WE NEED MORE THAN DEPLATFORMING

https://blog.mozilla.org/blog/2021/01/08/we-need-more-than-deplatforming/


There is no question that social media played a role in the siege and take-over of the US Capitol on January 6.

Since then there has been significant focus on the deplatforming of President Donald Trump. By all means the question of when to deplatform a head of state is a critical one, among many that must be addressed. When should platforms make these decisions? Is that decision-making power theirs alone?

But as reprehensible as the actions of Donald Trump are, the rampant use of the internet to foment violence and hate, and reinforce white supremacy is about more than any one personality. Donald Trump is certainly not the first politician to exploit the architecture of the internet in this way, and he won’t be the last. We need solutions that don’t start after untold damage has been done.

Changing these dangerous dynamics requires more than just the temporary silencing or permanent removal of bad actors from social media platforms.
Additional precise and specific actions must also be taken:  

Reveal who is paying for advertisements, how much they are paying and who is being targeted.

Commit to meaningful transparency of platform algorithms so we know how and what content is being amplified, to whom, and the associated impact.

Turn on by default the tools to amplify factual voices over disinformation.

Work with independent researchers to facilitate in-depth studies of the platforms’ impact on people and our societies, and what we can do to improve things.

These are actions the platforms can and should commit to today.

The answer is not to do away with the internet, but to build a better one that can withstand and gird against these types of challenges.

This is how we can begin to do that.

No fewer than seven serious Thunderbolt security flaws have been discovered, affecting machines with both standalone Thunderbolt ports and the Thunderbolt-compatible USB-C ports used on modern Macs.

The flaws allow an attacker to access data even when the machine is locked, and even when the drive is encrypted …

The vulnerabilities are present in all machines with Thunderbolt/Thunderbolt-compatible USB-C ports shipped between 2011 and 2020.

Security researcher Björn Ruytenberg found seven vulnerabilities in Intel’s Thunderbolt chips, and nine ways to exploit them.

1. Inadequate firmware verification schemes

2. Weak device authentication scheme

3. Use of unauthenticated device metadata

4. Downgrade attack using backwards compatibility

5. Use of unauthenticated controller configurations

6. SPI flash interface deficiencies

7. No Thunderbolt security on Boot Camp

There is no way to detect that a machine has been compromised.

Thunderspy is stealth, meaning that you cannot find any traces of the attack. It does not require your involvement, i.e., there is no phishing link or malicious piece of hardware that the attacker tricks you into using. Thunderspy works even if you follow best security practices by locking or suspending your computer when leaving briefly, and if your system administrator has set up the device with Secure Boot, strong BIOS and operating system account passwords, and enabled full disk encryption. All the attacker needs is 5 minutes alone with the computer, a screwdriver, and some easily portable hardware.

These vulnerabilities lead to nine practical exploitation scenarios. In an evil maid threat model and varying Security Levels, we demonstrate the ability to create arbitrary Thunderbolt device identities, clone user-authorized Thunderbolt devices, and finally obtain PCIe connectivity to perform DMA attacks. In addition, we show unauthenticated overriding of Security Level configurations, including the ability to disable Thunderbolt security entirely, and restoring Thunderbolt connectivity if the system is restricted to exclusively passing through USB and/or DisplayPort. We conclude with demonstrating the ability to permanently disable Thunderbolt security and block all future firmware updates.

Macs are fully vulnerable to all of the Thunderbolt security flaws when running Bootcamp, and ‘partly affected’ when running macOS.

MacOS employs (i) an Apple-curated whitelist in place of Security Levels, and (ii) IOMMU virtualization when hardware and driver support is available. Vulnerabilities 2–3 enable bypassing the first protection measure, and fully compromising authenticity of Thunderbolt device metadata in MacOS “System Information”. However, the second protection measure remains functioning and hence prevents any further impact on victim system security via DMA. The system becomes vulnerable to attacks similar to BadUSB. Therefore, MacOS is partially affected.

Further details of the Mac vulnerabilities can be found below.

Ruytenberg informed both Intel and Apple of his discoveries, but says that as the Thunderbolt security flaws are present in the controller chips, there is no way to fix the vulnerabilities via a software update.

Below is a description of how the vulnerabilities can be exploited on a Mac running macOS. This is essentially performed by fooling the Mac into thinking the attack kit is an Apple-approved Thunderbolt accessory.



3.4 Exploitation scenarios for vulnerabilities 2-3, 7 on Apple Mac systems

3.4.1 Cloning an Apple-whitelisted device identity to an attacker device (MacOS) 4

Threat model

We assume an “evil maid” threat model, in which the attacker exclusively has physical access to a victim system. The system is in a locked (S0) or sleep (S3) state, while running MacOS.

