Slo-Tech - Vsake toliko časa ameriški FBI naredi cirkus, da zaradi zaščit proizvajalcev telefonov ne morejo dobiti podatkov z zaklenjenih telefonov kriminalcev. Kasneje se običajno izkaže, da to vendarle ni problem. Ameriški organi pregona pač navijajo za spremembo zakonodaje, po kateri bi morali proizvajalci sami vgrajevati stranska vrata (backdoor). Dokler pa se to ne zgodi, jim bodo pomagali zunanji izvajalci.
Trenutno so največji strokovnjaki v izraelskem podjetju Cellebrite, ki lahko odklenejo večino telefonov. Poleg tega podjetja organi sodelujejo še z Grayshiftom in MSAB-om. Cellebrite je razvil program UFED 4PC (Universal Forensic Extraction Device), s katerim lahko odklenejo telefone, ki jih priključijo na računalnik prek kabla USB. Trdijo, da noben Applov telefon ni kos takemu napadu. Ameriški NIST (National Institute of Standards and Technology) je izvedel raziskavo, kjer so preverjali, koliko in katere podatke lahko s tem orodjem dejansko pridobijo. NIST izrecno zanika kakršnekoli politične vzgibe; preizkus naj bi bil namenjen preučitvi verodostojnosti in zanesljivosti zbranih podatkov.
Pri nasilnem vstopu v telefon namreč dobimo nesortirane podatke, iz katerih je treba razbrati urejene informacije. To je odvisno od modela in operacijskega sistema. Z iPhona X je na primer moč dobiti sporočila, sezname klicev, imenik, GPS-podatke itd. Razbrati se da tudi podatke iz nekaterih aplikacij, niso pa dostopna elektronska sporočila - kar ni problem, ker lahko ta organi dobijo pri ponudniku e-pošte.
Zanimivo je, da je Cellebrite bistveno uspešnejši pri pridobivanju podatkov iz iphonov. Androidni telefoni so bolje zaščiteni. Z Googlovih telefonov Pixel in Samsungovih Galaxy niso mogli dobiti podatkov o družbenih omrežjih, GPS-podatkov ali zgodovine brskanja. Z nekaterih telefonov niso mogli dobiti niti sporočil ali seznamov klicev. In najtrši oreh? Huawei P20 Pro. Iz njega niso mogli izvleči ničesar.
"Dokler pa se to ne zgodi, jim bodo pomagali zunanji izvajalci."
Namest da bi sami specializiral določen procent notranjih izvajalcev grejo rajš dnar metat Izraelcem pa jamrat kak so ubogi ker da ni vgrajenih stranskih vrat. To je tko k da bi mogu kopijo ključev svojega doma nest na policijo preden bi sploh lahko dobil papirje za bivanje. To je pošastno.
Tudi jaz nekako ne verjamem temu, ker vedno zahtevajo od Apple-a podatke, ne od Google-a, ki zgleda jim lahko priskrbi vse kar hočejo. Slej kot prej bo moralo biti vse Open Source (in a decentralizirano).
Ziher se lažejo, Apple pa ja ni tak. Apple vendar da best...!?
Ja, NIST je resna in ugledan institucija. In precej bolj verodostojna kot razne MacCult organizacije.
Pač, bo treba požreti, da Apple ni tako varen, kot se skuša prikazati. Ampak nič hudega. Se bodo pač marketingarji v Cupertinu naslednjič malo bolj potrudili.
Na sreco za razliko od androidne update politike, apple vsaj update-a vecino svojih naprav precej bol redno. Ok, kaksni pixli so tukaj dokaj ok, kaj pa random cungalunga iz tusa, bo tut dobil varnostni update za kaksen tak nacin vdora?
Na sreco za razliko od androidne update politike, apple vsaj update-a vecino svojih naprav precej bol redno. Ok, kaksni pixli so tukaj dokaj ok, kaj pa random cungalunga iz tusa, bo tut dobil varnostni update za kaksen tak nacin vdora?
Ja in? Verjetno dajo za to da pokrpajo luknjo, ki so jo zaceli izrabljati na primer Kitajci..
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
Možno da je to maščevanje ker Apple ni popustil in so hotl mal slab vtis v javnosti pustit ker niso "prostovoljno sodeloval" in svojim zaposlenim naložil delo ki bi ga sicer morala opravljati policija/obveščevalna služba. To je tko k da bi mogu namest policije ti vohunsko napravo svojmu sosedu podstavt.
