Κενό ασφαλείας του iOS 10 κάνει ευκολότερο το σπάσιμο αποθηκευμένων αρχείων backup

[ludist]

@turboirc, τόσο κείμενο για να συμφωνήσεις μαζί μου!; Βέβαια με τα παρανοϊκά περί ασφάλειας που διαβάζω, το μόνο «ασφαλές» είναι το Open Source και να έχεις μία ομάδα προγραμματιστών μαζί σου. Σε σοβαρούς στρατιωτικούς οργανισμούς: Μόνο Open Source. Γιατί να εμπιστευτώ οποιονδήποτε; Όσο καλός προγραμματιστής και αν είναι κάποιος αυτό δεν αποκλείει κακοπροαίρετα προγράμματα.

@psychedelic-13 Ακόμη περιμένω απάντηση αν προτιμάς abandonware ή ενημερωμένο λογισμικό για ασφάλεια. Και δεν προτείνεις τίποτα. π.χ. Ποιό λειτουργικό να χρησιμοποιεί κάποιος για e-banking; Πού το πρόβλημα με το iOS; Αφού είναι τρύπιο γιατί δεν μπορώ να περάσω jailbreak στο iPad-2; Με την λογική σου δεν θα χρησιμοποιούμε και e-banking γιατί κανένα λειτουργικό δεν είναι απόλυτα «ασφαλές»;

Άλλο το privacy και το security. Άλλο τα δεδομένα του χρήστη και άλλο η ασφάλεια του ΛΕΙΤΟΥΡΓΙΚΟΥ. Μπορείς να μοιράζεις τα προσωπικά σου αρχεία (privacy) σου σε σελίδα κοινωνικής δικτύωσης από ασφαλές (security) λειτουργικό. Προφανώς ένα τρύπιο λειτουργικό μπορεί να επιφέρει και πρόβλημα στο privacy, αλλά δεν είναι το ίδιο.

Off Topic

Enjoy off-topic Κινέζικα

Spoiler:

Αντίγραφο από Evangelos Tripolitakis (facebook)

Ημερολόγιο Καταστρώματος 1/10/2016 aka postmortem of the day

Πριν 1 μήνα αγόρασα του μικρού από το Amazon (μέσω συνεργαζόμενου καταστήματος) ένα κινέζικο tablet (Yuntab 7"). Το tablet ήταν σε προσφορά από 90 GBP στα 40 και μου φάνηκε πολύ καλή προσφορά. Όντως, αν και είχε μέτρια ποιότητα κατασκευής, τόσο η οθόνη (IPS 1280x800) όσο και η γενική του απόκριση ήταν αξιοπρεπή, ενώ μυστηριωδώς διέθετε 2 SIM card slots (!) και πλήρη λειτουργία τηλεφώνου.

Αυτό που μου έκανε μεγάλη εντύπωση ήταν ότι το Wi-Fi ήταν ασταθές και ακόμα χειρότερα ο stock browser που είχε, για να ανοίξει μια σελίδα με πέρναγε από καμιά 20αριά άλλες πρώτα. ΟΚ λέω bloatware, τον απεγκαθιστώ και βάζω τον Chrome. Όλα καλά, όμως το θέμα με το Wi-Fi επέμενε. Επιπρόσθετα, σε άσχετες φάσεις ήταν αισθητά πιο αργό πράγμα που με έβαλε σε υποψίες. Στο προηγούμενο διάστημα δεν πολυασχολούμουν με την εν λόγω συσκευή η οποία έπεσε πάλι στα χέρια μου χθες, όπου πέραν των καθυστερήσεων (τις οποίες τις απέδωσα αρχικά σε χαμηλής ποιότητας και επιδόσεων storage και chipset) άρχισα να βλέπω και popups. Λέω λοιπόν να τρέξω κάποιο virus scan.

*HARD FACTS Ακατάλληλα για ανηλίκους*

- Πρώτο fact, δεν υπάρχει πλήρες antivirus app στο Android. Δοκίμασα 7-8 γνωστά και άλλα δεν βρήκαν τίποτε, ενώ κάποια βρήκαν μερικά trojans και malware. Αρχικά υποπτεύθηκα ότι ο μικρός κατέβασε κάποιο app.