Preparation

1. Acquire a MacOS-certified Thunderbolt device.

2. Disassemble the MacOS-certified device enclosure. Obtain the firmware image from the Thunderbolt controller’s SPI flash of the MacOS-certified device.

3. Disassemble the attacker device enclosure. Obtain the firmware image from the Thunderbolt controller’s SPI flash of the attacker device.

4. Connect the MacOS-certified device to the attacker system. On the attacker system, using e.g. tbtadm on Linux, obtain the UUID of the MacOS-certified device.

5. Locate the DROM section by searching for the string DROM in the attacker device firmware image. Figure 6 depicts the DROM data structure. Using the figure as a reference, locate the appropriate offsets and replicate the MacOS-certified device UUID.

6. Compute uid crc8 and replicate the value at the appropriate offset.

7. Write the image to the attacker device SPI flash.

Procedure

1. Connect the attacker device to the victim system.

Verification

1. Observe that the victim system identifies the attacker device as being a MacOS-certified device. Figure 2 demonstrates an example scenario, showing a forged Thunderbolt device identity in the MacOS “System Information” application.



Intel commented:

In 2019, major operating systems implemented Kernel Direct Memory Access (DMA) protection to mitigate against attacks such as these. This includes Windows (Windows 10 1803 RS4 and later), Linux (kernel 5.x and later), and MacOS (MacOS 10.12.4 and later). The researchers did not demonstrate successful DMA attacks against systems with these mitigations enabled. Please check with your system manufacturer to determine if your system has these mitigations incorporated. For all systems, we recommend following standard security practices, including the use of only trusted peripherals and preventing unauthorized physical access to computers.

Ένα πολύ σημαντικό κενό ασφαλείας αποκαλύφθηκε πριν λίγες ημέρες.

Μερικές από τις εφαρμογές στο App Store για Mac, συλλέγουν κρυφά τα δεδομένα των χρηστών και τα ανεβάζουν σε Analytics Servers χωρίς την άδεια των ανυποψίαστων χρηστών.

Δημοφιλείς εφαρμογές όπως οι Dr. Unarchiver και Dr. Cleanerand, καθώς και άλλες εφαρμογές της εταιρείας ανάπτυξης "Trend Micro Inc.", συλλέγουν και ανεβάζουν πληροφορίες των χρηστών στους servers τους, από το ιστορικό των Safari, Google Chrome και Firefox.

Όλα αυτά μέσω πρόσβασης στον Φάκελλο του Χρήστη (macOS Home Directory).

Οι "πονηρές" αυτές εφαρμογές συλλέγουν δεδομένα κι από άλλα εγκατεστημένα apps εντός του συστήματος, στα οποία ξεκινάει η περισυλλογή μόλις τα εκκινήσετε, σύμφωνα με το 9to5Mac. Το πρόβλημα εντοπίστηκε αρχικά από χρήστη του Malwarebytes forum.

Οι αναφορές επιβεβαιώθηκαν από το 9to5Mac, όταν μετά από εγκατάσταση της εφαρμογής Dr. Unarchiver και σκαναρίσματος του home directory μέσω του "Quick Clean Junk Files", η εφαρμογή ξεκίνησε να συλλέγει σωρεία από περιττές πληροφορίες.

Αυτές περιείχαν δεδομένα από διάφορους browsers, αποκλειστικά αρχεία από πρόσφατα Google searches και έναν πλήρη κατάλογο από όλες τις εγκατεστημένες εφαρμογές που υπάρχουν στο σύστημα (συμπεριλαμβανομένων Code Signatures, εάν είναι ή όχι συμβατές με 64-bit και πληροφορίες σχετικά με το από που έγινε το download).

Κατά την διάρκεια της έρευνας, το Dr. Unarchiver ήταν η 12η δημοφιλέστερη εφαρμογή στο Αμερικάνικο Mac App Store, αλλά πλέον το έχουν αποσύρει από την αρχική σελίδα.

Ενώ το macOS Mojave έρχεται για να βελτιώσει την ασφάλεια σχετικά με τις εφαρμογές που έχουν πρόσβαση στο Home Directory, η διαδικασία ελέγχου του Store θα έπρεπε να είχε αντιληφθεί την συγκεκριμένη παραβίαση περί ασφάλειας του χρήστη και να μην είχε επιτρέψει την κυκλοφορία των εφαρμογών στο Mac App Store.

Επιπλέον τα νέα αυτά αμαυρώνουν την φήμη του Αμερικανικού κολοσσού, καθώς η Apple θα έπρεπε να παρέχει μεγαλύτερη ασφάλεια από την στιγμή που έχει πιο αυστηρή προσέγγιση σε ότι αφορά τις εφαρμογές, τουλάχιστον σε σύγκριση με την προσέγγιση της Google.

