנסה לפצח אותו.

זוכר את האייפון של סן ברנרדינו? לאחר פיגוע בסן ברנרדינו, ה- FBI לקח את אפל לבית המשפט. ה- FBI רצה שאפל תיצור דלת אחורית של הצפנה שתאפשר להם לחצא את האבטחה באייפון של אחד המחבלים שנפטרו. באופן טבעי, אפל סירבה, בטענה נכונה כי ברגע שתיווצר הדלת האחורית, היא לעולם לא תיסגר מדוע אסור לנו לעולם לתת לממשלה לשבור את ההצפנהלחיות עם טרוריסט פירושו שאנחנו עומדים בפני קריאות קבועות לתפיסה מגוחכת באמת: ליצור דלתות אחוריות להצפנה ממשלתיות. אבל זה לא מעשי. הנה הסיבה לכך שהצפנה חיונית לחיי היום יום.

קרא עוד .

חברת האבטחה הישראלית, Cellebrite, מצאה בסופו של דבר דרך באמצעות מנגנוני האבטחה של אפל באמצעות פגיעות שלא הייתה ידועה בעבר. ולא היה שום דבר בטלפון. שימו לב באותה תקופה, שירות קלברייט עלה 5,000 דולר למכשיר והיה צורך לשלוח את הטלפון למתקן המאובטח שלהם.

הבזק קדימה לשנת 2017. חברה המכונה Grayshift מופיעה בשוק ומוכרת את המוצר החדש שלהם: GrayKey. מטרתו של גריי קיי הייתה לא ברורה עד תומאס פוקס-ברוסטר חשף את המכשיר ב- Forbes Exclusive, כולל כמה תמונות, כמו גם סקירה כללית של מה שנעילת ה- iPhone של GrayKey עושה בדיוק.

נעילת ה- iPhone של גריי קיי

הנה מה שידוע על פותח ה- iPhone של GrayKey עד כה.

מכשיר GrayKey עצמו הוא קופסה קטנה ואפורה בגובה של ארבעה סנטימטרים וגובה שני סנטימטרים. הקופסה מגיעה עם שני כבלי ברק הבולטים מהחזית לחיבור שני מכשירי אייפון בכל פעם.

אייפון מתחבר למכשיר GrayKey למשך כשתי דקות, לאחר מכן הם מנותקים אך עדיין לא סדוקים. זמן תהליך הפיצוח בפועל משתנה בהתאם לחוזק הסיסמה.

קוד סיסמה קל לוקח כשעתיים לפיצוח באמצעות כוח ברוט, בעוד שקודדי סיסמא קשים יותר (שש ספרות) יכולים לארוך שלושה ימים או יותר. התיעוד של GrayKey, שנראה גם על ידי Malwarebytes, אינו מציין זמני פיצוח של שילובים ארוכים יותר.

כאשר הסדק ימצא את קוד הסיסמה של המכשיר, הטלפון יציג מסך שחור המציג את הקוד עם מידע אחר על המכשיר. (טיפים ליצירת סיסמא חזקה ובלתי נשכחת. כיצד ליצור סיסמה חזקה שלא תשכחהאם אתה יודע ליצור ולזכור סיסמא טובה? להלן מספר טיפים וטריקים לשמירה על סיסמאות חזקות ונפרדות לכל חשבונותיך המקוונים. קרא עוד )

GrayKey מוריד את האייפון כולו

ה- Unlocker מציג את קוד הסיסמה של המכשיר, אך הוא גם מוריד את כל מערכת הקבצים של ה- iPhone למכשיר GrayKey. לאחר מכן ה- GrayKey מתחבר לממשק מבוסס אינטרנט שבו הוא זמין לניתוח.

התמונה למטה מציגה תוצאות של אייפון X סדוק. שימו לב ל"קוד הסיסמה שנמצא ", הגרסה האחרונה של" תוכנה "ו"גיבוי iTunes" ו- "מערכת הקבצים המלאה" הזמינים להורדה (כולל חשיפת ה- SHA256 שלהם).

גריי קיי עולה הרבה כסף

לפותח האייפון של GrayKey יש שתי גרסאות שונות.

