iOS tietoturva yhä hyvällä tasolla

[securapple]

Hei!

Tuoreessa Mdevcon -tilaisuudessa Mike Arpaia piti lyhyen esityksen mobillipuolen tietoturvasta.
iOS:n kontrollit todettiin esityksessä hyvätasoiseksi verrattuna Androidiin.

Erityisesti koodin digitaalinen allekirjoitus toimii kontrollina tehokkaasti. Jailbreikkausta kehotettiin välttämään.

Lähde : https://speakerdeck.com/marpaia/ios-and ... itigations

-Securapple

[zuki]

Onko tämä vitsi? Viimeisimmät paljastukset Yhdysvaltain vakoilusta koskien lähes kaikkia alustoja kertovat kyllä ihan muuta. Turvallisuus ja yksityisyys voidaan unohtaa kokonaan käytettäessä esim. Applen laitteita.

[atheos]

Onko tämä vitsi? Viimeisimmät paljastukset Yhdysvaltain vakoilusta koskien lähes kaikkia alustoja kertovat kyllä ihan muuta. Turvallisuus ja yksityisyys voidaan unohtaa kokonaan käytettäessä esim. Applen laitteita.

Niin voi unohtaa Android- ja Windows Phone -puhelimissakin, siellä ne olivat Microsoft ja Google ihan samalla NSA:n listalla. Ja varmaan kaikissa muissakin luureissa, ainakin niissä joita myydään Yhdysvalloissa tai joissa on Android/WP-käyttis. Foliohattuja voi viritellä vapaasti mutta itse uskon, että niin kauan kuin en suunnittele terroritekoja Yhdysvaltoja vastaan tai puuhaile muuta isosti rikollista, ei niillä tiedoilla kukaan tee mitään.

[zuki]

Onko tämä vitsi? Viimeisimmät paljastukset Yhdysvaltain vakoilusta koskien lähes kaikkia alustoja kertovat kyllä ihan muuta. Turvallisuus ja yksityisyys voidaan unohtaa kokonaan käytettäessä esim. Applen laitteita.

Niin voi unohtaa Android- ja Windows Phone -puhelimissakin, siellä ne olivat Microsoft ja Google ihan samalla NSA:n listalla. Ja varmaan kaikissa muissakin luureissa, ainakin niissä joita myydään Yhdysvalloissa tai joissa on Android/WP-käyttis. Foliohattuja voi viritellä vapaasti mutta itse uskon, että niin kauan kuin en suunnittele terroritekoja Yhdysvaltoja vastaan tai puuhaile muuta isosti rikollista, ei niillä tiedoilla kukaan tee mitään.

Voit viritellä ihan mitä hattuja haluat ja uskoa mihin itse haluat. Fakta vain on se, että isoja poikia kiinnostaa jo todistetusti kaikki muukin data, kuin terrorismiin liittyvä. Patriot act oli viimeinen sinetti tälle. Kyllähän se varmaan helpottaa omaa mielenrauhaa, jos tuudittautuu valheelliseen turvallisuuden tunteeseen.
On helppo leimata muita foliohatuiksi, jos ei itse ole kartalla siitä mitä tapahtuu.

[tómppu]

Ja sitä paitsi jos tietonsa haluaa turvassa pitää niin ainoa keino varmistua tästä on salata tiedot ennen kuin ne siirtää nettiin.

Todella mätä juttu joka tapauksessa piti sitten paikkansa kuinka laajalti tahansa, selväähän se kuitenkin on että jenkkien ja muidenkin maiden tiedustelupalvelut keräävät varmasti verkossa suojaamattomana liikkuvaa dataa omiin tarkoituksiinsa. Viimeisin vuoto puhuu sen puolesta että nämä tahot "salakuuntelisivat" suoraan kaapeleissa kulkevaa dataa eri palveluntarjoajien palvelinten ohella. Yhtään en tätäkään oikeastaan ihmettelisi.