Τα νέα αυτά έρχονται μετά την αποκάλυψη πως μια άλλη διάσημη εφαρμογή του Apple Mac App Store, το Adware Doctor, ήταν τελικά ένα μυστικό spyware το οποίο έστελνε το ιστορικό του browser στην Κίνα.

Προτού αφαιρεθεί, το Adware Doctor (αξίας 4,99$) ήταν 5ο στην λίστα με τις επί πληρωμή εφαρμογές του App Store.

Η εφαρμογή είχε λάβει πάνω από 6000 βαθμολογήσεις 5 Αστέρων, αλλά είναι αμφίβολο κατά πόσο οι θετικές βαθμολογήσεις ήταν πραγματικές.

Όταν τεθούν σε μαζική παραγωγή όλα όσα δημιουργούνται στα Πανεπιστήμια σήμερα, δεν θα υπάρχει ούτε ΜΙΑ δραστηριότητα της ανθρώπινης ζωής που να μην καταγράφεται σε κάποιον Ηλεκτρονικό Υπολογιστή. 

Την εφαρμογή που θα δείτε στο κατωτέρω video, την δημιούργησε ο Hannes Harms, φοιτητής βιομηχανικού σχεδίου στο Royal College of Art του Λονδίνου.  

Με αυτά όμως τα συστήματα η πραγματικότητα ξεπερνάει και την πιο εφιαλτική φαντασία:Βρώσιμα RFID τσιπάκια. Είναι ποτέ δυνατόν; Κι όμως είναι. Και με ποιό πρόσχημα; Μα φυσικά κι εδώ την εξυπηρέτηση και την προστασία μας. Τα πάντα η τεχνολογία τα φτιάχνει για το καλό μας!

Αίτημα εξαίρεσης από την DMCA

Ο φόβος για ενδεχόμενη εμπλοκή με τον αμερικανικό νόμο αποτρέπει πολλά δημιουργικά μυαλά από την ανάπτυξη εφαρμογών σε περιβάλλον ελεύθερο, σημειώνει το Ίδρυμα Ηλεκτρονικού Μετώπου.

Στο Γραφείο πνευματικής ιδιοκτησίας των ΗΠΑ απευθύνεται το Ίδρυμα Ηλεκτρονικού Μετώπου σε μια προσπάθεια να εξαιρεθεί το rooting και το jailbreaking από τον νόμο που τα εντάσσει στις απαγορευμένες πρακτικές για την παράκαμψη των μεθόδων που προστατεύουν περιεχόμενο με copyright σε tablet και smartphone. «Ό,τι δεν είναι εγκεκριμένο από τον κατασκευαστή δεν είναι απαραίτητα παράνομο», σημειώνει ο μη κερδοσκοπικός οργανισμός για τα ψηφιακά δικαιώματα.

H νομοθετική πράξη Digital Millennium Copyright Act (DMCA) θεσπίστηκε στις ΗΠΑ στις αρχές του 2000 -την εποχή της μεγάλης μάχης δισκογραφικών εταιρειών και του Χόλιγουντ κατά της «πειρατείας»- και απαγορεύει τη διάθεση στο κοινό οποιουδήποτε μέσου, το οποίο αναπτύχθηκε για να παρακάμπτονται οι μέθοδοι που προστατεύουν περιεχόμενο με copyright (και μπορεί να αφορά και σε λογισμικό).

Η προτεινόμενη από το EFF εξαίρεση στον νόμο DMCA για το 2015 αφορά την παράκαμψη των μεθόδων που προστατεύουν το firmware σε smartphone και tablet σε iOS, Android και Windows Phone με σκοπό την εκτέλεση προγραμμάτων που αποκτήθηκαν νόμιμα.

To EFF αναφέρει ενδεικτικά στο αίτημά του προς το αμερικανικό γραφείο πατεντών πως το CyanogenMod, μια ελεύθερη έκδοση του Android είναι εγκαταστημένη σε περισσότερες από 10 εκατομμύρια συσκευές στις ΗΠΑ (έως τον Δεκέμβριο του 2013). Το ίδιο έτος, το Cydia, το εναλλακτικό και «απαγορευμένο» app store, το οποίο προϋποθέτει jailbreak του iOS για να εγκατασταθεί, διέθεσε apps σε 23 εκατομμύρια iPhone και iPad στις ΗΠΑ.

Σχεδόν όλες οι φορητές υπολογιστικές συσκευές στις ΗΠΑ είναι κλειδωμένες έτσι ώστε να αποτρέπουν την εκτέλεση καθ'όλα νόμιμου λογισμικού ή την εγκατάσταση εναλλακτικού λειτουργικού συστήματος, εξηγεί το Ίδρυμα.

