Jön a Lockdown Mode az iOS-be

Apple

Új funkciót tesztelhetnek az iOS 16 beta 3 tesztelői: a Lockdown Mode lehetővé teszi az eszköz lezárását, ha a tulajdonos úgy érzi, hogy személyesen őt célzó kibertámadás áldozatává vált. Lezárt állapotban az iPhone nem a megszokott módon működik: a weboldalak, alkalmazások és funkciók szigorú korlátozások alá kerülnek és egyes készülékszolgáltatások teljesen elérhetetlenné válnak. A Lockdown Mode élesítéséhez rebootra van szükség.

( trey | 2022. 07. 07., cs – 09:01 )

Szerkesztve: 2022. 07. 07., cs – 09:05

Lockdown Mode is a groundbreaking capability that reflects our unwavering commitment to protecting users from even the rarest, most sophisticated attacks. While the vast majority of users will never be the victims of highly targeted cyberattacks, we will work tirelessly to protect the small number of users who are. That includes continuing to design defenses specifically for these users, as well as supporting researchers and organizations around the world doing critically important work in exposing mercenary companies that create these digital attacks.

Lefordítom a marketing szöveget:

iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP

:D

trey @ gépház

( Z0l v | 2022. 07. 07., cs – 09:50 )

Ezzel implicit azt is elismerik hogy a normal mode insecure.

Ez a funkció pont a célzott támadást, telepítést próbálja akadályozni

Ez a funkció az én olvasatomban nem ezt szolgálja, hanem azt, amit egy már bekövetkezett támadás utáni izoláció, pl. lehúzod a gépet a hálózatról. Hogy az adataid a továbbiakban ne kerülhessenek ki.

trey @ gépház

Így is lehet értelmezni, de ha megnézed a listát, hogy miket tiltanak, akkor inkább a támadástól véd szerintem. Vagy is-is. Pl hálózati forgalom nincs tiltva, tehát éppen kifelé mehet bármilyen adat. Viszont tiltva van az ismeretlen linkek megnyitása, ismeretlen kontaktoktól mindenféle meghívók (pl facetime) elfogadása, üzenetben kapott attachmentek és link preview-k megnyitása (támadási felület), megosztott fotó albumok, stb. Illetve pl tiltva van külső eszközök csatlakoztatása (lockolt állapotban), tehát ha elveszik a telefonodat egy pár percre, hogy egy laptoppal jól rányomják a kémszoftvert, akkor az USB kapcsolat egyáltalán nem fog működni.

Tehát én ezt támadás elleni lockdown-nak értelmezem arra az esetre, ha valamiért célpontnak érzed magad. Egyfajta szigorított eszköz használat. Támadás után -ha tudsz róla- már tökmindegy, akkor úgyis kukázod az eszközt.

Gondolom eddig sem volt egyszerű, de eddig a telefon zárt állapotában is működött a port. Ha rádugom a kábelt a PC-re, akkor felismeri a telefont, tehát lockolt állapotban is él a port, van valamilyen kommunikáció -> van felület támadni. Ez a lockdown módban tiltva lesz, nem fog kommunikálni a port. Legalábbis így értelmezem.

"Tehát egy szoftveres megoldást azért nem lehet szoftveresen majd támadni, nehezebb lesz támadni / kevesebb lehetőség lesz támadni" ... 

FTFY

Szerinted semmilyen szoftver alapú, a biztonságot fokozó megoldásnak (úgy bárhol az informatikában) nincs értelme/jelentősége?

Btw nem tudom hogy fogják megoldani, de kíváncsi leszek. Amin most rugózol, az ugye csak egy kis szelete az egésznek. 

Hát, ha úgy harangozzák be, hogy annak a nagyon kevés számú embernek akarnak védelmet nyújtani a támadások ellen, akikre kormányzati szerverek és titkosszolgálatok vadásznak, akkor ez picsafüst:

  • Messages: Most message attachment types other than images are blocked. Some features, like link previews, are disabled.
  • Web browsing: Certain complex web technologies, like just-in-time (JIT) JavaScript compilation, are disabled unless the user excludes a trusted site from Lockdown Mode.
  • Apple services: Incoming invitations and service requests, including FaceTime calls, are blocked if the user has not previously sent the initiator a call or request.
  • Wired connections with a computer or accessory are blocked when iPhone is locked.
  • Configuration profiles cannot be installed, and the device cannot enroll into mobile device management (MDM), while Lockdown Mode is turned on.

