1 millió iPhone UDID-et tett közzé az AntiSec

Az AntiSec a Twitter-en bejelentette, hogy 1 millió + 1 iPhone "Unique Device Identifier"-t, röviden UDID-et tett közzé. A csoport azt állítja, hogy a részlet egy olyan fájlból származik, amelyben 12 millió UDID található személyes információk (usereik, APNS tokeneik) társaságában és amelyet egy FBI ügynök laptopján találtak. A részletek itt olvashatók.

Hozzászólások

Azért van két buta kérdésem. Milyen gyakran van az, hogy csak úgy hozzájut valaki egy FBI ügynök laptopjához? Másik az, mégha hozzájut is, egy (valószínűleg) nyomozati anyag mennyire valószínű hogy csak úgy rajta van a HDD-n (már az hogy egyáltalán rajta van-e, vagy ha már igen, akkor titkosítatlanul)?

Fura nyomozati anyag lehet 12 millió iphone felhasználó lehallgatására alkalmas adatbázis. Vagy odaát már mindenki gyanús?
A laptop meg valszeg titkosítva volt, HDD vagy hasonló szinten, de nem a hardverhez jutottak hozzá, hanem trójai ment fel a gépére - az ellen meg nem véd az alacsonyszintű HDD titkosítás.

Meglepődnél, hogy az amcsik a biztonságot hogyan értelmezik. Írnak rá egy törvényt, hogy aki kukucskál, az élete végéig lesittelhető, és ezzel elintézettnek tekintik a dolgot. Csakhogy nem mindenki fél tőlük.

Na de az fbi? Na de ez rajta volt? ... hát ez vagy nem véletlen, vagy az fbi egy kamu bullshit gyár leginkább és csak játsza a nagymenőt, közben meg megy az amatőrködés. Az elkerüléshez csak egy filléres rsa token kellett volna és hw hdd titkosítást, mint nagyon sok cégnél még kis hazánkban is.

Nem tegnap volt, hogy az MS kidoboltatta, hogy az WinNT is teljesíti azt a -talán valamilyen katonai- biztonsági szintet, amit akkoriban főleg a VMS és néhány UNIX tudott. Sokan meg is lepődtek ezen. Aztán a lábjegyzetben megtalálták, hogy floppy és hálózati kapcsolat nélkül igaz a cert.

Minden unixban évtizedek óta ott van a multiuser support, illetve a fájlrendszer-szintű jogosultságkezelés. A mindenféle trusted extensionökről már nem is beszélve, amelyek magasabb szinten is képesek az adatszivárgást megakadályozni.
Ha ilyenek nem állnak közéd, és a kívánt adat közé, csak meg kell várnod, míg a delikvens "kinyitja", még a jelszót/kulcsot (azaz a smartcard sem megoldás) sem kell tudnod.
Szerintem semmivel sem több, a megismert esetben is volt valószínűleg egy felderítési fázis, amibe ez ugyanúgy belefért volna.

--
zsebHUP-ot használok!

Nem feltétlen ugyanabból az OS-ből kell azt a könyvtárat "kinyitni". Lehet ez egy virtuális gép, ami egy ISO-ra bootol, aztán azalól nyitod ki. Persze le lehet sniffelni a billentyűleütéseket, meg mindent meg lehet erőszakolni, de ez talán nem a random kiddie kategória, aki a gépeden a ~-ból a fontos_adatok.txt-t leszedi.

Tökéletes biztonság nincs. Ezzel együtt kell élni.

--
trey @ gépház

Téged tudnálak idézni. Nyilvánvaló, hogy amit leírtam, nem ér sokat azok ellen, akik értik a dolgukat. A semminél azonban mindenképpen több. Késleltetheti az adatokhoz való hozzáférést - hiszen ki kell figyelni, hogy hol van, ahhoz mikor fér hozzá valaki - ez lehet, hogy hetek, hónapok kérdése. Addig meg feltűnhet a gép tulajának a gyanús tevékenység. Nem ugyanaz, mintha egy Java hole-on keresztül nyitnak egy reverse shell-t, majd átcopyznak vakon mindent a home-ból és a saját gépükön válogatnak.