Ο bootloader, το λογισμικό που εκτελείται κατά την εκκίνηση της συσκευής, απαιτεί την κρυπτογραφημένη υπογραφή του προ-εγκαταστημένου λειτουργικού για να ξεκινήσει.

Επίσης, το λογισμικό που έρχεται με την συσκευή περιλαμβάνει δικλείδες ασφαλείας που περιορίζουν τι μπορεί να εκτελεστεί από τις εφαρμογές ή δεν επιτρέπει την εκτέλεση λογισμικού τρίτων ολωσδιόλου. Αυτό σημαίνει πως μόνο το λογισμικό που φέρει την κρυπτογραφημένη έγκριση της Apple από το iTunes Store μπορεί να εκτελεστεί, επηρεάζοντας το 42,1% των smartphone στις ΗΠΑ (Ιούνιος 2014) και το 51% των tablet.

Ομοίως, στο Android οι περιορισμοί στην πρόσβαση για τους προγραμματιστές (root access) αποτρέπει την εκτέλεση πολλών λειτουργιών στις συσκευές αυτές, το firmware απαγορεύει την εγκατάσταση εναλλακτικού συστήματος. O μόνος τρόπος για την παράκαμψη των απαγορεύσεων αυτών είναι το jailbreak στην περίπτωση της Apple και το root στο Android.

Γιατί κάνουν root, γιατί κάνουν Jailbreak;

Αναλύοντας τους λόγους για τους οποίους η παράκαμψη των μέσων προστασίας που εμπεριέχονται σε iOS, Android και Windows Phone δεν θα έπρεπε να θεωρείται παράνομη, το EFF αναφέρει κάποιες από τις έννομες χρήσεις:

Το Android μπλοκάρει εφαρμογές που λειτουργούν ως τείχος προστασίας από την διαρροή προσωπικών δεδομένων από άλλες εφαρμογές, καθώς και λογισμικό για την δημιουργία εικονικών ιδιωτικών δικτύων (VPN) που κρυπτογραφούν τα πακέτα δεδομένων που μεταφέρονται. Επίσης, οι χρήστες Android δεν μπορούν να διαγράψουν εφαρμογές που είναι προεγκαταστημένες στο σύστημά τους, αν και σπαταλούν ενέργεια, μειώνουν την διάρκεια ζωής της μπαταρίας ή στέλνουν προσωπικές πληροφορίες σε διαφημιστές.

Οι χρήστες συσκευών της Apple έρχονται αντιμέτωποι με ακόμα περισσότερους περιορισμούς, σημειώνει το EFF. Στο iTunes Store δεν γίνονται δεκτές εφαρμογές που χαρακτηρίζονται «προσβλητικές» ή «όσες σχετίζονται με μαριχουάνα». Επιπλέον, οι χρήστες δεν θα δουν ποτέ εφαρμογές που ανταγωνίζονται ένα προϊόν της Apple ή που δεν έγιναν αποδεκτές στο κατάστημα της Apple για διάφορους λόγους, ενώ δεν έχουν εναλλακτικό app store.

Ακόμα, σημειώνεται πως οι κατασκευαστές συνήθως καθυστερούν να διαθέσουν ενημερώσεις στο λειτουργικό σύστημα αλλά και διορθώσεις για τις κερκόπορτες που ανακαλύπτονται, καθιστώντας τους χρήστες ευάλωτους σε επιθέσεις.

Σε ότι αφορά το jailbreak, το EFF αναφέρει πως η απαιτούμενη αντιγραφή του firmware ή μέρους του θα έπρεπε να θεωρείται σύννομη αφού εξυπηρετεί τον σκοπό της εκτέλεσης λογισμικού τρίτου που αποκτήθηκε νόμιμα. Σημειώνεται δε πως από τότε που το Γραφείο έθεσε ως εξαίρεση στην νομοθετική πράξη DMCA το jailbreak στα smartphone, οι πωλήσεις τους δεν επηρεάστηκαν, αντίθετα αυξήθηκαν με εκθετικό ρυθμό. Η εξαίρεση θα έπρεπε να επεκταθεί σε όλες τις πλατφόρμες και στα tablet, καταλήγει το αίτημα του EFF.

Διαβάστε επίσης για την δράση του Ευρωπαϊκού Ιδρύματος Ελεύθερου Λογισμικού με τον χαρακτηριστικό τίτλο «Ελευθερώστε το Android σας» ή για το Spark, ένα tablet με χαρακτήρα ελεύθερο. Μπορείτε επίσης να διαβάσετε για το πάθος με το οποίο επιδίδονται σε επιχειρήσεις απόδρασης από τα δεσμά της Apple οι ειδήμονες στο jailbreak.

