( 50 ψήφοι )

3.1-apple-cryptologistΣίγουρα θα έχει υποπέσει στην αντίληψη αρκετών η «τριβή» που υπάρχει εδώ και αρκετές εβδομάδες ανάμεσα σε Apple και FBI, με την υπηρεσία ασφάλειας των ΗΠΑ να απειλεί ευθέως την Apple, προκειμένου να «ξεκλειδώσει» ένα iPhone 5c που είχαν στην κατοχή τους δύο φερόμενοι ως δράστες ενός απεχθούς εγκλήματος. Η Apple από την πλευρά της αρνήθηκε όχι μόνο το «σπάσιμο» της κωδικοποίησης, αλλά και γενικά το άνοιγμα «τρυπών» στα προϊόντα της, υποστηριζόμενη από ένα ευρύ φάσμα άλλων ισχυρών εταιρειών όπως η Google και το Facebook. Τι ακριβώς σημαίνει αυτό για τον καταναλωτή και πόσο ειλικρινείς είναι οι γίγαντες της πληροφορικής προς εμάς;

Η υπόθεση που συγκλόνισε τις ΗΠΑ

Στις 3 Δεκεμβρίου του 2015, ο Συέντ Ριζουάν Φαρούκ μαζί με την σύζυγο του Τασφίν Μαλίκ, φέρονται να άνοιξαν πυρ σε εορταστική εκδήλωση για άτομα με ειδικές ανάγκες, σκοτώνοντας 14 συνολικά πολίτες πριν πέσουν αργότερα και αυτοί νεκροί από τα πυρά των αστυνομικών. Έκτοτε, οι αρχές προσπαθούν να λύσουν το πάζλ όχι μόνο του κίνητρου αλλά και των πιθανών συνεργών του ζευγαριού. Το ζευγάρι μία ημέρα πριν το αιματοκύλισμα είχε ποστάρει στο ίντερνετ κείμενο που δήλωνε πίστη στον ISIS, κάτι που έδωσε ακόμη περισσότερα κίνητρα στις αρχές στο να βρουν μία άκρη στο πως δύο κατά τα άλλα φυσιολογικοί άνθρωποι έφτασαν σε αυτό το ακραίο σημείο δράσης.

Κλειδί σε αυτή την αναζήτηση ήταν το iPhone 5c της συζύγου, iPhone που όμως ήταν κλειδωμένο με κρυπτογράφηση, και άρα όλα τα δεδομένα που περιείχε ήταν αδύνατον να προσπελαστούν.

FBI εναντίον Apple

 3.2-fbi-apple

Η στάση του FBI μπροστά σε αυτόν τον τοίχο δεν ήταν άλλη από το να ζητήσει την συνδρομή του κατασκευαστή του iPhone προκειμένου να ξεκλειδωθεί η επίμαχη συσκευή. Η Apple φυσικά αρνήθηκε να κάνει κάτι τέτοιο όπως και έχει αρνηθεί (επίσημα) να περιλάβει «τρύπες» στο λογισμικό της προκειμένου κυβερνητικές υπηρεσίες να έχουν πρόσβαση ακόμη και σε κρυπτογραφημένες συσκευές. Οι λόγοι που η Apple αρνήθηκε είναι πολλοί: Πρώτον, το προφίλ της είχε φθαρεί από την υπόθεση Snowden (που θα αναφέρουμε παρακάτω), δεύτερον, εάν συνέδραμε δημόσια στο ξεκλείδωμα τότε ουσιαστικά θα εκτίθονταν τους πελάτες της και τρίτον, μιλώντας τεχνικά, εάν υπάρχουν ή υπάρξουν «τρύπες» ώστε κάποιος να μπορεί να ξεκλειδώσει ένα iPhone, τότε αυτό σημαίνει πως οποιοσδήποτε χάκερ μπορεί και αυτός να κάνει το ίδιο, άρα ο καταναλωτής δεν κινδυνεύει μόνο από τις κυβερνητικές υπηρεσίες, αλλά και από τρίτους που εν τέλει θα βρουν την ξεκλείδωτη πόρτα που άφησε η εταιρεία ανοιχτή.

Το αν η Apple πρέπει ή δεν πρέπει να ξεκλειδώσει το iPhone των φερόμενων δολοφόνων άνοιξε μια μεγάλη συζήτηση ως προς το θέμα της προστασίας των δεδομένων και της ιδιωτικότητας, ενάντια στο νόμο και τις κυβερνητικές επιθυμίες. Η Google δια μέσω του CEO της στάθηκε στο πλευρό της Apple, όπως και η Microsoft, η Facebook και η Yahoo, με μοναδικό «αντάρτη» τον ίδιο τον Μπιλ Γκέιτς που δήλωσε πως έπρεπε να γίνει μια «εξαίρεση», κάτι που υποστήριξε και η κεντρική κυβέρνηση των ΗΠΑ.