--
trey @ gépház

Igen, nyilván késleltetheti az adatokhoz való hozzáférést, ha nem használja aktívan és folyamatosan az adott adatokat a user *és* időben kiderül a kompromitáció ténye, de emiatt ez inkább szerencse kérdése lesz, nem valódi biztonságé. Ilyen esetben akár VM-re sincs szükség, az adat [nem]elérhetőségét másképp is lehet szavatolni, akár egy pendriveval (bár továbbra sem lesz könnyű, az átmeneti állományok, gyorsítótárak által keletkező másolatok miatt). A Qubesnál a koncepció az (meg úgy általában minden VM esetén), hogy a host trusted (kellene hogy legyen) és maximum egy adott virtuális gépet törhetnek meg, de attól a többi VM és a host még biztonságban marad (a mai bonyolult rendszereknél ezt egyébként továbbra is nehéz garantálni, de ez egy másik kérdéskör). A lényeg, hogy emiatt nem mindegy, hogy már eleve maga a host lesz "fertőzött", vagy sem, mert a hostról minden elérhető. Emiatt nincs értelme VPS/Cloud esetén a guest VM diszk titkosításának, mert ott viszont garantáltan mindig elérhető a futó rendszerhez szükséges titkosító kulcs is a memóriában, vagy a processzor regisztereiben, amelyekhez a hostról könnyű hozzáférni.

Eppen azon rotyogok csendesen magamban, h az nem gaz, h atadjak az agendajuk, a levelezesuk es a doksijaik nagy reszet a googlenek, ms-nek, dropboxnak es az apple-nek, facebooknak, amiket ok nagy pofaval eladnak es/vagy mindenfele (akar geopolitikai szintu) statisztikakat gyartanak juzerek milliardjairol, amiket szinten eladnak, de ha egy fbi ugynok gepen 12 millio telefon azonositot talalnak az mar skandallum, mikozben ugyanezen juzerek szerint a google joceg es tovabbra is gmailoznak es facebookoznak. Mert az nem gaz. :)

---
pontscho / fresh!mindworkz

Almát a körtével...

Google, FB, stb. adatok (remélhetőleg) viszonylag biztonságos szerver környezetben élnek (legalábbis szerintem nem naivitás azt feltételezni, hogy foglalkoznak a biztonsággal, nem böngésznek Java-s oldalakra a szervereken root accounttal, stb.), egy FBI ügynök desktop gépe pedig ennek az ellentéte.

Ha Google, FB, stb. cégtől kikerülnének szenzitív adatok, az is skandallum lenne, nem csak az FBI-tól való kikerülés skandallum.

Google, FB, stb. nem adnak el személyes adatokat (PII), de statisztika, reklám és ilyesmi cél meg egyértelmű, hogy létezik, de a júzer aláírja a privacy policyt, hogy ezt követik róla. Az FBI-ról, illetve az adott 1 db ügynökről nem tudta senki, hogy ilyen szinten tárolnak személyes adatokat, ezért gáz. Azt persze tudjuk, hogy bírósági vagy hasonló felhatalmazással bárkiről kiadnak bármit, de ez nem az az eset.

--
joco voltam szevasz

Google, FB, stb. adatok (remélhetőleg) viszonylag biztonságos szerver környezetben élnek

Jol mutatjak ezt a "viszonylag biztonságos szerver környezetet" a legutobbi kinai behatolasok a google szervereibe. Es ezek csak azok amik valojaban kiderultek. :)

Ha Google, FB, stb. cégtől kikerülnének szenzitív adatok, az is skandallum lenne, nem csak az FBI-tól való kikerülés skandallum.

Google, FB, stb. nem adnak el személyes adatokat (PII), de statisztika, reklám és ilyesmi cél meg egyértelmű, hogy létezik, de a júzer aláírja a privacy policyt, hogy ezt követik róla. Az FBI-ról, illetve az adott 1 db ügynökről nem tudta senki, hogy ilyen szinten tárolnak személyes adatokat, ezért gáz. Azt persze tudjuk, hogy bírósági vagy hasonló felhatalmazással bárkiről kiadnak bármit, de ez nem az az eset.

Hallottal te valaha a patriot act-rol ? :) Komolyan ennyire naivak vagytok meg ezekkel a cegekkel kapcsolatban is ? :)

---
pontscho / fresh!mindworkz

Hát még Hunger-t is megtalálta a Facebook... Látod, hogy szart se ér az elővigyázatosság. Nem attól leszel biztonságban, ha DuckDuckGo-t használsz keresésre.

Gondolod, hogy rólad azért nem lesz infója a hatóságoknak, mert nem használsz Google-t keresésre, vagy mert saját szerveren keresztül levelezel? Ne röhögtess.