הדגם הראשון עולה 15,000 $ ומחייב קישוריות לאינטרנט כדי לעבוד. בכך, מוגדר הגיאוגרפי לרשת ההגדרה הראשונית שלו כדי לוודא שהגריי קיי לא מועבר בקלות. דיווחים אחרים טוענים כי מודל החיבור לאינטרנט מתמשך גם מאפשר רק 300 ביטול נעילה, ועומד על $ 50 לאייפון.

הדגם השני עולה 30,000 $ ועובד במצב לא מקוון, ללא מגבלה ניכרת לכמות השימושים במכשיר GrayKey. ככל הנראה המכשיר יעבוד עד שאפל סוף סוף תגלה את הפגיעות ותתקן אותה.

לאילו סוכנויות אכיפת חוק יש GrayKey?

אומנם מדובר ללא ספק בסכומי עתק, אך התקציבים של רשויות אכיפת החוק יקלו בקלות (או באופן פלאי, תלוי בסוכנות) למתוח כלי שיוצר שדרה חדשה לחלוטין של מידע. במיוחד אחת שלא ניתנה להשגה בעבר עבור סוכנויות רבות, לפחות בתפקיד כה קל ככל הנראה.

מתמשך לוח האם מחקירה נמצא כי כמה סוגים שונים של סוכנויות כבר רכשו GrayKey:

• משטרה מקומית: משטרת מחוז מיאמי-דייד הודיעה כי יתכן שרכשו מכשיר של GrayKey.
• המשטרה האזורית: ה משטרת מרילנד ו משטרת מדינת אינדיאנה פרסמו טפסי רכש עבור מכשירי GrayKey.
• משטרת העיר: מהמסמכים עולה גם כי מחלקת המשטרה של מטרופולין אינדיאנפוליס קיבל הצעת מחיר מ- Grayshift לגבי מכשירי GrayKey.
• שירות חשאי:מיילים מוצגים סוכנות מתכננת לרכוש שישה מכשירי GrayKey.
• מחלקת המדינה: הלשכה לביטחון דיפלומטי של המחלקה רכשה מארס 2018 פריט בסך 15,000 דולר. לפי רשומות רכש ציבורי.
• DEA: הסוכנות לאכיפת סמים הוציא מסמך מקורות שנחשפו עבור מכשיר GrayKey לא מקוון.
• ה- FBI: ברישומי הרכש הציבורי המקוון עולה כי ה- FBI מעוניין לרכוש שישה מכשירי GrayKey.

אם GrayKey של Greyshift תמשיך לספק לרשויות נתונים על אייפון בעבר שלא ניתן היה להשיג, סביר להניח שתראה יותר טופסי רכש סוכנויות.

מס הכנסה הוא כיום לקוח של GrayShift - רכישה של 15,000 דולר של ערכת האקר של האייפון https://t.co/lWDLQscSHY

- תומאס פוקס-ברוסטר (@iblametom) 23 ביוני 2018

מה אפל עושה כדי לעצור את גריי קיי?

כפי שאתה יכול לדמיין, אפל לא מרוצה הכי טוב שהאבטחה של אייפון נפרצת כל כך בפומבי. ולא רק מכשירי אייפון ישנים - אנו מדברים על מכשירי הטווח המפעילים כמה מהגרסאות האחרונות של iOS. אפל לא מתכוונת לשבת ולחכות לגריישיפט כדי לפתוח את הפגיעות.

במקום זאת, בטא הציבורי הנוכחי של iOS 12, יש תכונה חדשה המגבילה באופן דרסטי את הגישה ליציאת הברק של אייפון נעול. (תכונות נוספות המגיעות לאייפון שלך עם iOS 12! מה חדש ב- iOS 12? 9 שינויים ותכונות לבדוקiOS 12 הגיע. למד על הפיצ'רים החדשים המרגשים הזמינים כעת באייפון או אייפד בקרבתך. קרא עוד )

"אנו מחזקים כל הזמן את ההגנות האבטחה בכל מוצר של אפל כדי לעזור ללקוחות להגן נגד האקרים, גנבי זהות ופריצות לנתונים האישיים שלהם ", אמר דובר אפל רויטרס. "יש לנו את הכבוד הגדול ביותר לאכיפת החוק, ואנחנו לא מתכננים את שיפורי האבטחה שלנו כדי לתסכל את המאמצים שלהם לבצע את עבודתם."

iOS 12 יביא לפיגועי ברק בכוח הזרוע חסרי תועלת על ידי השבתת הגישה דרך המסלול לאחר שעה בלבד. מצב ה- USB מוגבל החדש יפסיק כל תקשורת נתונים מהתקן המחובר זה עתה לאחר פרק זמן של 60 דקות, מה שהופך את GrayKey ללא תועלת. ההגדרות הנוכחיות של USB Restricted Mode הן בעלות מגבלת זמן של שבוע, מה שמאפשר לרשויות תקופה ארוכה בכדי לקוות לכפות את הסיסמה.

