iPhone 6 nie do złamania dla NSA?

Zapewnienia Apple, że iPhone 6 daje wysoki poziom bezpieczeństwa danych są mocno na wyrost, a z kolei lament podniesiony przez agencje bezpieczeństwa USA wydaje się nieszczery.

iPhone 6 już w momencie premiery mógł zwrócić uwagę firm i indywidualnych użytkowników ceniących sobie poufność. Bo zarówno Apple, jak i niektórzy przedstawiciele amerykańskich agencji rządowych zwracają uwagę, że zabezpieczenia nowego smartfona mogą uniemożliwić służbom wywiadowczym możliwość analizy maili, wiadomości SMS, fotografii, list kontaktów.

Jednak przekonanie, że iPhone 6 może w pełni zabezpieczyć przed potencjalnymi próbami szpiegowania użytkownika przez instytucje rządowe odpowiedzialne za bezpieczeństwo należy traktować z rezerwą.

Zobacz również:

  • Badanie Cisco ustaliło stopień prawdopodobieństwa cyberataku na organizację z wykorzystaniem luk w oprogramowaniu
  • Wartość Apple przekroczyła 3 bln USD
  • HPE Green Lake dla NSA

Nie ulega wątpliwości, że nowy smartfon Apple zapewnia lepszą niż dotąd ochronę prywatności, bo szyfrowanie przesyłanych informacji jest domyślnie włączone. Natomiast w wypadku smartfonów pracujących pod kontrolą Android podobne mechanizmy szyfrowania są również dostępne, ale użytkownik sam musi je uruchomić, gdyż domyślnie są wyłączone. Ma to się jednak zmienić, bo w nowej wersji Android Google najprawdopodobniej również wprowadzi szyfrowanie jako opcję domyślną.

Dodatkowo przedstawiciele Apple zapewniają, że firma nie będzie udostępniać rządowym agencjom kluczy szyfrujących wykorzystywanych przez użytkowników iPhone'ów. To logiczne: firma i tak nie mogłaby tego zrobić, jeśli prywatne klucze szyfrujące powinni znać tylko ich właściciele, a nie Apple.

W praktyce oznacza to, że na żądanie władz, Apple mógłby dostarczyć zaszyfrowane dane użytkowników (zakładając oczywiście, iż nie wyłączyli oni opcji szyfrowania), ale bez odpowiednich kluczy.

Czy agencje będą w stanie odkodować dane? Nie tak łatwo, odpowiadają przedstawiciele Apple. Firma udostępniła bowiem możliwość zdefiniowania sześcioznakowego klucza alfanumerycznego składającego się z liczb i małych liter. Według Apple analiza wszystkich możliwych kombinacji przy obecnym stanie technologii IT zajęłaby ponad 5,5 roku.

Z tego wszystkiego można wyciągnąć wniosek, że nowe smartfony zapewniają ochronę prywatności na bardzo wysokim poziomie. Potwierdzają to wypowiedzi różnych, wysoko postawionych przedstawicieli amerykańskich agencji rządowych.

We wrześniu tego roku podczas konferencji prasowej dyrektor FBI James Comey powiedział: “Moje zaniepokojenie budzi fakt, że marketing niektórych firm wyraźnie daje do zrozumienia, że ludzie mogą się próbować postawić się poza prawem”.

Z kolei Ronald T. Hosko, emerytowany dyrektor z wydziału kryminalnego FBI (Criminal Investigative Division), w artykule opublikowanym przez The Washington Post, skrytykował Apple za nową politykę dotyczącą szyfrowania informacji. Wprost wysunął oskarżenie, że szyfrowanie danych dostępne w iPhone'ie 6, w znanym mu przypadku porwania dla okupu, który miał miejsce w Wake Forest w Północnej Karolinie, spowodowałoby, iż sprawców nie udałoby się odnaleźć, a ofiara najprawdopodobniej zostałaby zamordowana.

Z obawami przedstawionymi przez Jamesa Comey’a i Ronalda Hosko jest tylko jeden problem – nie są one prawdziwe.

W komentarzu do artykułu napisanego przez Ronalda Hosko, redaktorzy The Washington Post wyjaśnili, że w opisywanym przez niego przypadku, FBI rzeczywiście wykorzystało podsłuchy rozmów telefonicznych porywaczy żądających okupu, ale nie ma to nic wspólnego z szyfrowaniem listów e-mail.

Natomiast jeśli chodzi o obawy prezentowane przez Jamesa Comey’a, to w artykule nawiązującym do jego konferencji dziennikarze z New York Times napisali: „Specjaliści ds. bezpieczeństwa kwestionują czas niezbędny do złamania szyfru, bo przedstawiciele Apple chyba nie zdają sobie sprawy, jaką moc obliczeniową mają superkomputery NSA”.

Gdyby nawet agencje odpowiedzialne za bezpieczeństwo utraciły możliwość przechwytywania danych z połączeń realizowanych przy pomocy smartfonów, to wciąż dysponują wieloma innymi metodami umożliwiającymi zebranie potrzebnych im dowodów.

Specjalista ds. bezpieczeństwa Jonathan Zdziarski powiedział dziennikarzom New York Times: „Eliminacja jednego źródła informacji, jakim może być iPhone, w większości przypadków nie stworzy problemu. Istnieje bowiem mnóstwo innych źródeł takich jak bilingi połączeń, logi dotyczące przesyłanych maili, a także informacje zapisywane w systemach iCloud lub Gmail. Cały internet jest na podsłuchu.”

Można się zgodzić, że dane w smartfonie będą dobrze zabezpieczone przed nieuprawnionym dostępem osób trzecich (choć nie jest to całkiem pewne), ale jeśli ktoś zrobi backup danych w chmurze iCloud, to zapewnienie Apple, że nie ma i nie udostępni nikomu klucza szyfrującego do iPhone'a nie ma istotnego znaczenia, bo w wypadku iCloud Apple jest w posiadaniu kluczy szyfrujących.

Rezygnacja z usług iCloud nie oznacza, że można poczuć się bezpiecznie. W swoim blogu (www.zdziarski.com/blog), Jonathan Zdziarski prezentuje wiele różnych narzędzi śledczych do analizy danych i systemów, które mogą wydobyć naprawdę wiele informacji nawet z zaszyfrowanego iPhone 6.

Zarówno Apple, jak i amerykańskie agencje ds. bezpieczeństwa mają własne powody by stworzyć wrażenie, że mechanizmy szyfrowania wykorzystywane przez iPhone 6 zapewniają większe bezpieczeństwo niż w rzeczywistości.

Apple chce oczywiście sprzedać jak najwięcej nowych smartfonów, a wysoki poziom ochrony prywatności jest jednym z argumentów, który może trafiać do użytkowników.

Z kolei dla przedstawicieli służb rządowych kontrowersje dotyczące mechanizmów szyfrowania wprowadzonych w iPhone 6 wydają się być szansą na uzyskanie większych środków finansowych na rozwój zaawansowanych systemów do łamania szyfrów. A obie strony mają nadzieję na przychylną ocenę ich działań przez opinię publiczną.

Czy więc zakup iPhone 6 przez użytkownika, który chce sobie zapewnić wysoki poziom ochrony osobistych danych, będzie dobrą inwestycją? Trzeba przyznać, że nowy smartfon zwiększa bezpieczeństwa danych, ale przekonanie, że pozwoli na ich absolutne zabezpieczenie to marketing nie mający realnych podstaw.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200