Hopeinen Omena

Ehkä näin, mutta ihminen, joka ensimmäistä kertaa Apple-laitetta ottaa käyttöön, todennäiköisemmin klikkaa "Kyllä" kaikki ensimmäiset valikot.

NokiaPiipussa kirjoitti:Ehkä näin, mutta ihminen, joka ensimmäistä kertaa Apple-laitetta ottaa käyttöön, todennäiköisemmin klikkaa "Kyllä" kaikki ensimmäiset valikot.

Mutta ihminen joka käyttää jotain muuta kuin Apple-laitetta ei todennäköisesti klikkaa "Kyllä" ottaessaan laitetta käyttöön? Pitäisikö asetus siis piilottaa jonnekin asetusvalikon syövereihin, josta apple-newbie ei sitä löydä vai mitä ehdotat?

Ehdotan, että Apple tekisi oikeasti turvallisen pilvipalvelun, eikä luovuttaisi tietoja NSA:lle

NokiaPiipussa kirjoitti:Ehdotan, että Apple tekisi oikeasti turvallisen pilvipalvelun

Lisäsivät Find My iPhoneen (jossa toisin kuten muissa Applen palveluissa ei ollut brute force suojausta) puuttuvan brute force suojauksen, eli palveluissa ei ole enään tunnettuja aukkoja. Tässä sitäpaitsi arvattiin ihmisten salananoja yleisiä salasanoja sisältävän listan avulla, eli ei Apple voi mitään jos käyttäjät valitsevat huonoja salasanoja.

NokiaPiipussa kirjoitti:eikä luovuttaisi tietoja NSA:lle

Tämä vaatisi etteivät toimisi jenkeissä... Voit olla aika varma että mikkisofta antaa SkyDrive-datasi, puhumattakaan takportista suoraan laitteelesi, NSA:lle heidän pyynnöstään.

Toisinaan pitäisikö tähän päivänselvään provoon pitänyt edes vastata? Ei taida mennä tyypille kalloon että tässä on myös muilla tavoilla kuin iBrutella hankittuja kuvia (selfie-kuvissa näkyvät android laittet) sekä feikkejä.

Edit: Tuli ihan huvin vuoksi kateltua yhden kasan (linkkiä en anna, muuten modet suuttuu) metadatoja ja sen perusteella ovat kyllä aika monesta lähteestä. Joissain kuvissa on selvät iPhonen metadatat (Katie Uptonilla on tainnut olla niin iPhone 4S, 5 kuin 5S), toisissa on jonkun toisen valmistajan laitteelle kuuluvat metadatat ja joissain ei ole metadatoja juuri laisinkaan. Yhdessä selfie-kuvassa oli vielä päivänselvä Samsung Galaxy S.

Plot twist?

http://www.macrumors.com/2014/09/02/app ... ud-breach/

Mutta eiköhän tästäkin saada iCloudin / Applen / sionistien / maahisten / naisten oikeuksia ajavien viaksi / sumutukseksi vielä asia väännettyä.

Kaikesta huolimatta ajatus siitä, että vuodon kohteet jotenkin "ansaitsivat" koko kalabaliikin syystä X on kuvottava, mutta toisaalta valitettavasti täysin looginen mietittäessä millaiset neckbeardit kyseisiä aivopieruja viljelevät.

Applen kommentti aiheeseen: http://www.theverge.com/2014/9/2/609810 ... photo-hack

Nyt meni Apple kyllä pesemään kätensä asiasta liian nopeasti. Olisi kannattanut antaa lausunto, että tutkivat loppuun asti, eikä tälläistä "Ei meidän vika!" -ulostusta. Brute Forcen salliminen oli kuitenkin aivan selkeä, suorastaan räikeän amatöörimäinen, munaus! Myöhemmissä tutkimuksissa tämä saattaa palata ilkeästi Appleen takaisin.

En olisi uskonnut, että jopa Applen kuuluisa medianhallinta alkaa lipsumaan näin.