V androidne telefone ni treba vdreti, samo google povprasajo pa jim servira vse podatke :)
Saj jim Apple tudi. Tukaj se gre za podatke, ki niso se sinhronizirani z oblakom.
Imajo pa uporabniki androida moznost, da jim naprava ne posilja podatkov na Googlove streznike. Kaj pa pri Applu?;)
No ja, Google sprejema podatke, tudi ko so dovoljenja ugasnjena. Jih pa verjetno tričrkovna agencija ne vidi. Mimogrede Google Cloud podpira end to end ekripcijo
V androidne telefone ni treba vdreti, samo google povprasajo pa jim servira vse podatke :)
Saj jim Apple tudi. Tukaj se gre za podatke, ki niso se sinhronizirani z oblakom.
Imajo pa uporabniki androida moznost, da jim naprava ne posilja podatkov na Googlove streznike. Kaj pa pri Applu?;)
No ja, Google sprejema podatke, tudi ko so dovoljenja ugasnjena. Jih pa verjetno tričrkovna agencija ne vidi. Mimogrede Google Cloud podpira end to end ekripcijo
In, Lahko dokazes da je tvoj privatni kljuc varen?
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
V androidne telefone ni treba vdreti, samo google povprasajo pa jim servira vse podatke :)
Saj jim Apple tudi. Tukaj se gre za podatke, ki niso se sinhronizirani z oblakom.
Imajo pa uporabniki androida moznost, da jim naprava ne posilja podatkov na Googlove streznike. Kaj pa pri Applu?;)
No ja, Google sprejema podatke, tudi ko so dovoljenja ugasnjena. Jih pa verjetno tričrkovna agencija ne vidi. Mimogrede Google Cloud podpira end to end ekripcijo
V androidne telefone ni treba vdreti, samo google povprasajo pa jim servira vse podatke :)
Saj jim Apple tudi. Tukaj se gre za podatke, ki niso se sinhronizirani z oblakom.
Imajo pa uporabniki androida moznost, da jim naprava ne posilja podatkov na Googlove streznike. Kaj pa pri Applu?;)
No ja, Google sprejema podatke, tudi ko so dovoljenja ugasnjena. Jih pa verjetno tričrkovna agencija ne vidi. Mimogrede Google Cloud podpira end to end ekripcijo
Japajade, google ti ves cas krade podatke. In tudi end to end encripcijo je hudo preprosto backdoorat, dodas public key na telefone in v komunikacijo vtaknes geslo od simetricne enkripcije, encryptano s tem public keyem. Potem se lahko hvalis, kako imas end to end vse skupaj kriptiro (in imas res), zomolcis pa, da lahko sam prides do vseh podatkov.
Ja, razen da v tem primeru niti Google sam ne more priti do Google Cloud podatkov.
Tudi backupi Android telefonov (od mislim da 8.0 naprej) so E2E kriptirani. Za ključ se uporabi telefonski PIN/vzorec in se podatki prenesejo kriptirano.
To je trenutno ena od večjih razlik od iOSa, ki svojih backupov v iCloud (še) ne kriptira E2E v celoti, tako da lahko Apple dekriptira lep kos backupov.
Ja, razen da v tem primeru niti Google sam ne more priti do Google Cloud podatkov.
Tega primera ni, razen ce sam kriptiras podatke preden jih skranis v njihov cloud. Ne samo, njihov *terms in conditions" jasno pove, da z uporabo google clouda (zastonj verzije) prenasas na njih vse pravice do teh podatkov. Ali v prevodu za res trdoglave, ce objavijo tvoje gole posnetke na jumbo plakatih po celem svetu, si se strinjal.
Ti pa se tehnicno povem, zakaj tega ne bojo nikoli omogocili (da ne morejo dostopati do tvojih podatkov), podatki na cloudu bi bili od enega od drugega uporabnika za identicno datoteko popolnoma razlicni, kar bi onemogocilo deduplikaciji, razen tega bi bili v celoti "nestiskabilni" (poglej pri kriptogarfiji "avalanche effect"). Ergo, nesposobnost dostopanja googla do podatkov, ki niso bilu poprej obdelani na uporabnikovi strani je "augenmast" bullshit za tehnicno neizobrazene fanboye.
V androidne telefone ni treba vdreti, samo google povprasajo pa jim servira vse podatke :)
Saj jim Apple tudi. Tukaj se gre za podatke, ki niso se sinhronizirani z oblakom.