Κάπου εδώ θα πρέπει να αναφέρουμε πως το FBI φέρεται να ζήτησε (τουλάχιστον) διευκόλυνση ώστε να μην υπάρξει ενεργοποίηση της διαγραφής των δεδομένων του συγκεκριμένου κινητού μετά την 10η αποτυχημένη προσπάθεια εισαγωγής κωδικού.

Όπως και να έχει, και ενώ όλα έδειχναν πως η υπόθεση θα έπαιρνε την νομική οδό, το FBI απρόσμενα απέσυρε το αίτημα εκδίκασης που θα γίνονταν τέλη Μάη, διαρρέοντας παράλληλα στον τύπο πως κατάφερε να ξεκλειδώσει το κινητό χωρίς την βοήθεια της Apple.

Μέχρι σήμερα, πολλοί επίδοξοι χάκερς και εταιρείες είχαν προσφερθεί να συνεισφέρουν στο σπάσιμο του περιεχομένου του εν λόγω iPhone, αλλά το FBI δεν ανακοίνωσε ούτε τον συνεργάτη ούτε τον τρόπο που βρήκε προκειμένου να παρακάμψει την ασφάλεια της Apple. Το θετικό της υπόθεσης είναι πως στις ΗΠΑ υπάρχουν κανόνες, και έτσι το FBI εφόσον κατάφερε να σπάσει την προστασία ή μέρος της προστασίας των δεδομένων, είναι υποχρεωμένο έως τις 5 Απριλίου να... ενημερώσει την Apple για το κενό ασφαλείας που ανακάλυψε (εκτός και αν δεν το κάνει;).

Τεχνικό: Γιατί το FBI δεν μπορούσε να αποκτήσει πρόσβαση στα δεδομένα

Για να ξεκινήσουμε με την πιο απλή ερώτηση, γιατί το FBI δεν μπορούσε να σπάσει τον κωδικό του iPhone 5c χρησιμοποιώντας υπερυπολογιστές;

3.3-acos-electronics

Πηγή: aclu.org

Για να απαντήσουμε σε αυτή την ερώτηση, θα πρέπει να εξηγήσουμε πως συνδυάζεται  το λειτουργικό σύστημα του iPhone (iOS) με το hardware (υλικό) του κινητού. Το iOS λοιπόν, προστατεύει τα διάφορα δεδομένα του χρήστη με «κλειδιά». Υπάρχουν διάφορα κλειδιά για διάφορες εργασίες ενώ υπάρχουν και επικαλυπτόμενα κλειδιά. Είναι σαν ένα συρτάρι που έχει ένα κλειδί, και αυτό το συρτάρι βρίσκεται σε ένα χρηματοκιβώτιο που έχει ένα άλλο κλειδί. Το... τελικό κλειδί (της τράπεζας ας πούμε) ονομάζεται file system key και βρίσκεται αποθηκευμένο στο τεράστιο ολοκληρωμένο chip της Toshiba στη δεύτερη εικόνα, μαζί με τα κρυπτογραφημένα δεδομένα. Αν αυτό ήταν το μοναδικό κλειδί, τότε τα πράγματα θα ήταν σχετικά εύκολα. Η Apple όμως δεν αφήνει την ασφάλεια να λειτουργήσει τόσο απλά.

Στο Α6 chip της πρώτης εικόνας λοιπόν, υπάρχει αποθηκευμένο το UID Key. Αυτό είναι ένα δεύτερο (μόνιμο) κλειδί που είναι τυπωμένο μέσα στο chip και που συνδυάζεται με τον κωδικό που επιλέγει ο χρήστης. Δεν έχει σημασία λοιπόν αν ο κωδικός του χρήστη είναι εύκολος στο να τον μαντέψει κανείς, αφού η Apple συνδυάζει αυτόν τον απλοϊκό κωδικό με το UID Key. Από τη στιγμή λοιπόν που τα δύο αυτά κλειδιά βρίσκονται σε διαφορετικά ολοκληρωμένα chip, δεν μπορεί κανείς (βλέπε FBI) να ξεκολλήσει το τσιπάκι της μνήμης, να διαβάσει τα κρυπτογραφημένα περιεχόμενα, και να τα φορτώσει σε έναν υπερυπολογιστή προκειμένου να τα σπάσει. Για να αποκρυπτογραφηθούν τα δεδομένα, είναι απαραίτητα και τα δύο ολοκληρωμένα (ή έστω να κλέψει κάποιος το UID κλειδί από το πρώτο ολοκληρωμένο τσιπ).