H Επιτροπή με την εποπτεία των Επιστημών και της Τεχνολογίας στη M. Βρετανία, συστήνει στα κοινωνικά δίκτυα να απλοποιήσουν τους “Όρους και τις Προϋποθέσεις”, με τα οποία καλούνται να συμφωνήσουν οι χρήστες τους.
 
Όπως αναφέρει σε άρθρο του BBC, οι χρήστες μπορεί να μην ενημερώνονται για το πώς χρησιμοποιούνται τα στοιχεία τους από τις ιστοσελίδες και τις εφαρμογές των κοινωνικών δικτύων και όχι μόνο.
 
Ένας από τους λόγους είναι τα μεγάλα κείμενα και οι η πολυπλοκότητα των “Όρων και Προϋποθέσεων” με τους οποίους καλούνται να συμφωνήσουν οι χρήστες.
 
Η επιτροπή μάλιστα το ρίχνει στο χιούμορ, βρετανικό χιούμορ μάλιστα, λέγοντας ότι ... η πλοκή των αντίστοιχων κειμένων μοιάζει με κείμενα του Σαίξπηρ!  
 
Επίσης, η Επιτροπή αναφέρει ότι πρόβλημα υπάρχει και με τις εφαρμογές, οι οποίες προκείμενου να παρέχουν τις υπηρεσίες τους, ζητούν πρόσβαση σε πληροφορίες που δεν χρειάζονται για προφανείς λόγους.

Αν και είχε επισημανθεί ότι στοχεύει σε υπολογιστές Windows τελικώς το Regin έχει κατασκευαστεί για να καθιστά δυνατές και τις υποκλοπές και τις παρακολουθήσεις μέσω δικτύων GSM. Το Regin είναι ένα πραγματικό πολύ-εργαλείο για τον επιτιθέμενο.

Σύμφωνα με την εταιρεία Kaspersky, το Regin είναι η πρώτη πλατφόρμα ψηφιακών επιθέσεων που μπορεί να διαπερνά και να παρακολουθεί GSM δίκτυα, πραγματοποιώντας παράλληλα και άλλες "τυπικές" εργασίες κατασκοπείας. Οι επιτιθέμενοι πίσω από την πλατφόρμα έχουν παραβιάσει δίκτυα υπολογιστών σε τουλάχιστον 14 χώρες.

Την άνοιξη του 2012, οι ειδικοί της Kaspersky Lab αντιλήφθηκαν για πρώτη φορά το κακόβουλο λογισμικό Regin, το οποίο φαινόταν να είναι μέρος μιας περίπλοκης εκστρατείας κατασκοπείας. Εδώ και τρία σχεδόν χρόνια, ίχνη του κακόβουλου λογισμικού έχουν εντοπιστεί σε όλο τον κόσμο.

Κατά καιρούς, εμφανίζονταν δείγματα σε διάφορες multi-scanner υπηρεσίες, αλλά ήταν όλες άσχετες μεταξύ τους, με αινιγματική λειτουργικότητα και χωρίς συγκεκριμένο πλαίσιο. Ωστόσο, οι ειδικοί της Kaspersky Lab μπόρεσαν να απομονώσουν δείγματα που εμπλέκονταν σε διάφορες επιθέσεις, συμπεριλαμβανομένων και εκείνων κατά κυβερνητικών οργανισμών και παρόχων τηλεπικοινωνιών.

Τα δείγματα αυτά παρείχαν επαρκή πληροφόρηση ώστε να προχωρήσει μια πιο ενδελεχής έρευνα σχετικά με την απειλή αυτή.

Η μελέτη των ειδικών της εταιρείας διαπίστωσε ότι το Regin δεν είναι απλώς ένα κακόβουλο πρόγραμμα, αλλά μια πλατφόρμα, ένα πακέτο λογισμικού αποτελούμενο από πολλαπλές μονάδες, οι οποίες μπορούν να "μολύνουν" ολόκληρο το δίκτυο των στοχοποιημένων οργανισμών, για να αποκτήσουν πλήρη απομακρυσμένο έλεγχο σε κάθε επίπεδο που αυτό ήταν δυνατόν.

Σκοπός του Regin είναι η συγκέντρωση εμπιστευτικών δεδομένων μέσα από τα δίκτυα που δέχονται επίθεση και η εκτέλεση πολλών άλλων τύπων επιθέσεων.

Ο παράγοντας που βρίσκεται πίσω από την πλατφόρμα Regin διαθέτει μια πολύ καλά αναπτυγμένη μέθοδο για τον έλεγχο των δικτύων που έχουν "μολυνθεί".