Imajo pa uporabniki androida moznost, da jim naprava ne posilja podatkov na Googlove streznike. Kaj pa pri Applu?;)
V Androidni telefon, če si prijavljen z Google računom, lahko pozabiš na zasebnost, prometni podatki s call logom vred romajo h Google. Brez prijave pa ni trgovine za aplikacije Play. Pri Applu ni tako, če ne uporabljaš iCloda, ki pa ni pogoj za App Store.
Ziher se lažejo, Apple pa ja ni tak. Apple vendar da best...!?
Ja, NIST je resna in ugledan institucija. In precej bolj verodostojna kot razne MacCult organizacije.
Pač, bo treba požreti, da Apple ni tako varen, kot se skuša prikazati. Ampak nič hudega. Se bodo pač marketingarji v Cupertinu naslednjič malo bolj potrudili.
Ni nikjer izrecno zapisano, da to lahko naredijo z ugasnjenim telefonom, izvorni članek Vicea pa je tudi sicer precej populistično in medlo napisan. Sam sem razumel, da to lahko naredijo zgolj s prižganim in logiranim telefonom, ki pa ima zaklenjen zaslon (citiram: “... with phones running Android and other operating systems, though.“). Vsekakor to ni dobro in pomeni, da je iOS prek Lightninga še kako ranljiv, ko laufa na napravi. Dvomim pa, da ležeče šifrirane podatke z ugasnjene naprave, ko uporabnik uporablja dost močno geslo kar tako ekstrahirajo in sploh razbijejo.
V androidne telefone ni treba vdreti, samo google povprasajo pa jim servira vse podatke :)
Saj jim Apple tudi. Tukaj se gre za podatke, ki niso se sinhronizirani z oblakom.
Imajo pa uporabniki androida moznost, da jim naprava ne posilja podatkov na Googlove streznike. Kaj pa pri Applu?;)
V Androidni telefon, če si prijavljen z Google računom, lahko pozabiš na zasebnost, prometni podatki s call logom vred namreč romajo h Googlu. Brez te prijave pa ni trgovine za aplikacije Play. Pri Applu ni tako, če ne uporabljaš iCloda, ki pa ni pogoj za App Store.
Tudi backupi Android telefonov (od mislim da 8.0 naprej) so E2E kriptirani. Za ključ se uporabi telefonski PIN/vzorec in se podatki prenesejo kriptirano.
In ta 4 mestni PIN je res težko "skrekati".
matijadmin, daj malo uredi sporočilo
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Tako v iOSu, kot pri Androidu vsi podatki romajo do Appla/Googla. Pri obojih lahko izklopis sync in ne uporabljas clouda. Pri androidu imas moznost 3rd party marketa in delete vseh Google services. Pristanes sicer s halfsmart phoneom, so pa vsaj paranoiki potolazeni:)
V Androidni telefon, če si prijavljen z Google računom, lahko pozabiš na zasebnost, prometni podatki s call logom vred romajo h Google. Brez prijave pa ni trgovine za aplikacije Play. Pri Applu ni tako, če ne uporabljaš iCloda, ki pa ni pogoj za App Store.
Call log se sinhronizira samo v dveh primerih: - Imaš vklopljen backup, kjer je kriptiran E2E z geslom za telefon in ga Google ne more videt. - Imaš Googlov telefon in vklopljen Googlov caller ID (kjer se pošlje zahtevek za ime klicočega).
Če nimaš tega vklopljenega se call log ne pošilja Googlu. Prosim ne trosi neumnosti.
V bistvu ga je kar precej ker: - Je lahko več kot 4 mestni oz. je lahko kar numerično geslo - Je lahko vzorec, ki ima večinoma več kot 4 linije - Uporablja derivacijsko funkcijo za ključ in salt, tako da je crackanje tega na datastoreu izjemno časovno potratno.
Ja, razen da v tem primeru niti Google sam ne more priti do Google Cloud podatkov.
Tega primera ni, razen ce sam kriptiras podatke preden jih skranis v njihov cloud. Ne samo, njihov *terms in conditions" jasno pove, da z uporabo google clouda (zastonj verzije) prenasas na njih vse pravice do teh podatkov. Ali v prevodu za res trdoglave, ce objavijo tvoje gole posnetke na jumbo plakatih po celem svetu, si se strinjal.