Aloin miettimään pidemmälle, että ehkä Applella oli syy antaa näin nopea hätäkakka-lausunto. Tuo syy voi olla viikon päästä julkaistava Applen NFC-maksaminen. Julkaisu halutaan juosta lävitse ilman mitään epäilyjä Applen kyvystä tuottaa turvallisia palveluja.

L_A_G kirjoitti:

NokiaPiipussa kirjoitti:Ehdotan, että Apple tekisi oikeasti turvallisen pilvipalvelun

Lisäsivät Find My iPhoneen (jossa toisin kuten muissa Applen palveluissa ei ollut brute force suojausta) puuttuvan brute force suojauksen, eli palveluissa ei ole enään tunnettuja aukkoja. Tässä sitäpaitsi arvattiin ihmisten salananoja yleisiä salasanoja sisältävän listan avulla, eli ei Apple voi mitään jos käyttäjät valitsevat huonoja salasanoja.

Sinä ja Apple vieritätte tätä käyttäjien syyksi, että miksi oli huonot salasanat, lälläslää! Mutta katsos, kun tuon Brute Force -menetelmän estäminen juuri suojelisi käyttäjiä, heidän omien huonojen salasanojensa riskiltä. Käyttäjällä voi olla salasananaan vaikka äärimmäisen epäturvallinen "salasana1", mutta vahvan siitä tekee juuri tuo Brute Forcen estäminen, jonka takia rikollinen voi arvata tuota salasanaa vain esim. 3 kertaa.

Apple ei voi mitään, jos ihmisillä on heikkoja salasanojoa, joo. Mutta Applen tehtävä olisi siksikin ollut entistä tärkeämpi tehdä tuo tietoturvallisuuden perusasia. Käyttäjät eivät voi sille mitään, jos Applen systeemit eivät täytä edes perusvaatimuksia.

L_A_G kirjoitti:

NokiaPiipussa kirjoitti:eikä luovuttaisi tietoja NSA:lle

Tämä vaatisi etteivät toimisi jenkeissä... Voit olla aika varma että mikkisofta antaa SkyDrive-datasi, puhumattakaan takportista suoraan laitteelesi, NSA:lle heidän pyynnöstään.

Toisinaan pitäisikö tähän päivänselvään provoon pitänyt edes vastata? Ei taida mennä tyypille kalloon että tässä on myös muilla tavoilla kuin iBrutella hankittuja kuvia (selfie-kuvissa näkyvät android laittet) sekä feikkejä.

Edit: Tuli ihan huvin vuoksi kateltua yhden kasan (linkkiä en anna, muuten modet suuttuu) metadatoja ja sen perusteella ovat kyllä aika monesta lähteestä. Joissain kuvissa on selvät iPhonen metadatat (Katie Uptonilla on tainnut olla niin iPhone 4S, 5 kuin 5S), toisissa on jonkun toisen valmistajan laitteelle kuuluvat metadatat ja joissain ei ole metadatoja juuri laisinkaan. Yhdessä selfie-kuvassa oli vielä päivänselvä Samsung Galaxy S.

Tässäkin ketjussa on aikaisemmin mainittu, että paketteja on useampia liikkeella. Paketteihin on lisätty myös aikaisemmin tunnettuja julkkisvilautuksia ja muitakin kuvia. Pääpaino on yhä iCloudin päällä.

Amerikkalaisia palveluita ja tuotteita kannattaakin vältellä, jos oma yksityisyys kiinnostaa. Vaihtoehtoja on.

Applen pressitiedotus on siis tässä: http://www.apple.com/pr/library/2014/09 ... isory.html

Kyllä tuo minusta vaikuttaa siltä, että syy yritetään vierittää asiakkaiden niskoille, tyyliin "käyttäkää vahvempia salasanoja!" Sanallakaan eivät hiisku siitä, että tuon mahdollisti heidän oma tunarointi suojautua Brute Force -hyökkäykseltä.