Οι ειδικοί της Kaspersky Lab εντόπισαν αρκετούς οργανισμούς που βρίσκονταν σε κίνδυνο σε μία χώρα, αλλά μόνο ένας από αυτούς ήταν προγραμματισμένος να επικοινωνεί με τον Command & Control server που βρισκόταν σε άλλη χώρα.

Ωστόσο, όλα τα θύματα του Regin στην περιοχή ενώθηκαν σε ένα peer-to-peer δίκτυο, που έμοιαζε με δίκτυο VPN, γεγονός που επέτρεπε την μεταξύ τους επικοινωνία.

Έτσι, οι επιτιθέμενοι μετέτρεψαν τους παραβιασμένους οργανισμούς σε ένα πολύ μεγάλο, ενοποιημένο θύμα και ήταν σε θέση να στέλνουν εντολές και να υποκλέπτουν πληροφορίες μέσω ενός και μόνο σημείου εισόδου.

Βάσει της έρευνας της Kaspersky Lab, η δομή αυτή επέτρεψε στον παράγοντα να λειτουργεί αθόρυβα για πολλά χρόνια χωρίς να εγείρει υποψίες.

Το πιο πρωτότυπο και ενδιαφέρον χαρακτηριστικό της πλατφόρμας Regin, όμως, είναι η ικανότητά της να επιτίθεται σε GSM δίκτυα.

Σύμφωνα με ένα αρχείο καταγραφής δραστηριότητας σε έναν ελεγκτή σταθμού βάσης GSM που μελετήθηκε από τους ερευνητές της Kaspersky Lab, οι επιτιθέμενοι ήταν σε θέση να αποκτήσουν στοιχεία πρόσβασης που θα τους επέτρεπαν να ελέγχουν τις κυψέλες GSM του δικτύου μίας μεγάλης εταιρείας κινητής τηλεφωνίας.

Αυτό σημαίνει ότι θα μπορούσαν να έχουν πρόσβαση σε πληροφορίες σχετικά με το ποιες κλήσεις βρίσκονται υπό την επεξεργασία μιας συγκεκριμένης κυψέλης GSM, να ανακατευθύνουν τις κλήσεις σε άλλες κυψέλες, να ενεργοποιούν γειτονικές κυψέλες και να εκτελούν άλλες επιθετικές δραστηριότητες.

Προς το παρόν, οι επιτιθέμενοι πίσω από το Regin είναι οι μόνοι που έχει γνωστό ότι ήταν σε θέση να υλοποιήσουν τέτοιου είδους επιχειρήσεις.

Το Regin αποδεικνύεται ότι είναι μία απειλή με ιδιαίτερα πολύπλοκο και εκλεπτισμένο μηχανισμό που "χτυπάει" και δίκτυα GSM.

Πρόσφατα, η ομάδα CERT (Computer Emergency Readiness Team) στις Ηνωμένες Πολιτείες δημοσιοποίησε μία προειδοποίηση για το Regin.

Αρκετοί που είδαν την ανακοίνωση, έσπευσαν να ειρωνευτούν, αφού οι περισσότεροι πιστεύουν ότι πίσω από τον κώδικα του Regin κρύβονται οι υπηρεσίες αντικατασκοπείας των Ηνωμένων Πολιτειών ή της Μ.Βρετανίας.

Το πιθανότερο είναι η ομάδα CERT ήθελε να αναγνωρίσει τις ανησυχίες των εταιρειών Symantec και Kaspersky, αν και η κίνηση μοιάζει... κωμική.

Βεβαίως δεν είναι η πρώτη φορά που η ομάδα CERT δημοσιοποιεί προειδοποιήσεις, το έχει κάνει και στην περίπτωση του Stuxnet και του malware με την ονομασία Duqu.

To Twitter προχωρά τις τελευταίες ημέρες σε σημαντικές αλλαγές στην συλλογή στοιχείων από τους χρήστες.
 
Η καταγραφή των εφαρμογών που βρίσκονται στο κινητό μας είναι μέρος της συνολικής αναδιάρθρωσης στο σύστημα διαχείρισης των δεδομένων του ισοτόπου.
 
Το Twitter έχει πλέον δώσει index σε κάθε tweet που έχει γίνει από το 2006, με στόχο να παρέχει αποτελέσματα αναζήτησης για δημοσιεύσεις που γίνονται όχι μόνο σε πραγματικό χρόνο, αλλά που αφορούν και το παρελθόν.   
 
Να διευκρινίσουμε εδώ ότι η καταγραφή των εφαρμογών αφορά μόνο εκείνες που είναι συσχετισμένες με το Twitter και περιορίζεται μόνο στον τύπο της. Δεν συλλέγονται δεδομένα σχετικά με τη δραστηριότητα του χρήστη μέσα στην κάθε εφαρμογή.