Για να το καταλάβουμε καλύτερα, ας υποθέσουμε πως εσείς ορίζετε ως κωδικό τον αριθμό 1975. Αν το UID είναι το  “asdeafdigjdjwejooj” τότε ο πραγματικός κωδικός αποκωδικοποίησης θα μοιάζει με κάτι τέτοιο: “asdeafdigjdjwejooj1975”. Από τη στιγμή δε που το UID είναι απαραίτητο, τότε και το A6 chip είναι απαραίτητο, και εκεί πάει στράφι οποιαδήποτε προσπάθεια για σπάσιμο της κρυπτογράφησης με την Α ή Β τεχνική.

Πώς μπορεί λοιπόν να σπάσει ένας άσπαστος κωδικός;

Στο παρελθόν έχουν υπάρξει αρκετά bugs (προγραμματιστικά λάθη) του iOS που έχουν επιτρέψει σε χάκερς να διαβάσουν ακόμη και κρυπτογραφημένα μηνύματα του κινητού αλλά το να αποκρυπτογραφηθεί το σύνολο των δεδομένων δείχνει πάρα πολύ δύσκολο.

Η πρώτη λύση θα ήταν το FBI να αντιγράψει την μνήμη flash και μετά να δοκιμάσει με έναν υπερυπολογιστή να μαντέψει και το UID και τον κωδικό. Πιθανότητες επιτυχίας; Μηδενικές.

Μια δεύτερη λύση θα ήταν να αντιγράψει την μνήμη flash σε άλλες μνήμες flash και να δοκιμάζει δέκα συνδυασμούς κάθε φορά σε συνδυασμό με το αυθεντικό A6 chip. Πιθανότητες επιτυχίας; Λίγες.

Μια τρίτη λύση θα ήταν να βρεθούν τυχόν «τρύπες» στην επικοινωνία μεταξύ iOS και A6 chip, και να χρησιμοποιηθούν ώστε να ανακτηθεί το UID, κάτι για το οποίο η Apple διαβεβαιώνει πως δεν υπάρχει περίπτωση:

“UID (and other keys) are AES 256-bit keys fused…into the application processor…during manufacturing.
No software or firmware can read them directly; they can see only the results of encryption or decryption
operations performed by dedicated AES engines implemented in silicon using the UID…as a key.”

Στον πραγματικό κόσμο, το FBI χρειάζεται το UID key. Από τη στιγμή που η Apple διατείνεται πως δεν κρατάει λίστα με τα UID keys που «φυτεύει» μέσα στο chip, τότε η μόνη λύση είναι η φυσική αντιγραφή του! Μπορεί να ακούγεται αστείο, αλλά από τη στιγμή που το UID είναι μέρος του chip, τότε κάποιο εργαστήριο με ιδιαίτερα εξειδικευμένο προσωπικό, θα μπορούσε να κόψει με ειδικό laser το κέλυφος του A6 chip, να φτάσει στο σημείο που είναι αποθηκευμένο το UID key και να.. διαβάσει τον αριθμό χρησιμοποιώντας κάποιου είδους ηλεκτρονικό μικροσκόπιο. Δεν γνωρίζουμε αν θα χρειάζονταν η Apple να υποδείξει πού ακριβώς βρίσκεται το UID key αποθηκευμένο μέσα στο chip (αλλιώς είναι σαν να ψάχνεις ψύλλο στα άχυρα), παρόλα αυτά, αρκετοί ειδικοί έχουν προτείνει αυτή την ιδέα, τη στιγμή που υπάρχουν εταιρείες (βλ. Chipworks,  Cellebrite κ.λπ.) που ειδικεύονται ακριβώς σε αυτή τη δουλειά και που έχουν προσφερθεί να βοηθήσουν (με το αζημίωτο φυσικά, αφού τέτοιου είδους εργασίες κοστίζουν $500.000 με $1.000.000)! Στην πράξη πάντως, πρόκειται για μια ιδιαίτερα λεπτή εργασία που αν αποτύχει, τότε θα εξαφανίσει για πάντα και τις πιθανότητες ανεύρεσης του UID.