No jos on salasana kateisbest, niin sillon saa syyttää ihan omaa typeryyttään asiasta!
Johan joka hiton paikassa neuvotaan pitämään oikeasti kunnon salasanaa, eikä tuollaisia aasille tarkoitettua. Mutta jos on pakko ottaa päivänkakkara/panokuvia, niin silloin on ihminen aasi. Ei kaikkia omia asioita tarvitse tuoda julkisuuteen. Ei tavalla, eikä toisella.

edit.
Tsekkasin kans metadataa ja jotenkin ei yllättänyt. Näissähän on sijaintitiedot ja kaikki. Voi herra mun vereni.

Ei se poista sitä että Applen find my iphone palvelussa ei ollut "bruteforce suojausta". Applehan hiljaisuudessa eilen tuon fixasi mitään ilmoittamatta

http://fin.afterdawn.com/uutiset/artikk ... icloudista

http://www.digitoday.fi/tietoturva/2014 ... 1412228/66

Kohtalainen facepalm tuokin käyttää huonoja salasanoja mitkä aukeaa nopeasti.

Onhan tuo henkilötasolla (niiden kohdalla joita kuvien vuotaminen harmittaa) ikävää, mutta tietysti tissipylly kuvat kannattaisi jättää tallentamatta pilvipalveluihin. Applen puhelimessa iCloudiin tallentaminen on tosin tehty niin helpoksi (joka on hyvä asia), että moni saattaa tietämättäänkin tehdä tallennusta.

Monella voi olla myös virheellinen käsitys siitä, että kuvat on turvassa kun ne on salasanan takana. Julkisuudessa toimivien henkilöiden kohdalla riski on suurempi.

NokiaPiipussa kirjoitti:Sinä ja Apple vieritätte tätä käyttäjien syyksi, että miksi oli huonot salasanat, lälläslää! Mutta katsos, kun tuon Brute Force -menetelmän estäminen juuri suojelisi käyttäjiä, heidän omien huonojen salasanojensa riskiltä. Käyttäjällä voi olla salasananaan vaikka äärimmäisen epäturvallinen "salasana1", mutta vahvan siitä tekee juuri tuo Brute Forcen estäminen, jonka takia rikollinen voi arvata tuota salasanaa vain esim. 3 kertaa.

Tuo iBruten käyttämä 500 salasanan lista on todella pieni brute force-hyökkäykselle, etenkin kun siitä poistetaan ne salasanat jotka eivät kelpaa Applen palveluiden salasanoiksi. Jos rajoitutaan latinalasiin aakkosiin eikä tehdä eroa isojen ja pienten kirjaimien välillä (Apple vaatii että salasanoissa pitää m.m olla yksi iso kirjain, numero sekä vähintään 8 merkkiä) niin 500 yritystä ei edes riitä kattamaan kaikkia 2 kirjaimen kombinaatioita ja 3 kirjaimen kombinaatioista se ei kata kuin alle 3%. Laskin huvin vuoksi että kuinka suuri osa tuo määrä on kaikista 8 merkkisistä kombinaatioista joissa voi olla numeroja sekä isoja että pieniä kirjaimia ja tuloksessa oli sitten 11 nollaa pilkun ja ensimmäisen ei-nollan väillä.

NokiaPiipussa kirjoitti:Apple ei voi mitään, jos ihmisillä on heikkoja salasanojoa, joo. Mutta Applen tehtävä olisi siksikin ollut entistä tärkeämpi tehdä tuo tietoturvallisuuden perusasia. Käyttäjät eivät voi sille mitään, jos Applen systeemit eivät täytä edes perusvaatimuksia.

Tietoturva-alalla on yleinen konsensus että ei ole olemassakaan niin turvallista järjestelmää ettei sössivä käyttäjä pystyisi mahdollistamaan siihen murtautumista. Jos käyt nyt anon-ib:ssä saat huomata että väki puhuu ihan avoimesti siitä kuinka murtautuvat toisten tileille tekemällä password resettiä ettimällä secret questionien vastaukset m.m Facebookista. Tässä on siis kyseessä tasan sama tekniikka kuin mitä joitain vuosia sitten Sarah Palinin Yahoo-sähköpostiin murtautunut tyyppi käytti.