Πολλοί ήταν οι πολίτες που πίστεψαν ότι ίσως έχουν πέσει θύματα χάκερ, ωστόσο, το Facebook είχε ανακοινώσει ότι θα προχωρούσε σε αυτό το βήμα εδώ και πολλούς μήνες

Τις τελευταίες ημέρες όλο και περισσότεροι χρήστες του Facebook βλέπουν τα προφίλ τους στον γνωστό ιστότοπο κοινωνικής δικτύωσης «μπλοκαρισμένα» και ένα μήνυμα από την εταιρεία με το οποίο τους ζητά να «ανεβάσουν» τα στοιχεία της ταυτότητάς τους, προκειμένου να συνδεθούν και να επανέλθει ο λογαριασμός τους.

Αρχικά, πολλοί ήταν οι πολίτες οι οποίοι μέσω ιστολογίων και άλλων μέσων κοινωνικής δικτύωσης εξέφρασαν την ανησυχία τους για την παράξενη αυτή κίνηση, ενώ αρκετοί πίστεψαν ακόμη και πως είχαν πέσει θύματα χάκερ.

Ωστόσο, η αλήθεια είναι ότι τα αιτήματα αυτά χαρακτηρίζονται νόμιμα και πως πριν από ένα περίπου χρόνο η εταιρεία είχε ανακοινώσει ότι θα προχωρούσε σε αυτό το βήμα, προκειμένου να διασφαλίσει ότι τα προφίλ ανταποκρίνονται σε πραγματικούς χρήστες.

Με αυτόν τον τρόπο η υπηρεσία θέλει να διασφαλίσει ότι οι χρήστες δεν παραβιάζουν τους όρους χρήσης και ότι χρησιμοποιούν τα πραγματικά τους στοιχεία. Επίσης, θέλει να διαγράψει τους χιλιάδες ψεύτικους λογαριασμούς που υπάρχουν στην ιστοσελίδα.

Στις μέρες μας δεν είναι καθόλου σπάνιο για κάποιον χρήστη να έχει συνδέσει διάφορους λογαριασμούς σε πληθώρα συσκευών, έτσι ώστε να μπορεί να παρακολουθεί τη δραστηριότητα και τις ενημερώσεις ανεξάρτητα εάν χρησιμοποιεί tablet, smartphone, σταθερό υπολογιστή, laptop κλπ. Αυτό, όμως, έχει ως αποτέλεσμα από ένα σημείο και έπειτα να μη θυμάται ποιες από αυτές τις συσκευές χρησιμοποιούν πράγματι τους λογαριασμούς του με δική του άδεια.

Γι’ αυτό η Google λανσάρει ένα νέο εργαλείο που μας επιτρέπει με ευκολία να βλέπουμε ποιες συσκευές έχουν πρόσβαση σε συγκεκριμένους λογαριασμούς μέσα στον τελευταίο μήνα, ελέγχοντας παράλληλα και την πιθανότητα να έχει παραβιαστεί κάποιος από αυτούς και να χρησιμοποιείται από άγνωστη συσκευή.

Το νέο εργαλείο μπορείτε να το βρείτε στις ρυθμίσεις του λογαριασμού σας κάτω από τη λίστα “Devices and Activity Dashboard”, η οποία είναι ενημερωμένη για τις τελευταίες 28 ημέρες. Εάν μια νέα συσκευή ξεκινήσει να χρησιμοποιεί τον λογαριασμό σας, τότε θα δείτε τη λέξη “New” δίπλα από το όνομα της.

Σε περίπτωση που παρατηρήσετε κάτι άγνωστο ή ύποπτο, π.χ. αν δείτε συσκευή Mac να χρησιμοποιεί τον λογαριασμό σας ενώ έχετε στην κατοχή σας μόνο Windows PC, τότε μπορείτε να ασφαλίσετε τον λογαριασμό σας (επιλογή “Secure your account”) αλλάζοντας password, ανανεώνοντας τα στοιχεία επαναφοράς, ενεργοποιώντας την πιστοποίηση σε δύο βήματα (two-step verification) κλπ.

Περισσότερες πληροφορίες από το Blog της Google.

Το ίδρυμα Mozilla το οποίο βρίσκεται πίσω από έναν από τους πιο δημοφιλείς browsers, το Firefox, ανακοινώνει ένα νέο σχέδιο με την ονομασία Polaris με επίκεντρο το δικαίωμα στο προσωπικό απόρρητο κάθε χρήστη.

Για το Polaris η Mozilla συνεργάζεται με το Tor Project, το οποίο εδώ και αρκετά χρόνια κάνει ακριβώς αυτό, παρέχοντας στους χρήστες του εργαλεία ώστε να μη μεταδίδουν προσωπικά στοιχεία εν αγνοία τους.