- Δεύτερο fact, είμαι πολύ αγαθός, ή πιο σωστά ξέχασα να είμαι καχύποπτος. Τα trojans/malware δεν μπορούσαν να αφαιρεθούν. Μάλιστα κάποια από αυτά ήταν system services. Εκεί άρχισα να προβληματίζομαι και να το ψάχνω παραπάνω.

- Τρίτο fact, υπάρχουν κατασκευαστές ή ενδιάμεσοι (δεν το ξέρω τί ισχύει από τα δύο) που κάνουν bundle malware στις συσκευές. Η συγκεκριμένη μάρκα (YunTab) ήταν ανάμεσα σε αυτούς. Refs: http://www.ibtimes.co.uk/amazon-sell...-brands-che… , http://news.softpedia.com/…/thousand...ndroid-tabl…, http://www.itproportal.com/…/budget-...ets-infect…/ κτλ

- Τέταρτο fact, τα trojan/malware αυτά δεν αφαιρούνται αν δεν έχεις γνώσεις. Ενδεικτικά: 1) Έκανα root την συσκευή (δοκίμασα αρκετά, τελικά έγινε με το Kingo (https://www.kingoapp.com/)), 2) Κατέβασα και εγκατέστησα busyBox και Android Terminal, 3) Έκανα ένα συγκεκριμένο partition (/system) remount σε rw γιατί ήταν ro, 4) rm -rf κάθε apk + ύποπτο directory με βάση ότι βρήκα από τα αποτελέσματα των antivirus / ψάξιμο στο Internet (τα οποία και πάλι δεν μπορούσαν να τα σβήσουν) και κάθε φορά reboot και rescan - Εδώ εναλλακτικά υπάρχουν εργαλεία όπως το System App Remover (https://play.google.com/store/apps/details…), 5) αφαίρεσα ότι δεν ήταν μέρος του stock συστήματος.

- Πέμπτο fact, δεν είμαι βέβαιος ότι δεν έχει μείνει κάποιο backdoor. Δεν θα είμαι ποτέ. Συνεπώς, το εν λόγω μηχανάκι θα δεχθεί ένα ωραίο SD Card και θα υποβαθμιστεί σε music player και e-book reader και παιχνιδομηχανή για τον μικρό.

- Έκτο fact, είναι πολύ άτιμα αυτά που κάνουν. Ενδεικτικά τα εν λόγω trojan/malware (com.jm.kk.obc, com.shsh.ng, Agent.ZH, com.system.updata, BCTservice.apk) ανοιγοκλείνουν το Wi-Fi, κάνουν hijack την σύνδεση, στέλνουν data μέσω κινητής [σημείωση δική μου: ΣΕ ΧΡΕΩΝΟΥΝ ΚΑΙ DATA! AXAXAXAXA], τραβάνε φωτογραφίες, στέλνουν GPS στίγμα, εγκαθιστούν και ενεργοποιούν-απενεργοποιούν system services σε κάθε reboot, καθώς και πολλά πολλά άλλα βδελυρά.

- Έβδομο fact (το ξαναβάζω ξεχωριστά γιατί είναι σημαντικό), δεν είναι βέβαιο ότι η κλεμμένη κίνηση θα φύγει μέσω Wi-Fi. Διάβασα σε fora ότι έφευγε μέσω data κινητής. Άρα ένα Wireshark δεν φτάνει, την πατήσατε.

Προφανώς μοιράζομαι την εμπειρία μου γιατί αντιλαμβάνομαι ότι είναι εξαιρετικά εύκολο να την πατήσει ο οποιοσδήποτε ανυποψίαστος πελάτης. Το Amazon δεν έχει ευθύνη για αυτά που πουλάνε οι συνεργάτες του. Είναι σχεδόν βέβαιο ότι χιλιάδες κάτοχοι τέτοιων συσκευών έχουν πλήρη ή μερική διαρροή πληροφοριών τους. Δυστυχώς, οι καιροί είναι πονηροί και πρέπει να είμαστε λίγο πιο υποψιασμένοι.