 Ennek meg:

  • Wired connections with a computer or accessory are blocked when iPhone is locked.

Semmi köze a kibertámadásokhoz, egyszerű fizikai biztonsági / hozzáférési kérdés.

A fent felsoroltak kb. egy minor verzió chanalogjaiban szoktak változásként szerepelni. Most meg akkora körülötte a csinnadratta, mintha ez valami óriási dolog lenne.

https://www.apple.com/newsroom/2022/07/apple-expands-commitment-to-prot…

trey @ gépház

A szokásos csakazértisnekemvanigazam játék by trey.

“akkor ez picsafüst:”

Ezt nagyvonalúan kihagytad:

“At launch, Lockdown Mode includes the following protections: 

…(feature lista)

Apple will continue to strengthen Lockdown Mode and add new protections to it over time.”
 

Nem az Apple csinált csinnadrattát. Még a wwdc-n sem volt róla szó az iOS16 kapcsán, csak bekerült egy bétába, meg van róla egy hír az oldalukon.
 

Van ám neked is bajod bőven :D, ha csak emoji van az a baj, ha van fejlesztés az a baj. Mondjuk ezzel még mindig előrébb lesznek “biztonságilag” az Apple userek az 5-6 éves eszközeikkel is, mint bármelyik kurrens apk vadász kínai flagshipkiller tulaj, miközben várja a sosem érkező $nextVersion androidot (amiben persze a kugli is igyekszik majd valami hasonlót implementálni, de persze úgy, hogy az e-mailben kapott aszfalt18-game.apk-t továbbra is lehet majd telepíteni :)). 

Nem akartam magyarázni, de azt hittem leesik, hogy amit a független hup :D általában lehoz, azok is valahol máshol már megjelent sajtóhírek, amit aztán a tech sajtó és blogok nagy csinnadrattával tovább terjesztenek. A google is bejelenti az android developer preview-eket és azok (béta) fícsöreit, stb. Eddig ez téged nem zavart, sőt, te is hozzájárulsz a csinnadrattához. Most meg komolyan azon rugózol, hogy az apple is bejelentett egy béta állapotú fícsört, és ugyanazok a csatornák, amik minden más esetben is (xda stb.) csinálják a felhajtást? :)

azok is valahol máshol már megjelent sajtóhírek,

Vagy inkább levlista postok, blogbejegyzések, git logok ... 

A google is bejelenti az android developer preview-eket és azok (béta) fícsöreit, stb.

Fejlesztői oldalán.

Most meg komolyan azon rugózol, hogy az apple is bejelentett egy béta állapotú fícsört,

A felhasználóknak, ügyfeleknek szóló weboldalán. 

Remélem érzed a különbséget.

trey @ gépház

"Remélem érzed a különbséget."

Igazából nem. Máshogy hívják a csatornát amin írnak. Az androidnak pl hivatalos blogja van: 
Android.com -> (oldal alja) -> For the Press -> Android Blog (The official source for news about Android.) 
Itt is szoktak írni a bétákról ...

Apple.com -> (oldal alja) -> Newsroom

Szerintem ugyanaz pepitában. A lényeg, hogy amikor kiraknak valamit, akkor 5 percen belül minden nagy tech oldal lehozza.

"Hát, nem. Az egyik egy blogoldal (belinkelve egy cég egy termékének oldaláról

A G hivatalos android news oldala a hivatalos android.com oldalon belinkelve mint FOR THE PRESS.
Ezen nincs mit magyarázni.

"- 2. hop), a másik meg a cég főoldala (0. hop)."

Android.com oldal alja -> For the press link 
Apple.com oldal alja -> NewsRoom link 

Pont ugyanaz. Az egyetlen különbség, hogy az előbbi egy másik domainre mutat (mert nekik az a news oldaluk). De innentől már amúgy is vicces. Most tényleg azt számolod, hogy amelyik egy kattintásra van az probléma, amelyik kettőre az meg jó? :D Nem vagy komplett, amikor így elmész a falig, komolyan.. 

