PplWare Mobile

Encriptação ponta-a-ponta no iCloud traz um novo paradigma de segurança

                                    
                                

Este artigo tem mais de um ano


Autor: Vítor M.


  1. Nuno Duarte says:

    Isso é mentira. O FBI vai continuar poder acessar os dados pois a Apple tem as chaves.

    • Elektro says:

      Achas que a Apple ia arriscar a sua reputação mentindo sobre este mecanismo, sendo que iria colocar toda a sua Segurança em causa e possivelmente uma moça nas vendas.

    • Vítor M. says:

      Claro que não tem, isso até nem é possível, cada iPhone cria a sua chave e cada pessoa ao fazer a encriptação adiciona uma camada de proteção “quase impossível” de ser quebrada. Claro, digo quase porque neste mundo os impossíveis não existem.

      • Robot says:

        Como é que estás tão certo disso?
        Por acaso o código é aberto?
        Os servidores são controlados pelos utilizadores?
        No processo de encriptação, tendo em conta que não tens o código fonte, como sabes que não há uma terceira parte (a própria Apple) em todo o processo de encriptação e desencriptação?
        O telemóvel, através do enclave, pode gerar seja o que for, mas como sabes se o enclave não responde a comandos vindos da casa mãe?
        Estás a ver aqui várias perguntas, cada uma com um âmbito bem complicado de se ter qualquer certeza, portanto, estás numa de acreditar, um acto de fé portanto.
        Só seria como dizes, se às perguntas acima, fosse possível responder com uma certeza que não existe.
        Eu e tu podemos perfeitamente, com os nossos recursos, ter um sistema que garantidamente é mais seguro que esse.
        E é garantidamente porque conseguimos responder a todas as perguntas aí de cima, com software open source, com hardware nosso e com um telemóvel em que se consiga flashar e meter um sistema operativo controlado por nós.
        Daria trabalho? Sim, mas com poucas centenas de euros, era possível.

        • Vítor M. says:

          A história, o investimento e os sistemas criados falam por si. Ou achas que a Apple passa entre os pingos da chuva? Depois, ao nível da encriptação, o enclave do iPhone não é partilhado com a Apple, todo o processo é gerado internamento e guardado no próprio iPhone. Mas isso foi já muitas vezes escrutinado, até pelo FBI (que pagou um balúrdio à empresa israelita). Portanto, este método segue o mesmo padrão. Claro que podes por sempre em causa, mas as autoridades também o fazem e a Apple responde perante elas. E doí-lhes, que sempre que falham, é aos milhões.

          Agora, até para se defender do Pegasus a Apple criou diversas ferramentas internas, apesar de estar ativamente a trabalhar para o Pegasus não conseguir extrair informações. Por isso também esta “jogada” arriscada da Apple. Depois de encriptar o iCloud… não há mais volta a dar. Pelo menos para 99.99% dos mortais. Nunca se pode dizer que é impossível, isso na informática não existe.

          • Robot says:

            Pronto, os argumentos de sempre que se resumem a “thrust us bro” misturado com “we have a name” e com “we Invest a lot”.
            Tudo isso são memes em questão de segurança, não são argumentos tangíveis.
            A Apple, como qualquer outra empresa, desde Microsoft, Google, Amazon, qualquer empresa com serviços de VPNs etc, todas têm esse argumento como motivo de segurança, mas isso vale zero.
            Ninguém, mas mesmo ninguém que queira montar qualquer sistema realmente capaz de resistir em termos de segurança, usa software que em termos de verificação de segurança, se baseia no que aparece numa noticia de que a empresa A investe muito em segurança, ou que foi auditada pela empresa B.
            Isso é só factor comercial, em termos de segurança, como disciplina, vale zero.
            A única coisa que vale é código aberto, que se possa vistoriar por todos, inclusive Pelas más personagens desta vida, e na posse do código, compilar o mesmo.
            Servidores, por muita oferta que haja, se não for controlado por ti, não é confiável.
            Esquece lá o que dizem as empresas com todas as certificações, se não é controlado por ti, a confiança no que lá corre é sempre já medida do acreditar que a empresa que te vende o serviço não te vigia, e posso te dizer com 100% certeza de que não vais encontrar servidor nenhum no mundo, controlado por uma empresa e que te venda um serviço, que esse servidor não tenha logs, nem nos países mais permissivos á pirataria, nem na Rússia por exemplo.
            Mesmo que metas lá o teu material no rack, se a manutenção é feita pela empresa, como tantas o fazem, inclusive a PT/MEO, garantidamente não controlas o servidor.
            Acho que com isto só não entende.quem não quer que não existe segurança dos dados em nenhuma empresa destas, é tudo uma questão de prioridades.

          • Vítor M. says:

            Mas então confias em quem? Nem na tua sombra. isso assim é um discurso fácil. Justificas tudo com “são todos iguais”. E ponto. Isso não está certo meu caro 😉 Isso sim são memes na segurança.

            A Apple, a Microsoft, Google, Amazon, IBM e muitos outros têm compromissos empresariais. Não é “fazemos como der e depois logo se vê” 😉 não é assim. E vale muito o que fazem, sobre os seus suportes roda o mundo, não tens como contornar essa realidade.

            No teu ponto de vista então tens de ter o teu servidor em casa, a tua rede de comunicação, os teus equipamentos… tu tens uma ideia utópica da realidade 😉 esquece isso.

          • Robot says:

            E vocês até tiveram aqui umas notícias sobre a rede EncroChat.
            Portanto, em relação ao telefone, era altamente alterado com software próprio, cheio de restrições.
            Em relação aos servidores, estavam alojados em racks de empresas na Europa, França, Bélgica, etc, e foi essa a porta de entrada da polícia, servidores não controlados fisicamente pela rede EncroChat.
            E a rede EncroChat dava 10 a 0 em termos de segurança a tudo o resto, mas mesmo assim não era o suficiente.