[turboirc]

@turboirc, τόσο κείμενο για να συμφωνήσεις μαζί μου!; Βέβαια με τα παρανοϊκά περί ασφάλειας που διαβάζω, το μόνο «ασφαλές» είναι το Open Source και να έχεις μία ομάδα προγραμματιστών μαζί σου. Σε σοβαρούς στρατιωτικούς οργανισμούς: Μόνο Open Source. Γιατί να εμπιστευτώ οποιονδήποτε; Όσο καλός προγραμματιστής και αν είναι κάποιος αυτό δεν αποκλείει κακοπροαίρετα προγράμματα.

@psychedelic-13 Ακόμη περιμένω απάντηση αν προτιμάς abandonware ή ενημερωμένο λογισμικό για ασφάλεια. Και δεν προτείνεις τίποτα. π.χ. Ποιό λειτουργικό να χρησιμοποιεί κάποιος για e-banking; Πού το πρόβλημα με το iOS; Αφού είναι τρύπιο γιατί δεν μπορώ να περάσω jailbreak στο iPad-2; Με την λογική σου δεν θα χρησιμοποιούμε και e-banking γιατί κανένα λειτουργικό δεν είναι απόλυτα «ασφαλές»;

Άλλο το privacy και το security. Άλλο τα δεδομένα του χρήστη και άλλο η ασφάλεια του ΛΕΙΤΟΥΡΓΙΚΟΥ. Μπορείς να μοιράζεις τα προσωπικά σου αρχεία (privacy) σου σε σελίδα κοινωνικής δικτύωσης από ασφαλές (security) λειτουργικό. Προφανώς ένα τρύπιο λειτουργικό μπορεί να επιφέρει και πρόβλημα στο privacy, αλλά δεν είναι το ίδιο.

Off Topic

Enjoy off-topic Κινέζικα

Spoiler:

Αντίγραφο από Evangelos Tripolitakis (facebook)

Ημερολόγιο Καταστρώματος 1/10/2016 aka postmortem of the day

Πριν 1 μήνα αγόρασα του μικρού από το Amazon (μέσω συνεργαζόμενου καταστήματος) ένα κινέζικο tablet (Yuntab 7"). Το tablet ήταν σε προσφορά από 90 GBP στα 40 και μου φάνηκε πολύ καλή προσφορά. Όντως, αν και είχε μέτρια ποιότητα κατασκευής, τόσο η οθόνη (IPS 1280x800) όσο και η γενική του απόκριση ήταν αξιοπρεπή, ενώ μυστηριωδώς διέθετε 2 SIM card slots (!) και πλήρη λειτουργία τηλεφώνου.

Αυτό που μου έκανε μεγάλη εντύπωση ήταν ότι το Wi-Fi ήταν ασταθές και ακόμα χειρότερα ο stock browser που είχε, για να ανοίξει μια σελίδα με πέρναγε από καμιά 20αριά άλλες πρώτα. ΟΚ λέω bloatware, τον απεγκαθιστώ και βάζω τον Chrome. Όλα καλά, όμως το θέμα με το Wi-Fi επέμενε. Επιπρόσθετα, σε άσχετες φάσεις ήταν αισθητά πιο αργό πράγμα που με έβαλε σε υποψίες. Στο προηγούμενο διάστημα δεν πολυασχολούμουν με την εν λόγω συσκευή η οποία έπεσε πάλι στα χέρια μου χθες, όπου πέραν των καθυστερήσεων (τις οποίες τις απέδωσα αρχικά σε χαμηλής ποιότητας και επιδόσεων storage και chipset) άρχισα να βλέπω και popups. Λέω λοιπόν να τρέξω κάποιο virus scan.

*HARD FACTS Ακατάλληλα για ανηλίκους*

- Πρώτο fact, δεν υπάρχει πλήρες antivirus app στο Android. Δοκίμασα 7-8 γνωστά και άλλα δεν βρήκαν τίποτε, ενώ κάποια βρήκαν μερικά trojans και malware. Αρχικά υποπτεύθηκα ότι ο μικρός κατέβασε κάποιο app.