​​​​​​​"A HUP-ra nem reagáltál. Kár."
Nem tudom mire gondolsz, feljebb reagáltam.

Definiáld a szakmai beszélgetést. Apple témában Apple funkciókról szóló beszélgetés nem szakmai? Akkor az már feljogosít téged az politikai flamebait-re?

Félre ne értsd engem nem zavar. Csak akkor legközelebb nekem se jöjjön ilyen. Köszi.

trey @ gépház

Nem tudok hirtelen olyan szabályt alkotni, amibe ne tudna valaki belekötni, úgyhogy inkább két példával érzékeltetem. 

Szakmai: specifikáció, use case-ek megvitatása, stb

Nem szakmai: mi van a press release alján a footerben, Apple rosszcég, milyen domain néven jelennek meg a Google press release-ek, stb. 

Akkor az már feljogosít téged az politikai flamebait-re?

Jesszus, dehogy. Az jogosít fel, hogy van reply gomb a kommenteken, na meg persze az, hogy itt ez a szokás újabban. Úgymond tükröt tartok. 

Nem szakmai: mi van a press release alján a footerben, Apple rosszcég, milyen domain néven jelennek meg a Google press release-ek, stb. 

Ugye azt látod, hogy én szakmaiként kezdtem? Az szakmai ugye, hogy firtatom egy beharangozott biztonsági funkció tartalmát, ideidézve a cég által megadott paramétereket? Ott ment félre az egész, amikor a beszélgetőfél abba az irányba terelte a beszélgetést, hogy szerinte nem nagy csinnadrattával jelentette be az Apple.

Jesszus, dehogy. Az jogosít fel, hogy van reply gomb a kommenteken. Úgymond tükröt tartok. 

Ezzel semmi baj nincs. Csak visszás, amikor egyesek itt azért rapliznak, hogy miért van itt ilyen. Ragequiteseknek jeleztem, hogy hát ez bizony megesik. Még geleitől is.

trey @ gépház

"Ugye azt látod, hogy én szakmaiként kezdtem? Az szakmai ugye, hogy firtatom egy beharangozott biztonsági funkció tartalmát, ideidézve a cég által megadott paramétereket?"

Amíg ezt firtattad, addig én is arra válaszoltam. 

"Ott ment félre az egész, .."
.. amikor további érvek hiányban félrevitted abba az irányba, hogy egy béta feature-ről minek jelenik meg sajtóhír és miért csinálnak neki "csinnadrattát". 

"hogy szerinte nem nagy csinnadrattával jelentette be az Apple."
Én azért mást is írtam ugyanott, amire nem reagáltál, csak a béta hír létjogosultsága volt a lényeg. Én csak sodródtam :D De legalább tudjuk, hogy nem szereted a bétákról szóló hírek körüli csinnadrattát (gyártó függően) :D

 

Á baszki, most folytassuk? :D 
Miért nincs köze? Funkciószegény? Biztos meg tudod indokolni, hogy mihez képest? Android esetleg? (Most röhöghetsz :D) A meglévő funkciókhoz képest? Több ponton szigorít, amivel csökkenti a támadási felületet. Miért rossz ez szerinted?

Btw ezt írtam, de máskor majd beboldozom neked, hogy ne valami lényegtelen mellékmondaton kezdj le rugózni:

"Mondjuk ezzel még mindig előrébb lesznek “biztonságilag” az Apple userek az 5-6 éves eszközeikkel is, mint bármelyik kurrens apk vadász kínai flagshipkiller tulaj, miközben várja a sosem érkező $nextVersion androidot (amiben persze a kugli is igyekszik majd valami hasonlót implementálni, de persze úgy, hogy az e-mailben kapott aszfalt18-game.apk-t továbbra is lehet majd telepíteni :))"

Felesleges, mert már mindent leírtam ezzel kapcsolatban, amit érdemes volt. Főleg, hogy nem átlag felhasználóknak szánják, hanem egy marék szegény "üldözöttnek", akit kergetnek a nagyon gonosz állami gépezetek. Azok ellen ezek a védelmek annyit érnek, mint vámpír ellen a fokhagymafüzér. Éppen ezért tartom ezt marketing bullshitnek.