V ToS za Google Cloud (Store) ne piše prav nič takega. Praktično cela infrastruktura za Cloud (kar vključuje GSuite) je ločena in ima bistveno drugačna varnostna in zasebnostna določila od navadnih Google računov. Mislim da se morata vidva zmeniti ali govorita o Cloudu (ki podpira E2E enkripcijo vseh shranjenih podatkov brez da Google vidi ključe) ali pa o navadnih Google uporabniških računih (kjer so podatki kriptirani, ampak z Googlovimi ključi).
Ti pa se tehnicno povem, zakaj tega ne bojo nikoli omogocili (da ne morejo dostopati do tvojih podatkov), podatki na cloudu bi bili od enega od drugega uporabnika za identicno datoteko popolnoma razlicni, kar bi onemogocilo deduplikaciji, razen tega bi bili v celoti "nestiskabilni" (poglej pri kriptogarfiji "avalanche effect"). Ergo, nesposobnost dostopanja googla do podatkov, ki niso bilu poprej obdelani na uporabnikovi strani je "augenmast" bullshit za tehnicno neizobrazene fanboye.
Google Cloud Storage ti zagotavlja točno to, tako da je ta tvoj "nikoli" že v osnovi zgrešen. Da o ostalih neumnostih, ki si jih napisal tule, niti ne začnemo.
Tako v iOSu, kot pri Androidu vsi podatki romajo do Appla/Googla. Pri obojih lahko izklopis sync in ne uporabljas clouda. Pri androidu imas moznost 3rd party marketa in delete vseh Google services. Pristanes sicer s halfsmart phoneom, so pa vsaj paranoiki potolazeni:)
Načeloma imaš tudi še vedno kompromisno ugasniti vse v https://myaccount.google.com/data-and-p... . To v večini poradira večino dlje časa shranjenih podatkov za tvoj račun.
V Androidni telefon, če si prijavljen z Google računom, lahko pozabiš na zasebnost, prometni podatki s call logom vred romajo h Google. Brez prijave pa ni trgovine za aplikacije Play. Pri Applu ni tako, če ne uporabljaš iCloda, ki pa ni pogoj za App Store.
Call log se sinhronizira samo v dveh primerih: - Imaš vklopljen backup, kjer je kriptiran E2E z geslom za telefon in ga Google ne more videt. - Imaš Googlov telefon in vklopljen Googlov caller ID (kjer se pošlje zahtevek za ime klicočega).
Če nimaš tega vklopljenega se call log ne pošilja Googlu. Prosim ne trosi neumnosti.
V bistvu ga je kar precej ker: - Je lahko več kot 4 mestni oz. je lahko kar numerično geslo - Je lahko vzorec, ki ima večinoma več kot 4 linije - Uporablja derivacijsko funkcijo za ključ in salt, tako da je crackanje tega na datastoreu izjemno časovno potratno.
Pa se calllog pošilja. Imas dashboard in si poglej, kaj zbirajo, če uporabljaš andoid in si prijavljen z računim. Tudi dovolil si jim to s pogoji uporabe. :)
Ja, razen da v tem primeru niti Google sam ne more priti do Google Cloud podatkov.
Tega primera ni, razen ce sam kriptiras podatke preden jih skranis v njihov cloud. Ne samo, njihov *terms in conditions" jasno pove, da z uporabo google clouda (zastonj verzije) prenasas na njih vse pravice do teh podatkov. Ali v prevodu za res trdoglave, ce objavijo tvoje gole posnetke na jumbo plakatih po celem svetu, si se strinjal.
Ti pa se tehnicno povem, zakaj tega ne bojo nikoli omogocili (da ne morejo dostopati do tvojih podatkov), podatki na cloudu bi bili od enega od drugega uporabnika za identicno datoteko popolnoma razlicni, kar bi onemogocilo deduplikaciji, razen tega bi bili v celoti "nestiskabilni" (poglej pri kriptogarfiji "avalanche effect"). Ergo, nesposobnost dostopanja googla do podatkov, ki niso bilu poprej obdelani na uporabnikovi strani je "augenmast" bullshit za tehnicno neizobrazene fanboye.
V bistvu ga je kar precej ker: - Je lahko več kot 4 mestni oz. je lahko kar numerično geslo - Je lahko vzorec, ki ima večinoma več kot 4 linije - Uporablja derivacijsko funkcijo za ključ in salt, tako da je crackanje tega na datastoreu izjemno časovno potratno.