- Δεύτερο fact, είμαι πολύ αγαθός, ή πιο σωστά ξέχασα να είμαι καχύποπτος. Τα trojans/malware δεν μπορούσαν να αφαιρεθούν. Μάλιστα κάποια από αυτά ήταν system services. Εκεί άρχισα να προβληματίζομαι και να το ψάχνω παραπάνω.

- Τρίτο fact, υπάρχουν κατασκευαστές ή ενδιάμεσοι (δεν το ξέρω τί ισχύει από τα δύο) που κάνουν bundle malware στις συσκευές. Η συγκεκριμένη μάρκα (YunTab) ήταν ανάμεσα σε αυτούς. Refs: http://www.ibtimes.co.uk/amazon-sell...-brands-che… , http://news.softpedia.com/…/thousand...ndroid-tabl…, http://www.itproportal.com/…/budget-...ets-infect…/ κτλ

- Τέταρτο fact, τα trojan/malware αυτά δεν αφαιρούνται αν δεν έχεις γνώσεις. Ενδεικτικά: 1) Έκανα root την συσκευή (δοκίμασα αρκετά, τελικά έγινε με το Kingo (https://www.kingoapp.com/)), 2) Κατέβασα και εγκατέστησα busyBox και Android Terminal, 3) Έκανα ένα συγκεκριμένο partition (/system) remount σε rw γιατί ήταν ro, 4) rm -rf κάθε apk + ύποπτο directory με βάση ότι βρήκα από τα αποτελέσματα των antivirus / ψάξιμο στο Internet (τα οποία και πάλι δεν μπορούσαν να τα σβήσουν) και κάθε φορά reboot και rescan - Εδώ εναλλακτικά υπάρχουν εργαλεία όπως το System App Remover (https://play.google.com/store/apps/details…), 5) αφαίρεσα ότι δεν ήταν μέρος του stock συστήματος.

- Πέμπτο fact, δεν είμαι βέβαιος ότι δεν έχει μείνει κάποιο backdoor. Δεν θα είμαι ποτέ. Συνεπώς, το εν λόγω μηχανάκι θα δεχθεί ένα ωραίο SD Card και θα υποβαθμιστεί σε music player και e-book reader και παιχνιδομηχανή για τον μικρό.

- Έκτο fact, είναι πολύ άτιμα αυτά που κάνουν. Ενδεικτικά τα εν λόγω trojan/malware (com.jm.kk.obc, com.shsh.ng, Agent.ZH, com.system.updata, BCTservice.apk) ανοιγοκλείνουν το Wi-Fi, κάνουν hijack την σύνδεση, στέλνουν data μέσω κινητής [σημείωση δική μου: ΣΕ ΧΡΕΩΝΟΥΝ ΚΑΙ DATA! AXAXAXAXA], τραβάνε φωτογραφίες, στέλνουν GPS στίγμα, εγκαθιστούν και ενεργοποιούν-απενεργοποιούν system services σε κάθε reboot, καθώς και πολλά πολλά άλλα βδελυρά.

- Έβδομο fact (το ξαναβάζω ξεχωριστά γιατί είναι σημαντικό), δεν είναι βέβαιο ότι η κλεμμένη κίνηση θα φύγει μέσω Wi-Fi. Διάβασα σε fora ότι έφευγε μέσω data κινητής. Άρα ένα Wireshark δεν φτάνει, την πατήσατε.

Προφανώς μοιράζομαι την εμπειρία μου γιατί αντιλαμβάνομαι ότι είναι εξαιρετικά εύκολο να την πατήσει ο οποιοσδήποτε ανυποψίαστος πελάτης. Το Amazon δεν έχει ευθύνη για αυτά που πουλάνε οι συνεργάτες του. Είναι σχεδόν βέβαιο ότι χιλιάδες κάτοχοι τέτοιων συσκευών έχουν πλήρη ή μερική διαρροή πληροφοριών τους. Δυστυχώς, οι καιροί είναι πονηροί και πρέπει να είμαστε λίγο πιο υποψιασμένοι.

Δεν αρκεί το open source για να εμπιστευτείς. Πρέπει αυτοί που το γράφουν να είναι και γνώστες. Και το OpenSSL open source είναι αλλά είδες τι έπαθε.