Majd szólj, ha te ezt mindennapjaidban használod.

trey @ gépház

"nem átlag felhasználóknak szánják"
Ez igaz.

"Azok ellen ezek a védelmek annyit érnek, mint vámpír ellen a fokhagymafüzér."
Ezt viszont továbbra sem értem, hogy hogy mondhatsz ilyet IT-sként. De ezt is kérdeztem már feljebb, de kikerülted. Minél több kapu/felület van zárva vagy megnehezítve, annál biztonságosabb/nehezebben támadható az eszköz/rendszer. Ez egy alapvetés. Ez olyan mintha azt mondanád, hogy a tűzfal -amivel feljebb viccelődtél- nem érne semmit, mert ha célpont vagy, akkor már úgyis mindegy. Így is lehet nézni, nincs törhetetlen eszköz/rendszer, ha akarnak elkapnak. De azért az nyilvánvaló, hogy nehezíteni azért lehet a támadó dolgát. Egy mobil esetén még ilyen alapvetőnek tűnő dolgokkal is. 

"Majd szólj, ha te ezt mindennapjaidban használod."
Elég sanszos ,hogy sosem fogom, de ezt egy szóval ne mis mondtam. Ettől még a törekvés lehet jó, hogy legyenek ilyen funkciók. 

Ezt viszont továbbra sem értem, hogy hogy mondhatsz ilyet IT-sként.

Úgy, hogy megnéztem a featúra-listát és röhögtem. De ezt már írtam, hogy írjam másképpen? Azt is megírtam, hogy a featúra-lista egyik elemének semmi köze a nagy hangon hirdetett kiberbiztonsághoz (ez tudod mit jelent? honnan jön a támadás?), hanem egy egyszerű fizikai (helyi, mi köze a kiberhez?) hozzáférési hardening. Ha pedig az, minek keverik bele? 

Tudod mit gondolok erről a bejelentésről? Hogy miután a "világ legbiztonságosabb" (tanúsította: maga az Apple) telefonját szanaszét törték Pegazus-szal és azok a whistleblower-ek és hasonlók, akik hittek benne, hogy "ami az iPhone-on történik, ott is marad" beszopódtak, az Apple-nek elő kellett állnia egy ilyen projekttel. Ez nem más, mint a előbb említett károk mérséklése, damage control.

Nagyszerű meg miden, de szerintem ebben a formában egy lófasz. Most komolyan ... levelek csatolmányának letiltása a képek kivételével? Ez a funkció? A képek miért? Képekkel nem szopattak még be senkit?

Ettől még a törekvés lehet jó,

Nyilván. Csak keményebben kéne próbálni. 

(Elnézést, ez már szakmai beszélgetés, vagy menjünk mélyebbre?)

trey @ gépház

"a featúra-lista egyik elemének semmi köze a nagy hangon hirdetett kiberbiztonsághoz (ez tudod mit jelent? honnan jön a támadás?), hanem egy egyszerű fizikai (helyi, mi köze a kiberhez?) hozzáférési hardening. Ha pedig az, minek keverik bele? "

Lockdown mode a funkciócsomag neve, aminek ez is része. Igen, láttam én is a szövegben a cyberattack szót, de ne köss már bele mindenbe. Tegyék külön csomagba?

"Turning on Lockdown Mode in iOS 16, iPadOS 16, and macOS Ventura further hardens device defenses and strictly limits certain functionalities, sharply reducing the attack surface that potentially could be exploited by highly targeted mercenary spyware."

"az Apple-nek elő kellett állnia egy ilyen projekttel."

Biztos ez is benne van, bár ha megfigyeled folyamatosan központi téma náluk a biztonság meg a privacy. Igen, a pegasus megszopatta őket, valószínűleg ezért is kapálóznak most, én ezt nem látom problémának. Kíváncsian várom a funkció android másolatát, bár még csak az alapvető privacy funkcióknál tartanak .