          • Vítor M. says:

            O EncroChat tinha um “calcanhar de Aquiles”, os dispositivos Android. Segundo consta, as comunicações foram detetadas colocando nos dispositivos malware e era já depois das mensagens estarem desencriptadas que eram acedidas. Mas a Apple sabe que também poderá ser alvo, por isso no iOS 16 colocou várias ferramentas. Por exemplo, a Apple disponibiliza uma opção, o Modo de bloqueio: http://bit.ly/3jW5ejh

            “O Modo de bloqueio é uma proteção máxima opcional, concebida para os poucos indivíduos que, devido a quem são ou ao que fazem, podem ser pessoalmente alvos de algumas das ameaças digitais mais sofisticadas. A maioria das pessoas nunca é alvo de ataques desta natureza.

            Quando o Modo de bloqueio está ativo, o dispositivo não funciona como normalmente. Para reduzir a superfície de ataque que pode ser potencialmente explorada por spyware especializado altamente direcionado, determinadas apps, sites e funcionalidades são estritamente limitadas por motivos de segurança e algumas experiências podem não estar disponíveis.”

            Além disso, o utilizador pode também recorrer à Reposição de emergência: http://bit.ly/3jTrtGP

            “Pode usar a verificação de segurança no iPhone para deixar de partilhar rapidamente o acesso ao seu dispositivo e informações pessoais com outras pessoas. A funcionalidade Verificação de segurança ajuda a alterar rapidamente o seu código e a palavra-passe do ID Apple, a parar a partilha de localização com a aplicação Encontrar, a limitar a aplicação Mensagens e FaceTime no dispositivo que tem na mão, etc.”

            Esta última é para pessoas que estejam a ser seguidas por alguém com acesso ao seu iPhone, através do Apple ID.

            Não é fácil, mas se as pessoas desconfiarem que estão a ser alvo de perseguição, podem usar esta ferramenta para de uma cartada repor tudo de novo e remover os dados de acesso antigos, por forma a parar essa perseguição.

            Isto porque, no meio do caminho, não fazem nada com os dados encriptados. Com os dados dentro do iPhone, sem os acessos, nada conseguem para lá entrar (atenção, nada para 99.99% dos utilizador, porque o Pegasus conseguiu, atualmente não consegue, mas… nada é impossível.) Com o iCloud encrostado, agora nem na cloud conseguirão entrar. Por isso é que a Apple queria avançar com isto.

            A rede EncroChat corria sobre Android, smartphones convencionais e foi fácil lá meter malware. Logo… 10 a zero… noves fora nada… zero. E assim foi.

          • Robot says:

            E já agora, tens aqui uma notícia sobre a proposta no UK em relação á posso de telefones encriptados:
            https://www.vice.com/en/article/z34p49/uk-proposes-making-sale-possession-of-encrypted-phones-illegal-encrochat-sky

          • Vítor M. says:

            Normal, o conteúdo fica inacessível. E fica praticamente impossível o acesso sem a chave de desencriptação. Mas…

      • Nuno says:

        Se o iPhone avariar ou perder não se pode recuperar a informação nunca mais! Muito cuidado!

        • Vítor M. says:

          Como assim? Se reparares podes criar contactos de segurança, podes usar uma chave de segurança, para que nunca fiques sem acesso ao conteúdo do iCloud. O que não faltam são medidas de redundância para teres os dados encriptados, mas com o teu controlo sobre a encriptação.

          • Nuno says:

            Como disseste que todo o processo era tratado no iPhone e não partilhado com a Apple assumi que sem o iPhone não se recuperavam os dados…
            Para mim não faz sentido chamar encriptação ponta-a-ponta quando há outras pessoas a ter acesso aos dados…

          • Vítor M. says:

            Tem acesso? Não, tu é que escolhes quem pode ter acesso (e mesmo assim têm sempre de executar uma tarefa que tu podes intervir). Mas tens outros métodos, como, por exemplo, usar uma chave de segurança através da utilização de dispositivos FIDO vê aqui: https://bit.ly/3YCsPVy

            Mas há outras formas, tens é de ajustar ao que precisas. Agora, não precisas, de todo, ter um contacto, se achas que não é seguro.

    • Oh says:

      Nuno Duarte,

      Sabes o que significa Encriptação de ponta-a-ponta?! O que estás a dizer é simplesmente errado.

      • Nuno says:

        Tecnicamente isto nem se pode chamar encriptação ponta-a-ponta já que só há uma ponta que é o próprio utilizador…
        Era ponta-a-ponta se só o emissor e o recetor tivessem acesso à informação mas aqui, supostamente, só o emissor tem acesso à informação quando a volta a receber. Pelo menos é essa a premissa que se indica…
        De resto, mesmo com encriptação ponta-a-ponta o FBI pode aceder ao que quiser se uma das pontas fornecer a chave. Aqui o que se assume é que a Apple não tem essa chave. Só o utilizador a terá.

  2. A. says:

    https://support.apple.com/pt-pt/HT202303

    Mas há metadados ativos, o que têm sido um “trade off” muito apreciado pelo FBI e outras entidades semelhantes.
    Não esquecer que dizem que determinadas categorias, não estão disponíveis para “ponta-a-ponta” + metadados e talvez esteja explicada a permissão “FBI” até para poderem alimentar estas entidades e não terem problemas com a Lei Americana e Europeia…

  3. Pipoca says:

    Se ativar esse recurso o meu antigo Watch s3 vira um peso de papel. Hoje ainda consigo usá-lo.

  4. Fo says:

    Então e depois como é que o FBI apanha os criminosos??

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.