איך אתה יכול להגן על עצמך נגד גריי קיי?

בהתחשב בעדכון הנכנס ל- iOS 12 והצגת ההגבלות למצב הגבלת USB, יש רק דבר אחד שתוכלו לעשות כרגע: עדכן את קוד הקודים שלך. עליך להשתמש לפחות שמונה ספרות כדי לשמור על הטלפון שלך מאובטח. לחלופין, בכדי לאבד את האבטחה שלך ב- iPhone, עבור לביטוי סיסמה ארוך יותר.

iOS תומך בקודים מספריים ואלפאנומריים מותאמים אישית מכל אורך. משפט-סיסמה משתמש במספר מילים בכדי ליצור נעילה חזקה בהרבה מדוע ביטויים סיסמא עדיין טובים יותר מסיסמאות וטביעות אצבעזוכר מתי סיסמאות לא היו צריכות להיות מסובכות? כאשר קל היה לזכור את מספר ה- PIN? הימים ההם לא חלפו, וסיכוני פשעי רשת פירושם שסורקי טביעות אצבע הם חסרי תועלת. הגיע הזמן להתחיל להשתמש בקודי סיסמה ... קרא עוד מאשר מספר ה- PIN או הסיסמה הרגילים שלך. בדוק את הרלוונטי ביותר קומיקס XKCD למידע נוסף:

האזור המתמשך של גריי קיי

כרגע, רשויות אכיפת החוק מחזיקות בכרטיסים. במובן מסוים, לפחות. מכשיר אייפון עם אבטחה לקויה פגיע. עם זאת, יתכן שמצב זה לא יימשך זמן רב, אלא אם כן גריישיפט ממשיך למצוא נקודות תורפה ועקיפות עבור תיקוני האבטחה של אפל. יתר על כן, GrayKey אינו חסר תקדים.

ה- IP-Box היה מכשיר דומה שיכול היה לגשת למידע של מכשירי אייפון נעולים המריצים גרסאות iOS ישנות יותר. הפונקציונליות שלו הופסקה עם עדכון iOS 8.2 אך הולידה את ה- IP-Box 2. ה- IP-Box 2 עדיין זמין באופן נרחב אך דורש ידע כיצד להסיר שבבי מעגלים משולבים למקומו במכשיר.

יש גם השלכות אחרות. האם ה- iPhone פגיע לצמיתות לאחר סיום סדירת הסיסמאות? האם בעל האייפון האם יכול להשתמש בטלפון שלו כרגיל שוב, או שהוא צריך להחליף אותו?

ולבסוף, כיצד רשויות הרשויות להחליט מתי להשתמש במכשיר GrayKey שלהם? כלומר, האם יש פרוטוקול מוגדר המסדיר את פיצוח סיסמת המכשיר באמצעות כלי של צד שלישי? האם הם זקוקים לתצהיר, חשד סביר וכן הלאה?

ההשלכות המתמשכות והוויכוח סביב פיצוח סיסמאות אייפון באמצעות מכשיר GrayKey יימשכו. אני בטוח שרוב הקוראים מצפים כי אכיפת החוק תעשה ככל יכולתם כדי להגן על הקורבנות. אם פיצוח סיסמאות הופך לעיקרון בסיסי בביטחון אזרחי, האם אתה סומך על הרשויות להפעיל את הכוח בזמן הנכון?

והאם היית פשוט הגדל את כמות ההצפנה במכשיר שלך 7 סיבות מדוע להצפין את נתוני הטלפון החכם שלךהאם אתה מצפין את המכשיר שלך? כל מערכות ההפעלה העיקריות של הסמארטפונים מציעות הצפנת מכשירים, אך האם עליכם להשתמש בה? הנה הסיבה לכך שהצפנת סמארטפון משתלמת ולא תשפיע על הדרך בה אתה משתמש בסמארטפון שלך. קרא עוד לנטרל את המאמצים שלהם?