--
trey @ gépház

De igen, lesz, sot bizonyos okokbol eleg valoszinu, h egyik irattarban meg akta is talalhato rolam. Ezen nem akadok fent mar eleg regota, tudni kell az eszkozoket hasznalni. Azon rohogok, h az egyik oldalrol nepek osztjak az eszet, h az fbi mit kepzel magarol, mikozben torveny adta jogaval el, a masik oldalrol pedig ugyanezek a nepek posztoljak a gps koordinataval ellatott fotoikat arc megjelolessel facebookra es indexeltetik be a fel eletuket a google szervereibe, mikozben egyik sem jobb, mint a masik.

---
pontscho / fresh!mindworkz

Itt amin röhögni kell az, hogy az FBI-os a notebookján tárolta egy nagyon_fontos.txt-ben az adatokat, amit pornónézés közben gépére plántált malware-en keresztül kiszipkázott néhány kiddie... Bármelyikünkkel megeshet ilyen baleset, de egyikünk sem dolgozik a világ legnagyobb bűnüldözési szervénél, hogy ekkora ciki legyen...

Meg annyi a tanulság, hogy lehet itt Google-re mutogatni, szép lassan kiderül, hogy se az MS-nél, se az Apple-nél (hahahahaha), sehol sincs az adatod biztonságban.

--
trey @ gépház

Múltkor mintha valamilyen amerikai/idióta hivatalnok azt nyilatkozta volna, hogy aki nem használja ezeket a népszerű közösségi szolgáltatásokat, az eleve gyanús. Rettegjenek a saját levelezést üzemeltetők és a Google-t elkerülők, mert őket kiemelten fogják figyelni, a többit meg csak aggregálva :P
--
dart | drillio | agilord

Attol, hogy az adatok biztonsagban vannak ezeknel a cegeknel onmagukban (vadidegenektol, meg 99.99%-os megbizhatosag vs. otthoni dzsunka vinyod, szakembereik altal biztonsagi szinten is szakertoi csoport altal karbantartott szerver vs. otthoni geped amire csak te nezel ra, etc.), attol meg hol a bizonyitek arra, hogy csak egy Apple termek adatai kerulhetnek at az FBI-hoz, a Google, a Facebook es az MS (beleertve a Skype-ot) nem juttat el soha semmit (akar "onszantabol") a hatosagoknak (ellenkezojere valo gyanu az van boven)?

szerk.: kozben latom hogy elbeszeltunk egymas mellett, ezt te sem zartad ki :) bocsi

"az nem gaz, h atadjak az agendajuk, a levelezesuk es a doksijaik nagy reszet a googlenek, ms-nek, dropboxnak es az apple-nek, facebooknak, amiket ok nagy pofaval eladnak"

Kinek? És mennyiért?
Komolyan kérdezem, érdekelne, hogy mennyiért tudnám eladni a levelezésem. Valamire való ajánlat esetén azonnal el is adnám én magam is :)

Aztat én értem, de elvileg azért cserébe reklámot nézek :)

Az továbbra is komolyan érdekelne, hogy ki az, aki fizetne egy kanyi fillért is napi néhány fórumos értesítő email, heti néhány security newsletter, heti néhány vicces email (bár ezek a fb terjedésével erősen visszaestek, de nem törlök), meg a évente 1-2 email-en leszervezett kirándulásról szóló levélért. Ja, meg a havi bankszámlakivonatomért, amiből megtudhatod, hogy mennyi a fizetésem, hol dolgozok, hol lakok és hol költök, de ezzel se mész sokra, hacsak nem akarsz kirabolni...

Nem vagyok biztos benne, hogy ez legális tevékenység, így ez megmagyarázhatja, hogy miért nem találkozunk ezekkel a szereplőkkel a piacon ( szvsz leginkább államok és rendőrségek tartanak ilyesmire igényt )

Persze ez nem bizonyító erejű. Mondjuk a titkos összeesküvés-elméletek nem bizonyíthatók/cáfolhatók, lévén titkos összeesküvésről szólnak. ( bár szvsz botorság lenne azt állítani, hogy nem történnek olyan dolgok, amik nem kapnak nyílvánosságot )

Nem az a kérdés, hogy mit keres a rendőrségnél mondjuk Talicskás Jónás, vagy Gipsz Jakab adata, hanem mit keres a rendőrségnél egy fájlban egy Magyarország lakossága nagyságrendű ember adata. Nagy a különbség. Vagy csak nem azt mondod, hogy összefüggést találtak egy bűnügyben, amiben 10 millió ember érintett?

