Forside Sikkerhed Hvad er GrayKey? Et værktøj, der bryder iPhone-kryptering og adgangskoder

Hvad er GrayKey? Et værktøj, der bryder iPhone-kryptering og adgangskoder

  • Harry James
  • 0
  • 1403
  • 186
Reklame

Kryptering er en velsignelse for enhver, der bruger en digital enhed. Internettet ville være et farligt sted uden kryptering 5 almindelige krypteringstyper, og hvorfor du ikke skulle lave dine egne 5 almindelige krypteringstyper, og hvorfor du ikke skulle lave din egen. Er det en god ide at rulle din egen krypteringsalgoritme? Har du nogensinde spekuleret på, hvilke typer kryptering der er de mest almindelige? Lad os finde ud af det. , ligesom Wi-Fi-adgangspunkter og adgangskodebeskyttede enheder som iPhones ville være.

Imidlertid er iPhone ikke længere bastionen af ​​sikkerhed, den engang var. Amerikanske retshåndhævende myndigheder bruger et billigt værktøj til at omgå iPhone-kryptering, hvilket drastisk reducerer privatlivets fred og samtidig skader sikkerheden.

Her er et dybere kig på det nye GrayKey-værktøj, hvad det gør, hvorfor det er farligt, og hvorfor Apple er bekymret for det.

Apple mod FBI

Før vi undersøger GrayKey, en lille baggrundskontekst for iPhone-kryptering og forsøg på at knække den.

Kan du huske San Bernardino iPhone? Efter et terrorangreb i San Bernardino tog FBI Apple for retten. FBI ønskede, at Apple skulle oprette en krypteringsbagdør, der ville lade dem skørt iPhone-sikkerheden for en af ​​de afdøde terrorister. Naturligvis afviste Apple med rette at hævde, at når bagdøren, når den først blev oprettet, aldrig ville være lukket. Hvorfor vi aldrig skulle lade regeringen bryde kryptering Hvorfor vi aldrig skulle lade regeringen bryde kryptering At leve med terror betyder, at vi står over for regelmæssige opfordringer til en virkelig latterlig opfattelse : Opret baggrundsdøre til regeringsadgang til kryptering. Men det er ikke praktisk. Her er grunden til, at kryptering er afgørende for det daglige liv. .

Det israelsk-baserede sikkerhedsfirma, Cellebrite, fandt til sidst en vej gennem Apple-sikkerhedsmekanismerne ved hjælp af en tidligere ukendt sårbarhed. Og der var intet af bemærkninger på telefonen. Bemærk også, at Cellebrite-tjenesten på det tidspunkt kostede $ 5.000 pr. Enhed, og telefonen skulle sendes til deres sikre anlæg.

Flash frem til 2017. Et firma kendt som Grayshift vises på markedet og sælger deres nye produkt: GrayKey. Formålet med GrayKey var uklart, indtil Thomas Fox-Brewster afslørede enheden i en Forbes Exclusive, herunder flere billeder samt en oversigt over nøjagtigt, hvad GrayKey iPhone-låseren gør.

GrayKey iPhone Unlocker

Her er hvad der er kendt om GrayKey iPhone unlocker indtil videre.

GrayKey-enheden i sig selv er en lille, grå kasse, der måler fire tommer dyb og to tommer høj. Kassen leveres med to lynkabler, der stikker fronten ud til tilslutning af to iPhones ad gangen.

En iPhone opretter forbindelse til GrayKey-enheden i cirka to minutter, hvorefter de kobles fra, men endnu ikke er revnet. Den faktiske cracking-procestid varierer afhængigt af adgangskodestyrken.

Det tager cirka to timer at knække en let adgangskode via brute-force, mens vanskeligere adgangskoder (seks cifre) kan tage tre dage eller længere. GrayKey-dokumentationen, også set af Malwarebytes, nævner ikke revnedider for længere kombinationer.

Når revnen finder enhedens adgangskode, viser telefonen en sort skærm, der viser koden med andre enhedsoplysninger. (Tip til oprettelse af en stærk og uforglemmelig adgangskode. Sådan opretter du en stærk adgangskode, som du ikke vil glemme, hvordan man opretter en stærk adgangskode, som du ikke vil glemme. Ved du hvordan man opretter og husker en god adgangskode? Her er nogle tip og tricks at opretholde stærke, separate adgangskoder til alle dine online konti.)