"Nagyszerű meg miden, de szerintem ebben a formában egy lófasz. Most komolyan ... levelek csatolmányának letiltása a képek kivételével? Ez a funkció? "

Én értelek, tök alap dolog, de ne saját fejjel gondolkozz. Az átlag user megnyitja a csatolmányokat. Egyébként úgy tippelem, hogy ez rendszer szinten fog működni (a szövegben sem email csatolmányokról van szó), úgy meg már kapásból érdekesebb lenne a dolog, ha egy kapcsolóval minden üzenetküldő csatolmányai le lennének tiltva.

"A képek miért? Képekkel nem szopattak még be senkit?"

Jó helyen kapirgálsz, mert a pegasus egyik telepítési módja pont az volt, hogy iMessage-ben küldtek egy preparált képet, ami kihasznált egy xpdf sebezhetőséget. Gondolom azért emögött van más fejlesztés is, nem fognak mégegyszer ebbe a lukba lépni, a technika részleteket nem ismerjük. 

 

Tehát, ha jól értem, a végén megadod, amit írtam, csak kellett hozzá néhány kör bohóckodás. Már hogy ne saját szememmel nézném? Ha nem szakmai szemmel kommentelek az a baj, ha meg megnézem szakmai szemmel, akkor ne úgy nézzem? Akkor, hogy nézzem?

trey @ gépház

Az szakmai ugye, hogy firtatom egy beharangozott biztonsági funkció tartalmát, ideidézve a cég által megadott paramétereket?

Ja, az legit. Mondjuk ez úgyis csak akkor lesz érdekes, amikor mondjuk egy pwn2own-on nekiesnek az igazi szakértők, addig csak ígéret van az egyik oldalon, és egészséges szkepticizmus a másikon 

Még geleitől is.

Na, hát igen, asszem ki is fejtettem az aktuális ragequit threadben a véleményem erről. 

tl;dr engem nem zavar az adok-kapok, ha úgyis deklaráltan ez az új irány a hupon 

Amikor a felhasználók engedélyezik a megjelenítését

Az hol volt, hogy az átlagember nem tudná kikapcsolni? Ráadásul nekem ez alapján feliratkozósnak néz ki a dolog, nem kikapcsolósnak/leiratkozósnak. (Mondjuk a telepítéssel sem értek egyet, még mielőtt...)

A zárolt mobilok felületének kihasználásában rejlő lehetőségek az Apple-t is foglalkoztatják, a cupertinói cég múlt hónapban közölte, hogy megújítja az iOS zárképernyőjét

Értsük úgy, hogy megint az Apple fog majmolni valakit fogja a zárképernyőt (is) normálisan "megimplementálni"? :)

( Nyizsa v | 2022. 07. 07., cs – 15:09 )

Szerkesztve: 2022. 07. 07., cs – 15:10

Szerintem ennek céges telefonok esetén van értelme, mármint ha nem lehet csak úgy kikapcsolni. Ekkor viszont a felhasználótól védik a készüléket/adatokat, nem a kibertámadástól, amit a felhasználó "úgy érez".

Debian - The "What?!" starts not!
http://nyizsa.blogspot.com

Ezt olyanoknak javasolják, akiket a saját személyük miatt, célzottan támadnak. Nem átlagfelhasználóknak.

Apple is previewing a groundbreaking security capability that offers specialized additional protection to users who may be at risk of highly targeted cyberattacks from private companies developing state-sponsored mercenary spyware. [...] Lockdown Mode — the first major capability of its kind, coming this fall with iOS 16, iPadOS 16, and macOS Ventura — is an extreme, optional protection for the very small number of users who face grave, targeted threats to their digital security.

Pl.: Panyi Szabolcs, nevét se tudja senki polgármester, akit a Patás lehallgattatott állítólag stb.

trey @ gépház

( bolond | 2022. 07. 09., szo – 21:39 )

Gondolom, ezekben a modellekben a burkolat megnyitásával együtt tíz másodperc alatt kivehető és tíz másodperc alatt visszatehető akku lesz.

:)