NokiaPiipussa kirjoitti:Amerikkalaisia palveluita ja tuotteita kannattaakin vältellä, jos oma yksityisyys kiinnostaa. Vaihtoehtoja on.

Toisinaan pitäisi myös kyseenalaistaa että ovatko edes nekään turvassa. NSA pitää nimittäin palkkalistoillaan joitain mailman parhaista hakkereista ja ovat asentaneet takaovia, joskus jopa itse palvelinrautaa peukaloimalla, ties minne.

Totean taas että tässä on melko selvästi nokia-fanipoika joka on tullut tänne v*ttuilemaan meille Apple-käyttäjille.

Niin. Eihän sitä voi syyttää muuta kuin yritystä, jos salasanat on aasinkin keksittävissä. Perus pinkoodi 0000. Jos luuri varastetaan, on vastuu silloin Applella, eikä käyttäjällä. Voisiko nokiapiipussa laittaa ryhmäkanteen?

No jaa, mitenkähän tämä oikeasti meni:
http://macdailynews.com/2014/09/02/cele ... technique/

https://www.nikcub.com/posts/notes-on-t ... ata-theft/

jakovski kirjoitti:Niin. Eihän sitä voi syyttää muuta kuin yritystä, jos salasanat on aasinkin keksittävissä. Perus pinkoodi 0000. Jos luuri varastetaan, on vastuu silloin Applella, eikä käyttäjällä. Voisiko nokiapiipussa laittaa ryhmäkanteen?

Olet taivata rakentamaan noita olkunukkeja

Oikeampi vastaavuus olisi sellainen, että minun pinkoodini olisi vaikka 1001. Pekka saa 10 yrityskertaa arvata tuo pinkoodi, kun taas Liisa saa rajattoman määrän yrityskertoja. Kummanko luulet saavan todennäköisemmin tuon minun pinkoodini selville?

Ja puheet siitä, että jaossa olleessa murtotyökalussa oli vain 500 sanaa mukana, voi unohtaa turhana. Melkein kuka tahansa voi tuota salasanalistaa kasvattaa. Esimerkiksi täältä saa 10000 suosituinta salasanaa omiin murtotyökaluihinsa.

Asenteella aloitettuun ketjuun kirjoitetaan asenteella, tämä lienee normaalia ihmisten reagointia.

Faktaa nyt tästä keisistä on vasta nyt käytettävissä, liian paljon kirjoiteltu kuvitelmia.

Lienee fakta, ettei iCloudiin ole murtauduttu. Tilanne vastannee sitä, että pitää talon avaimia lukisemattomassa leikkimökissä kukkapurkissa.

On hyvä, että nuo iCloudin heikot kohdat tulevat samalla esiin vaikka niitä ei tässä olisi edes hyödynnetty. BruteForcen helppous unohtunutta tunnusta/salasanaa kaiveltaessa selaimella on yllättävää ja vaatii muutosta.

Faktahan on, että turvaratkaisut yleensä vaikeuttavat käyttäjän elämää ja heikentävät käyttäjäkokemusta. Applen arvoissa käyttäjäkokemus on ensijainen. Tämä on fakta eikä mikään Applen puolustus.

Pilvipalvelujen kohdalla tiedetään hyvin, että turvavaatimukset ovat kertaluokkaa kovemmat kuin hajautetuissa ratkaisuissa. iCloud on tässä pitänyt pintansa mutta käyttäjiä pitäisi holhota enemmän, jotta käyttäjän tunnuksen murtaminen ei olisi kovin helppoa.

Raaka voima tietysti auttaisi ja tekisi murtosaaliin käytön vaikeaksi ja vähemmän houkuttelevaksi - kaiken talletetu tiedon kryptaus. Tähän varmaan joudutaan menemään.