Onhan se näille suljettua ja kontrolloitavaa maailmaa haluaville tahoille todella paha paikka että ihmiset voivat vapaasti kommunikoida keskenään ja välittää tietoa. Mm. Wikileaks osoitti jo miten haavoittuvia salaisuudet ovat nykypäivän verkottuneessa maailmassa.
Se mitä nämä tahot eivät vielä taida ymmärtää on se, että mitä räikeimmin ne ihmisten yksityisyyttä rikkovat sitä suurempi paine on tulevaisuudessa salata aivan kaikki verkkoliikenne.

Ai niin, linkki (The Verge)

[mika_t]

Voit viritellä ihan mitä hattuja haluat ja uskoa mihin itse haluat. Fakta vain on se, että isoja poikia kiinnostaa jo todistetusti kaikki muukin data, kuin terrorismiin liittyvä. Patriot act oli viimeinen sinetti tälle. Kyllähän se varmaan helpottaa omaa mielenrauhaa, jos tuudittautuu valheelliseen turvallisuuden tunteeseen.
On helppo leimata muita foliohatuiksi, jos ei itse ole kartalla siitä mitä tapahtuu.

On helppo nauraa ihmisille jos alkavat vasta nyt päästä Zukin tavoin kartalle tämän asian suhteen ja vouhkaavat nyt yhdestä Prismistä. Eihän tämä mikään uusi asia ole, eikä tätä pidä sekoittaa edes otsikon aiheeseen joka on iOS -alustan turvallisuus sinällään, joka siis on hyvällä tasolla. Itse en esim. sallisi yrityskäyttöön Android -puhelimia laisinkaan jos niillä olisi tarkoitus käsitellä firman sähköpostia ja muita dokumentteja, ei sen takia, että jotkin valtiolliset instanssit niitä katselisivat, vaan lähinnä sen takia, että niissä mahdollisuus datavuotoihin on niin järkyttävän paljon suurempi haittaohjelmien takia kuin iOS:ssa. Toki sallisin myös WP-käyttiksen iOS:n ohella.

Jos yrityksellä on sitten (tai yksityiskäyttäjällä joka harrastaa terrorismia, pedofiliaa yms. asioita) erittäin salaisia, esim. kärkiteknologiaan liittyviä projekteja oikeastaan ihan millä tahansa alueella, niin en sallisi minkään puhelinalustan käyttöä niiden käsittelyyn, en vaikka kryptaus olisikin kunnossa. Tämän tyyppiset asiat pitää hoitaa sitten vähän eri tavalla ja rajoittaa myös tietokoneiden, tietoverkkojen, massamuistien yms. käyttöä estääkseen teollisuusvakoilun (jota siis voi suorittaa ihan jonkun vieraan valtion instanssikin, esim. Kiinan ja venakkojen tapauksessa hyvinkin yleistä).

[securapple]

Hei!

Uusimmat analyysit (Gartner) puoltaa ensimmäisessä postauksessa olevia väitteitä. Joten ei mitään uutta länsirintamalta.

Mitä tuohon Prismiin tulee, sen edeltäjä Echelon oli myöskin tunnettu fakta jonka olemassaoloa ei kuitenkaan suoraan saatu selville. Oma strategiani on näiden henk.koht. asioiden osalta käyttää suomalaista spostia henk.koht. asiointiin. Muut "ei niin yksityiset" spostitilit ym. voi hajauttaa eri toimijoille jottei liikaa valu yhdelle (erityisesti Google).

Suurempi ongelma tästä PRISM-paljastuksesta tulee yrityksille, "Safe Harbor" on pelkkää silmänlumetta.
Periaatteessa eurooppalaisten yritysten tulisi lopettaa amerikkalaisten yritysten palveluiden käyttö henkilötietoja käsittelevien tietojärjestelmien osalta.

-Securapple

[apsev]

Kuten kahdessa edellisessä viestissä sanotaan, niin on tärkeää erottaa yksityishenkilö ja firma (tai muu vastaava organisaatio) näissä tietoturva-asioissa.
Paradoksihan on kaikenaikaa olemassa kun vaaditaan ehdotonta tai ainakin parasta saatavilla olevaa tietoturvaa laitteilta &sovelluksilta, mutta samalla itse ollaan valmiita paljastamaan omia tietoja (esim. facebookissa) ja hyväksymään näiden isojen firmojen (esim. facebook, google, ms ja myös apple) erittäin arveluttavat ehdot laitteiden & sovellusten käytölle.
Toisaalta EU on jo menettänyt yksityisyys-pelin jenkeille, ref. pankkitapahtumien jatkuva ja kattava raportointi EU:sta jenkkeihin.