Telefon prepozna pravi PIN skoraj v trenutku. Recimo v desetinki sekunde. Predpostavimo, da imajo guglovi datacentri vsaj tako močne procesorji kot telefoni. Predpostavimo, da lahko brez težav za to nalogo rezervirajo 100 jeder. Torej v sekundi poskusijo 1000 kombinacij. Za štirimestni PIN torej imajo pravega hitreje kot porabijo za natipkat odgovor "Ja, gospodje iz FBI, ta account bomo dešifrirali".
Vzorec ima maksimalno 3E5 kombinacij. Torej 6-5 mestni PIN. Torej pet minut do ene ure za razbitje. Če predpostavimo, da milijard vredno podjetje nima nekaj dodatnih Zen procesorjev na voljo (če res ne, jih najame za drobiž na AWS ali Azure).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
ima bistveno drugačna varnostna in zasebnostna določila od navadnih Google računov.
To sicer drži, ampak verjeti na besedo nikoli ni pametno, zato je edini smiseln ukrep za ljudi, ki do zasebnosti niso popolnoma brezbrižni, uporabljati operacijski sistem, ki ne teži na vsakem pogovornem oknu z dovoljenji za pošiljanje podatkov, ki krnijo človekovo zasebnost, ogromni korporaciji, ki je pod jurisdikcijo države z največjim sistemom za nadzor prebivalstva v zgodovini človeštva.
Trenutno so največji strokovnjaki v izraelskem podjetju Cellebrite
Ni težko biti strokovnjak če ti Amerika da vso tehnologijo in nimaš nobenega zakona proti vohunjenju. Nedolgo nazaj sem poslušal kako ima Izrael najboljšo tehnologijo, tip se je hvalil še kako imajo Intel. Potem pa ga je en vpražal zakaj Intel vedno bolj zaostaja, da ga AMD lahko šiša na celi črti Malo je manjkalo da ni bil obtožen antisemitizma.
Stvar je v tem, da Izrael vlaga enormna sredstva v nadzorne tehnologije. Plus, obvezna vojaščina kjer ti kadri brezplačno prepustijo 3 najboljša leta svojega življenja. Rezultat potem že mora priti od nekje.
Ja, to citiraš pogoje uporabe, ki so bili napisani glih zato ker se ti podatki lahko prenašajo kot del Caller ID funkctionalnosti. Sem pa res v prejšnjem postu pozabil še dva primera: Google Assistant lahko nese te podatke na server za razrešitev ukazov tipa "pokliči nazaj" ter feedback lahko te podatke prilepi za reševanje problemov ("System Log" kljukica v dialogu).
Telefon prepozna pravi PIN skoraj v trenutku. Recimo v desetinki sekunde. Predpostavimo, da imajo guglovi datacentri vsaj tako močne procesorji kot telefoni. Predpostavimo, da lahko brez težav za to nalogo rezervirajo 100 jeder. Torej v sekundi poskusijo 1000 kombinacij. Za štirimestni PIN torej imajo pravega hitreje kot porabijo za natipkat odgovor "Ja, gospodje iz FBI, ta account bomo dešifrirali".
Vzorec ima maksimalno 3E5 kombinacij. Torej 6-5 mestni PIN. Torej pet minut do ene ure za razbitje. Če predpostavimo, da milijard vredno podjetje nima nekaj dodatnih Zen procesorjev na voljo (če res ne, jih najame za drobiž na AWS ali Azure).
V bistvu je malo počasneje kot praviš (glej kaj so derivacijske funkcije), ampak manjkata ti še dva dela: 1.) Nekdo mora računsko moč plačati in firme nimajo nekega interesa zastonj laufati dekripcije za druge službe. 2.) FBI lahko te podatke kadarkoli dobi od Telekoma Slovenije, kjer morajo biti pri zakonu hranjeni nekriptirani in na voljo za vsako policijsko in obveščevalno službo (ter včasih za kogarkoli z gajbo pira). 3.) Pri Applu ta korak ni potreben.
1.) Ne govoriva o interesu ampak o tem, da lahko Google dekriptira v "trenu oka", _če želi_. Če ne želi, pač ne bo.
Ne, tole ni niti približno v "trenu oka", ker je že dostop do kakršnih koli osebnih podatkov močno omejen in reguliran s precej zakonodaje. Enako kot vsi ostali tvoji osebni podatki, ki jih lahko kdorkoli "od oka" pobere z drugih ustanov.
Tvoje izjave so približno tako smiselne kot bi bilo razlaganje da Cerar lahko bere tvojo osebno zdravniško kartoteko, ker je pač "država".