GrayKey downloader hele iPhone

Unlocker viser enhedens adgangskode, men den henter også hele iPhone-filsystemet til GrayKey-enheden. GrayKey opretter derefter forbindelse til en webbaseret interface, hvor den er tilgængelig til analyse.

Billedet herunder viser resultaterne af en revnet iPhone X. Bemærk “Fundet adgangskode,” det meget nyeste “Softwareversion,” og “iTunes-sikkerhedskopi” og “Fuldt filsystem” tilgængelig til download (inklusive deres SHA256-hash).

GrayKey koster en masse penge

GrayKey iPhone unlocker har to forskellige versioner.

Den første model koster $ 15.000 og kræver internetforbindelse for at arbejde. Dermed er enheden geofaneret til dets oprindelige installationsnetværk for at sikre, at GrayKey ikke let overføres. Andre rapporter hævder, at den vedvarende internetforbindelsesmodel også kun tillader 300 oplåsninger, der arbejder til $ 50 pr. IPhone.

Den anden model koster $ 30.000 og fungerer offline uden nogen åbenbar grænse for antallet af anvendelser af GrayKey-enheden. Enheden fungerer antagelig, indtil Apple endelig finder ud af sårbarheden og lapper den.

Hvilke retshåndhævelsesagenturer har et GrayKey?

Selvom dette utvivlsomt er enorme summer, vil budgetter for det retshåndhævende agentur let (eller mirakuløst, afhængigt af agenturet) strække sig efter et værktøj, der skaber en helt ny mulighed for information. Især en, der tidligere ikke kunne opnås for mange agenturer, i det mindste i en så tilsyneladende let kapacitet.

En igangværende Motherboard-undersøgelse fandt, at flere forskellige agenturtyper allerede havde købt en GrayKey:

  • Lokalt politi: Politiet i Miami-Dade County oplyste, at de muligvis har købt en GrayKey-enhed.
  • Regionalt politi: Maryland State Police og Indiana State Police har udstedt indkøbsformularer til GrayKey-enheder.
  • Bypoliti: Dokumenter viser også, at Indianapolis Metropolitan Police Department modtog et tilbud fra Grayshift vedrørende GrayKey-enheder.
  • Efterretningstjenesten: E-mails viser agenturets planer om at købe seks GrayKey-enheder.
  • Statsafdeling: Department of State's Bureau for Diplomatic Security købte en vare på $ 15.000 fra Grayshift i marts 2018, ifølge offentlige indkøbsregistre.
  • DEA: Drug Enforcement Agency udstedte et Sources Sought-dokument til en offline GrayKey-enhed.
  • FBI: Online-offentlige indkøbsposter viser, at FBI ønsker at købe seks GrayKey-enheder.

Hvis Grayshifts GrayKey fortsætter med at give myndighederne tidligere uopnåelige iPhone-data, vil du sandsynligvis også se flere agenturets indkøbsformularer.

IRS er nu en GrayShift-kunde - $ 15.000 køb af iPhone hacker's kit https://t.co/lWDLQscSHY

- Thomas Fox-Brewster (@iblametom) 23. juni 2018

Hvad gør Apple for at stoppe GrayKey?

Som du måske forestiller dig, er Apple ikke bedst tilfreds med, at iPhone's sikkerhed er så offentligt overtrådt. Og ikke kun gamle iPhone'er - vi taler øverst på rækkeviddeenheder, der kører nogle af de nyeste versioner af iOS. Apple vil ikke sidde og vente på, at Grayshift holder sårbarheden åben.

I stedet for i den aktuelle iOS 12 offentlige beta er der en ny funktion, der drastisk begrænser adgangen til Lightning-porten på en låst iPhone. (Flere funktioner, der kommer til din iPhone med iOS 12! Hvad er nyt i iOS 12? 9 ændringer og funktioner til at tjekke ud Hvad er nyt i iOS 12? 9 ændringer og funktioner til udtjekning iOS 12 er ankommet. Lær om de spændende nye funktioner, der nu er tilgængelige på en iPhone eller iPad i nærheden af ​​dig.)