[salmiakki]

Sanoisin, että suurin osa käyttäjistä ei osaa suojata sähköpostejaan tai muutenkaan viritellä koneita kuten "pitäisi", ja varsinkin Applen laitteitahan käytetään juuri siksi ettei koko ajan tarvitsisi huolehtia kaikesta. Yksityisyyden suojaaminen on nykyään täysin mahdotonta, jos vähänkään käyttää nettiä - ja sitä on PAKKO käyttää jos nyt ylipäätään mitään asioita aikoo hoitaa. Tosin hieman harmittaa että samalla kun saa nauttia iOSin hyvästä tietoturvasta ja käytettävyydestä, joutuu luovuttamaan koko elämänsä ulkopuolisille tahoille ilman, että sitä voi milään lailla kontrolloida. Mutta eipä koko kohupaljastus tullut ainakaan itselle yllätyksenä, jotenkin olen pitänyt selviönä että laitteet lähettävät kaikkea dataa mistä en ole tietoinen.

Prismille sun muille ei taida olla omaa ketjua, joten sanotaan täällä kun tämä kuitenkin tavallaan liittyy myös iOSin tietoturvaan.

En tiedä, miten turvallista on käyttää esimerkiksi yrityspuhelimena laitetta, joka lähettää kaikki tiedot jonnekin. Ainakaan kun kyse on isoista rahoista, ketään Jenkeissä tuskin kiinnostaa Penan nakkikioskin uusi yritysilme.Toki tietoturva voi olla muuten kunnossa, mutta voiko olla täysin varma etteivät myös viralliset tahot vakoile yrityissalaisuuksia?

No, itsellä on ollut ainoana sähköpostina Gmail, ja kaipa se pitäisi vaihtaa... jos haluaisi ettei kukaan urki. Tosin ketäpä kiinnostaa meikäläisen yksityisasiat jotka hukkuvat iloisesti kohinaan, varsinkin kun en suunnittele mitään epäilyttävää. Kannattaako sitä lähettää kissakuvaa salattuna etteivät USA:n viranomaiset näkisi sitä? Toki pitää olla varovainen jos aikoo matkustaa USA:han, vääränlainen vitsi voi estää pääsyn maahan, jos huonosti käy... ja joillekuille on käynytkin. Vaikka vaihtaisin kaikki palvelut ja hakukoneet, puhelin ja tietokone vakoilisivat silti.

Kohdennettu mainonta on asia erikseen, mutta entä jos yhteiskunta lähtisi kehittymään oikeasti pahaan suuntaan? Niin on käynyt aiemminkin, fundamentalismi ja taikausko ovat aina läsnä elleivät jopa taas nousussa, myös ns sivistysmaissa. (Onhan USA:ssakin tosin vielä vapaa sana, vaikka taikausko kukoistaakin.) Tuntuu onneksi epätodennäköiseltä että esimerkiksi pohjoismaissa taannuttaisiin älyllisesti jonnekin keskiajalle, mutta siinä vaiheessa taitaisivat paperilappuset olla taas suuremmassa huudossa kuin digitaalinen viestintä.

[Thoth]

Jos tahtoo samaan aikaan edes jonkinlaista kunnollista salaista ja samaan aikaan käyttää pilvipalveluita, niin tiedot pitää salata ensin laitteella ja vasta sitten laittaa pilveen. Esimerkiksi BoxCryptor ja 1Pasdword toimivat tällä tavalla. Eli esimerkiksi BoxCryptorilla voi tehdä encfs-yhteensopivan volumen vaikka Dropboxiin ja laittaa tiedostot sen sisälle. Niitä voi sitten katsoa vaikka iPhonessa BoxCryptor-appin kautta.