[Φανερός Πράκτωρ]

Οπότε που καταλήγουμε κύριε senior programmer/developer;

[turboirc]

Οπότε που καταλήγουμε κύριε senior programmer/developer;

Πουθενά κύριε.

[Φανερός Πράκτωρ]

Πουθενά κύριε.

Και τότε γιατί μας ζαλίζετε τον έρωτα με την (υποτιθέμενη, κατ' εμέ) ανωτερότητά των android συσκευών ή/και των χρηστών τους;

[turboirc]

Και τότε γιατί μας ζαλίζετε τον έρωτα με την (υποτιθέμενη, κατ' εμέ) ανωτερότητά των android συσκευών ή/και των χρηστών τους;

Ποτε δεν ειπα οτι οι χρηστες του android ειναι ανωτεροι.

[Φανερός Πράκτωρ]

Ποτε δεν ειπα οτι οι χρηστες του android ειναι ανωτεροι.

Μην κάνουμε ότι δεν καταλαβαινόμαστε. Η ουσία της συζήτησης και εδώ αλλά και στο δίπλα νήμα είναι:
- το iphone είναι μόνο για μούρη
- το android κάνει τα ίδια και "καλύτερα" (ποια; για ποιον; με τι κόστος σε χρόνο/χρήμα; )
- οι χρήστες της apple είναι @@ που τα σκάνε ή δεν καταλαβαίνουν και τα σκάνε και απλά τους παραμυθιάζουν με μπούρδες που είναι λυμένες σε android για τους "γνώστες".

Τα παραπάνω διανθίζονται με 10-20 link του @@ που ο ψυχεδέλικός νομίζει ότι κάτι λέει και κάνει. Και επειδή δεν ασχολούνται και πολλοί να κάνουν την ίδια μαζοχιστική δουλειά που κάνει ο ίδιος νομίζει ότι έχει και point.

Επιπλέον τα παραπάνω διανθίζονται και με σχόλια του στυλ senior developer κλπ για να μπει παραπάνω σοβαροφάνεια/κύρος στα παραπάνω. Ενώ μπορεί να διαβάζουν τα γραφόμενα και κάποιοι πιο senior από τον "senior developer".

Αυτά...

[ludist]

@turboirc ενισχύθηκε με καλούς προγραμματιστές και έγινε ασφαλέστερο, αυτό έπαθε. Πάντως με τυχαία 64k μνήμης να βλέπεις την φορά, λίγο δύσκολο να εξερευνήσεις το σύστημα :-) Ακόμη μία περίπτωση που αναδείχθηκε ένα θεωρητικό πρόβλημα, ενώ στην πράξη σχεδόν αδύνατο να σε προσβάλει.
http://security.stackexchange.com/qu...oit-work#55117

@Φανερός Πράκτωρ Δυστυχώς στο δια ταύτα πετάγονται γενικότητες και δεν προτείνεται ποιό είναι το καλύτερο (όχι το τέλειο / ιδανικό) αυτή την στιγμή. Οι περισσότεροι δεν παραδέχονται το abandonware, στα υπόλοιπα περιμένεις συμφωνία;

[turboirc]

@turboirc ενισχύθηκε με καλούς προγραμματιστές και έγινε ασφαλέστερο, αυτό έπαθε. Πάντως με τυχαία 64k μνήμης να βλέπεις την φορά, λίγο δύσκολο να εξερευνήσεις το σύστημα :-) Ακόμη μία περίπτωση που αναδείχθηκε ένα θεωρητικό πρόβλημα, ενώ στην πράξη σχεδόν αδύνατο να σε προσβάλει.
http://security.stackexchange.com/qu...oit-work#55117

@Φανερός Πράκτωρ Δυστυχώς στο δια ταύτα πετάγονται γενικότητες και δεν προτείνεται ποιό είναι το καλύτερο (όχι το τέλειο / ιδανικό) αυτή την στιγμή. Οι περισσότεροι δεν παραδέχονται το abandonware, στα υπόλοιπα περιμένεις συμφωνία;

Απο τη στιγμη που σβηστηκαν μηνυματα δεν εχει νοημα να συζηταμε αλλο.