Csak nehogy a végén dupla csavar legyen a sztoriban, aztán kiderüljön, hogy az FBI embere szabadidőben a LulzSec tagja volt és éppen release-elés előtt lopták el az AntiSec emberei tőle a stuffot :D

--
trey @ gépház

Ne terelj, ezek másik kérdések. Az eredeti az volt, hogy hogyan és miért nyomoz a nyomozóiroda.

Megbecsülni meg nem tudom hogy melyik a biztonságosabb, ha az adatok az ügynök laposán vannak, vagy ha egy serveren és az szolgálja ki a kereséseket.

Ha a jóstehetségemre hagyatkoztok, akkor nemsokára lesz egy főcím, hogy felhőbe költözik az FBI.

Puppy linux felhasználó

Hiába gondolkozom, nem jön le mit problémázol. Jött egy hír, hogy homok a gépben, valaki valamit hibázott (vagy hanyagságból szegett szabályt). Ezt nagyon mesteri kérdésekkel rá akarod húzni arra, hogy a világ leghatalmasabb államának nyomozóirodája miért tárol adatot?

Puppy linux felhasználó

A nyomozóhivatalnak is indokkal _kellene_ csak adatokkal rendelkeznie valakiről. Az rendben, hogy van egy ügy, annak vannak gyanúsítottjai, érintettjei. Ezeknek az adatait kikérik mondjuk az Apple-től. Az rendben van.

De magyarázd már meg nekem, hogy milyen ügy lehet az, aminek 10+ millió gyanúsítottja, érintettje van? Tényleg nem érted?

Ha nem érted, akkor fejezzük be, hagyjál lógva.

--
trey @ gépház

Nem értem, milyen gyanúsítottak? Az amerikaiak nem bíznak egymásban, fizetik az adót, hogy a hivatásos nyomozók nézzék az összes amerikait. Szerintem ez tiszta dolog.

Hogy képzeled a gyanús egyének megfigyelését a mindenki megfigyelése nélkül?

Puppy linux felhasználó

No igen, csak a nyomozóiroda szerint neki nincs ilyen, az Apple szerint nem adtak ilyet. Általánosabb kérdésként felmerült bennem, bárkinél hogyan lehet ilyen jellegű és mennyiségű adatot tartalmazó állomány. Hogy java sebezhetőséggel, laptoppal lopták, bizonyos szinten érdektelen. Az Apple azt mondta, hogy nem adta. Nem lehet, hogy betörtek hozzá, de még még kussol? De az is tetszett, hogy a megoldás a nem létező iOS 6 új funkciója lesz, ez itt a reklám helye.

"Belépés díjtalan, kilépés bizonytalan."

Az UUID-t, meg a többi adatot az összes fejlesztő lehúzta, aki statisztikát csinált az elmúlt években a userekről, hogy jobb eredményeket érjen el a konverziónál (free to paid). Elég volt az egyik sikeresebbnél fejlesztőnél találni egy biztonsági hibát és máris hozzáfért az FBI ahhoz a 12 millió iOS user adatához. Meg Android, WP7, BB, stb. useréhez is.

Ezt nem odaadja az Apple, Google, vagy az MS, hanem a fejlesztő kiolvassa az adott készülékből, majd tárolja a saját szerverén, amiből statisztikákat tud csinálni a felhasználói szokásokról, amivel nagyon sokat lehet javítani az adott app minőségén.

_______________________________________________________________________

Android: https://play.google.com/store/search?q=artex+studios
iOS: http://itunes.apple.com/hu/artist/artex-studios-inc./id399983944

Nekem is ez jutott eszembe, de a paranoiám még tartja bennem azt, hogy van az a pénz, amiért onnan lopták el. Illetve ami "megijeszt", hogy egy fejlesztő mennyi olyan adatot kap rólam, ami az Applenél van és a fejlesztőnek köze nincs hozzá (nem olvastam el a licencet, tehát lenne abban benne van, hogy továbbadhatja). Kapja meg az UDID-et, tudja nézni mennyien használják, hányan telepítik heti/havi/éves bontásban, de címek és egyebek miért vannak ott náluk. Persze lehet valami közös adatbázis a cégnél és az UDID-et használják kulcsnak, tehát az UDID csak egy lába az egésznek. Az is tetszett, hogy a cég csöndben volt amíg napfényre nem került a nyúlás.

"Belépés díjtalan, kilépés bizonytalan."