Kyllähän tämä vuoto pistää omalla kohdalla miettimään pilviratkaisuja, tietoturvaa ja käytössä olevia salasanoja. Pitkään olen meinannut jättää Dropboxin ja siirtyä täysin Younitedin käyttöön. Olen myös kaksivaiheista varmistusta käyttänyt aina kun sen on voinut ottaa käyttöön. Myös 1Password on oiva softa salasanojen hallintaan.
Pitänee vissiin varmuuden vuoksi ottaa varmuuskopiot pois iCloudista ja jättää ne vain koneelle. Omissa kuvissa nyt ei mitään nähtävää ole, mutta häiritseehän se jos ne vuotaisi.

Toivon mukaan moni muukin tajuaa enemmän pilvipalvelujen vaaroista ja ottavat tarvittavat keinot niiden suojaamiseksi käyttöön.

Ylläpitoalueelle kuuluva keskutelu liitetty asianomaiseen ketjuun.

NokiaPiipussa kirjoitti:Ehdotan, että Apple tekisi oikeasti turvallisen pilvipalvelun, eikä luovuttaisi tietoja NSA:lle

Ei kannata niistä kuvista huolestua. Tärkeintä on, että ei ne reseptit yms joudu jakoon. Suosittelen niissä edelleen vihkoa. Jos niitä kuvia laittaa pilveen niin eikö se ole sama, jos heittää ne alastonsuomi piste mikä lie sivulle. Muutenkin nämä nakuselfiet on outoja. Toisaalta mitä sitä kaunista kroppaansa häpeämään. Kaikkihan me ollaan nuo julkkikset elokuvissa alasti nähty. Samaa nahkaa se on nenänpäässä kuin siellä alhaalla.

Onhan vuoto tietenkin aina vakava asia. Pilvessä ei ole turvaa koskaan. Tilanteen voisi ajatella niin, että postisi tulisi työnantajallesi ja työpäivän päätteeksi ottaisit postikassin mukaasi. Työnantaja on saattanut kirjeet plärätä tai sitten ei ole. Kuinka moni suostuisi tuohon? Niin.. Se pilvi on miltei sama.

Tässä aloin miettimään, että kuinka turvallinen mahtaa olla googlen vastaava tähän verrattuna? Tuo pilvi tulee yleistymään ja salaisuudet poistumaan ihmisiltä.

Muistaen että ainoa oikeasti toimivaksi todettu tapa oli käyttää hyväksi "I forgot my password":ia ja ettiä vaadittujen "salaisien" kysymysten vastaukset esim. uhrin facebook tililtä ei mikään pilvipalvelu ole todistetusti yhtään sen turvallisempi. Sanoisin että pilvidata on yhtä suojassa kuin keskiverto sähköpostitili. Sarah Palinin sähköpostiin murtauduttiin tasan samanaisella tekniikalla vuonna 2008.

Niin ja ennen kuin kukaan tokaisee että "Entäs iBrute" niin huomautan vaan että sakki kokeili iBrutea heti tämän tultua julki (eli ennen kuin Apple ehti edes reagoida), mutta törmäsivät sitten tähän brute force-suojaukseen jonka olisi pitänyt puuttua. Totuus tässä on mitä luultavemmin se että iPilvestä ei koskaan puuttunut brute force-suojausta, tämän paljastanut 15-vuotias puhui vaan tiedätte-kyllä-mitä.

Sanoisin että ihmisten pitäisi ottaa tästä tapauksesta kolme asiaa opiksi:
1 - Älä koskaan tallenna mitään jonka et haluaisi tulevan julki mihinkään netti palveluun. Oli kyse sitten pilvipalvelusta tai tavallisesta sähköposti-tilistä.
2 - Käytä oikeasti salaisia kysymyksiä eikä jotain jonka kuka tahansa voi etsiä vastauksen pikaisella google-haulla.
3 - Ei ole olemassakaan niin turvallista palvelua ettei sössivä käyttäjä pystyisi tyhmyydellään luomaan murtautujalle reittiä sen suojauksien ohi.