“Vi styrker konstant sikkerhedsbeskyttelsen i ethvert Apple-produkt for at hjælpe kunder med at forsvare sig mod hackere, identitetstyver og indtrængen i deres personlige data,” sagde en Apple-talsmand til Reuters. “Vi har den største respekt for retshåndhævelse, og vi designer ikke vores sikkerhedsforbedringer for at frustrere deres indsats for at udføre deres job.”

iOS 12 vil gøre Lightning-port brute-force-angreb ubrugelige ved at deaktivere adgang via denne rute efter kun en time. Den nye USB-begrænset tilstand stopper al datakommunikation fra en nytilsluttet enhed efter den 60-minutters periode, hvilket effektivt gør GrayKey ubrugelig. De aktuelle indstillinger for USB-begrænset tilstand har en tidsbegrænsning på en uge, hvilket giver myndighederne en længere periode til forhåbentlig at brute-tvinge adgangskoden.

Hvordan kan du beskytte dig mod GrayKey?

I betragtning af den indgående opdatering til iOS 12 og introduktionen af ​​begrænsninger til USB-begrænset tilstand, er der kun en ting, du kan gøre lige nu: opdater dine adgangskoder. Du skal altid bruge mindst otte cifre for at holde din telefon sikker. Alternativt kan du skifte til en længere adgangsfrase for virkelig at bulk ud af din iPhone-sikkerhed.

iOS understøtter tilpassede numeriske og brugerdefinerede alfanumeriske koder af enhver længde. En adgangssætning bruger flere ord til at oprette meget stærkere lås. Hvorfor er adgangssætninger stadig bedre end adgangskoder & fingeraftryk Hvorfor er adgangssætninger stadig bedre end adgangskoder og fingeraftryk Husk, når adgangskoder ikke behøvede at være kompliceret? Når PIN-koder var let at huske? Disse dage er væk, og cyberkriminalitetsrisici betyder, at fingeraftryksscannere er næsten ubrugelige. Det er tid til at begynde at bruge adgangskoder ... end din almindelige pinkode eller adgangskode. Tjek den ekstremt relevante XKCD-tegneserie for mere information:

Det igangværende grå område af GrayKey

Lige nu har de retshåndhævende myndigheder kortene. I en forstand, i det mindste. En iPhone med dårlig sikkerhed er sårbar. Imidlertid varer denne situation muligvis ikke længe, ​​medmindre Grayshift fortsat finder sårbarheder og løsninger på Apples iPhone-sikkerhedsrettelser. Derudover er GrayKey ikke hidtil uset.

IP-boksen var en lignende enhed, der kunne få adgang til oplysningerne om låste iPhones, der kører ældre iOS-versioner. Dens funktionalitet ophørte med iOS 8.2-opdateringen, men gav anledning til IP-Box 2. IP-Box 2 er stadig bredt tilgængelig, men kræver viden om, hvordan man fjerner integrerede kredsløbschips, der skal placeres i enheden.

Der er også andre implikationer. Er iPhone permanent sårbar, når adgangskodebrydningen er afsluttet? Kan iPhone-ejeren bruge deres telefon som normalt igen, eller skal den udskiftes?

Og endelig, hvordan skal myndighederne beslutte, hvornår de skal bruge deres GrayKey-enhed? Jeg mener, er der en defineret protokol, der regulerer cracking af enhedens adgangskode ved hjælp af et tredjepartsværktøj? Har de brug for en erklæring, rimelig mistanke osv?

De igangværende implikationer og debatten omkring cracking af iPhone-adgangskode ved hjælp af en GrayKey-enhed vil fortsætte. Jeg er sikker på, at flertallet af læsere forventer, at retshåndhævelse vil gøre så meget som de kan for at beskytte ofrene. Hvis adgangskodebrydning bliver et grundlæggende element i borgerlig sikkerhed, skal du stole på, at myndighederne udøver denne magt på det rigtige tidspunkt?

?




Endnu ingen kommentarer

Sådan stoppes POODLE-udnyttelsen fra at bide din browser
Sikkerhed
Indstillinger for smartphone-beskyttelse, du skal aktivere i dag
Sikkerhed
Har Siri, Cortana og Google nu brug for for meget personlige data?
Sikkerhed
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.