Szakember létedre nem tudod... Interneten nem küldünk semmi titkosat, ez gondolom megvan. El kell tehát menni az adatért. Na floppy már nincs a gépben, pendrive-ot nem adnak, mert spórolni kell, így letöltötte a szigorúan őrzött apple-főhadiszálláson a gépre rá.
Hosszú volt a fájl, gyorsan eljött a 16:20 (munkaidő vége), a központba már nem ment vissza (így is túlóra, rohadjanak meg, ráadásul pont csúcsidőben kell az I-280-ason hazafelé araszolni). Otthon a gyerek játszott még a DoS nevű alkalmazással -apa még büszke is rá, hogy az alapoknál kezdi, komoly szakember lesz belőle!-, aztán lefekvés.
Másnap a géppel a hóna alatt bement a federál bűróba, rátette a számítógépet a FiBranetre, és boldogan konstatálta, hogy azonnyomban elkezdett villogni a hálózati aktivitást jelző lámpa, hiszen ez azt jelenti, hogy neki nem is kell felmásolnia a fájlt, a központ tudós mérnökei rögtön észlelték a bor^WJügynök nevű számítógépet, megtalálták a bekért adatokat, és már másolják is le.
Ennek örömére el is ment kávézni, ahol már kisebb sor alakult ki, mert hirtelen mindenkinek bedöglött a gépe az épületben.
Hmm. Biztos tényleg olyan nagy a fájl, hogy nem bírja a hálózat, gondolta, miközben a jávai kávéját szopogatta, és az előléptetésről (régóta "K" kategóriájú ügynök szeretne lenni) álmodozott .
--
zsebHUP-ot használok!

Valójában nem nagyon van olyan oldal, ahol szükség lenne java applet/alkalmazás
futtatására, szóval szerintem nyugodtan lehet default-ból tiltani...

BTW én azt sem értem, hogy a flash minek van... mert persze viccesek ezek a játékok,
de valójában nem nagyon van szüksége egy átlagembernek flash-re, videó meg most már
van html5-ben szabványosan...

Tudom, hogy nagyon hülye kérdés, de miket lehet csinálni egy ilyen azonosító ismeretében?
Itt valaki már a lehallgatásról beszélt, de szerintem ahhoz azért egy ilyen egyedi eszközazonosító (tükörfordításban az UDID rövidítés jelentése) kevés.

we trimmed out other personal data as, full names, cell numbers, addresses,
zipcodes, etc.
not all devices have the same amount of personal data linked. some devices
contained lot of info.
others no more than zipcodes or almost anything. we left those main columns we
consider enough to help a significant amount of users to look if their devices
are listed there or not. the DevTokens are included for those mobile hackers
who could figure out some use from the dataset.

Magyarul az UDID-ekkel együtt egy rakás személyes adatot is tartalmaz a fájl.

Azt ugye láttátok, hogy elég sok "Gábor", "Sándor", "Béla", "András" nevű is van a listában?

Azért az mégiscsak meglepő hogy milyen sok magyar van a listán. Én 60 másodperc grep-eléssel találtam kb 50-et. Most ha saccolni kéne, szerintem legalább 500 egyértelműen beazonosíthatóan magyar van a listán. Levetítve a 12 milliós adatbázisra az 6000. Mit akarhat velük az FBI?

minnél többet tudok a kommunikációról, annál jobban érzem, hogy három embernél nagyobb távolságra semmi sem biztos az eseményről, amiről beszélnek. nagyon messze vagyunk ettől az eseménytől, tudatos szivárogtatástól kezdve akármi lehetett, emberi mulasztások láncolata, ...

Ezzel 100% egyet tudok érteni. Bennem ez a Westbalkan tragédiánál tudatosult. Ott volt a helyszínen több száz (ezer?) potenciális szemtanú és tulképp máig nem lehet tudni, hogy volt-e késelés vagy sem. Lehet hogy neked vagy nekem van egy határozott véleményünk a történtekről, de az biztos hogy az emberek kb fele így gondolja, másik fele meg amúgy. Ez az igazi WTF...

Inkább az a hihetetlen, hogy sok ember még ilyenek után is azt gondolja, hogy az ilyen 'jó nevű cégeknél' űrtechnológiát használnak, és minden dolgozójuk számítástechnikai zseni és/vagy biztonsági szakértő. :D

A valóság pedig az, hogy ők is egyszerű emberek, ugyan azokat a szoftvereket használják, mint egy átlagember, és ugyan azokat a hibákat követik el mint egy átlagember. Csak a hype nagyobb körülöttük ;)

--
zrubi.hu