Ποια τεχνική χρησιμοποιήθηκε για να σπάσει η κρυπτογράφηση του iPhone 5c;

Άγνωστο. Πολύ πιθανόν να μην μάθουμε ποτέ, αν και κατά πάσα πιθανότητα είτε συνέβαλε η NSA, είτε το FBI χρησιμοποίησε τις τεχνικές κοψίματος και ηλεκτρονικού μικροσκοπίου που αναφέραμε παραπάνω. Η αλήθεια είναι πως η όλη ιστορία δεν είχε να κάνει τόσο με το σπάσιμο του συγκεκριμένου κινητού όσο με την άσκηση πίεσης του FBI προς τους κατασκευαστές. Τι εννοούμε; Το FBI αυτή τη στιγμή έχει στην κατοχή του πάνω από 20 συσκευές iPhone που θα ήθελε πολύ να αποκρυπτογραφήσει για να προσθέσει στοιχεία σε διάφορες υποθέσεις που αυτά εμπλέκονται. Το να κάτσει και να εμπλακεί σε μια ακριβή, χρονοβόρα και αμφιβόλων αποτελεσμάτων διεργασία όπως το.. πετσόκομα του κάθε κινητού δεν είναι επιθυμητό. Από την άλλη, αν μπορούσε η υπηρεσία να δημιουργήσει πίεση προς την Apple με επιχείρημα ένα απεχθές έγκλημα όπως αυτό που περιγράφηκε στην αρχή του άρθρου, τότε η διαδικασία θα μπορούσε να αυτοματοποιηθεί και το FBI να έχει οφέλη για όλες του τις υποθέσεις.

FBI και NSA: Δύο σταθμά, δύο μέτρα

Όπως γράψαμε και παραπάνω, όλες οι κυβερνητικές υπηρεσίες δεν είναι ίδιες. Κάποιος μπορεί να αναρωτηθεί το εξής: Η Apple, η Microsoft, η Yahoo και η Facebook αυτοί που βγαίνουν μπροστά και μάχονται στο να μην ξεκλειδώσει η κρυπτογράφηση και να μην δημιουργούνται «τρύπες» λογισμικού υπέρ της κυβέρνησης, είναι οι ίδιες ακριβώς εταιρείες που συνεργάστηκαν και συνεργάζονται μία προς μία με την NSA προκειμένου να υποκλέπτονται μαζικά δεδομένα των χρηστών. Προς τι λοιπόν, αυτός ο ζήλος σήμερα;

Η απάντηση είναι μάλλον απλή: Το FBI είναι μια κυβερνητική υπηρεσία ασφάλειας, που λειτουργεί με διαυγείς κανόνες, και που όσο σεβαστή και αν είναι, μοιάζει περισσότερο με υπηρεσία.. υδραυλικών του κράτους σε σχέση με την CIA και την NSA. Η τελευταία, ειδικά μετά την 11η Σεπτεμβρίου, έχει γιγαντωθεί, και μπορεί να ασκήσει τρομακτική πίεση σε μια εταιρεία, ακόμη της τάξης της Google ή της Apple (η πρώτη ξεκίνησε να παραδίδει δεδομένα των χρηστών της στην NSA από το 2009 ενώ η Apple από το 2012 και μετά).

Η Apple λοιπόν, μπορεί χαλαρά να συμμετέχει στο πρόγραμμα PRISM, και να κάνει τεμενάδες στην NSA, από την άλλη όμως, δεν σηκώνει μύγα στο σπαθί της ενάντια στο... κακό FBI. Και για όσους νομίζουν πως όλη αυτή η ιστορία λειτούργησε αρνητικά για την Apple ας μην ξεχνάμε τα “thank you Apple” πλακάτ και όλη τη θετική δημοσιότητα που λειτούργησε ως «κολυμβήθρα του Σιλωάμ» για αυτούς που έχουν βραχεία μνήμη...

3.4-fbi-apple

What’s next

Το ταγκό μεταξύ των γιγάντων της πληροφορικής και της κυβέρνησης των ΗΠΑ σχετικά με την κρυπτογράφηση των δεδομένων δεν προβλέπεται να τελειώσει σύντομα. Η μυστικοπάθεια του FBI ως προς την μέθοδο ξεκλειδώματος του iPhone 5c πλήττει την αξιοπιστία που «έχτισε» αυτές τις ημέρες η Apple, τη στιγμή που παρά τις διάφορες υστερικές φωνές η πλειοψηφία της βιομηχανίας αναζητεί όλο και ασφαλέστερους τρόπους αποθήκευσης των ευαίσθητων προσωπικών δεδομένων μας. Σε αυτό τον ακήρυχτο πόλεμο, εμείς οι χρήστες θα πρέπει να στηρίξουμε χωρίς ενδοιασμούς τις μάχες για μεγαλύτερη διαφάνεια και περισσότερη προστασία των δεδομένων μας.


δημοψήφισμα

Νέα επικαιρότητας: Ποιότητα ή ποσότητα;