Σύμφωνα με τον Andrew Leman, το Tor Project έχει αναλάβει για την ώρα το ρόλο του συμβούλου της Mozilla για θέματα που αφορούν σχετικές τεχνολογίες, ανοιχτά πρότυπα αλλά και την πιθανότητα μελλοντικών συνεργασιών.

Το πρώτο βήμα της συνεργασίας φέρνει τους μηχανικούς της Mozilla να εξετάζουν τον κώδικα του Firefox προκειμένου να κάνουν τη λειτουργία του καλύτερη, κάτι πολύ σημαντικό αφού το Tor βασίζεται σε κώδικα του Firefox.

Στη συνέχεια η Mozilla θα αναλάβει τη φιλοξενία των δικών της Tor middle relays κάτι που ανανμένεται να κάνει πιο γρήγορες παγκοσμίως τις συνδέσεις Tor.

Μάλιστα η εταιρεία δε διστάζει να αναφέρει ότι δοκιμάζει ήδη ένα νέο χαρακτηριστικό το οποίο θα προστατεύει τους χρήστες που θέλουν την ανωνυμία τους, χωρίς όμως να δημιουργείται πρόβλημα στους διαφημιστές και στις ιστοσελίδες περιεχομένου που σέβονται τις ρυθμίσεις του χρήστη.

Ίσως τα παραπάνω οδηγήσουν και στην εμφάνιση αποκλειστικού κουμπιού Tor στο Firefox κάτι που θα κάνει πιο εύκολη την όλη διαδικασία. Για την ώρα πάντως από τις κινήσεις έκπληξη της χρονιάς γύρω από την προστασία του προσωπικού απορρήτου, συγκαταλέγεται η υποστήριξη του Tor από το Facebook.

Ξεκίνησαν τη Δευτέρα οι προπαραγγελίες για το Blackphone, ένα κινητό τηλέφωνο που υπόσχεται να προστατεύσει τους καχύποπτους χρήστες από τις παρακολουθήσεις της NSA. Οι παραδόσεις, όμως, θα αρχίσουν τον Ιούνιο.

Η «ασφαλής» συσκευή αναπτύχθηκε από τις εταιρείες Silent Circle και Geeksphone, οι οποίες δηλώνουν ότι το Blachphone είναι «το πρώτο smartphone του κόσμου που βάζει την ιδιωτικότητα και τον έλεγχο των δεδομένων απευθείας στα χέρια των χρηστών του.

Το Blackphone κοστίζει 629 δολάρια και τρέχει μια «πειραγμένη» έκδοση του Android, καθώς και εφαρμογές για κρυπτογραφημένες κλήσεις με συμβατές συσκευές. Προσφέρει επίσης μια ποικιλία εφαρμογών υψηλής ασφάλειας, όπως λογισμικό που επιτρέπει τη διαγραφή των δεδομένων στην περίπτωση κλοπής.

Προφανώς, το Blackphone επιχειρεί να κεφαλαιοποιήσει την παράνοια, ή τον δικαιολογημένο φόβο, που προκάλεσαν οι αποκαλύψεις Σνόουντεν για παρακολουθήσεις ηγετών και πολιτών από την αμερικανική υπηρεσία πληροφοριών NSA.

Στη Γερμανία, αναφέρει η εφημερίδα Süddeutsche Zeitung, πολλοί χρήστες του WhatsApp για αποστολή φωτογραφικών μηνυμάτων εγκαταλείπουν τη δημοφιλή υπηρεσία μετά την εξαγορά της από τη Facebook για το αστρονομικό ποσό των 19 δισ. δολαρίων.

Οι καχύποπτοι χρήστες στρέφονται τώρα στο αντίστοιχο app της νεοσύστατης ελβετικής εταιρείας Threema, το οποίο προσφέρει λειτουργία κρυπτογράφησης.

H εφημερίδα Der Spiegel αναφέρει ότι η Βρετανική Υπηρεσία Κατασκοπίας GCHQ δημιούργησε ψεύτικες σελίδες LinkedIn και Slashdot  για να “εμφυτεύσει” malware στη Belgacom, μια βελγική εταιρία τηλεπικοινωνιών.
 
Η αποκάλυψη έγινε κατόπιν αρχείων που είχαν διαρρεύσει μέσω του Edward Snowden. Στις 20 Σεπτεμβρίου η Der Spiegel αποκάλυψε ότι η GCHQ εισέβαλε ηλεκτρονικά στην Belgacom ως σχέδιο ενός μυστικού project με την ονομασία "Operation Socialist".
 
Τα έγγραφα έκαναν λόγο για την μέθοδο της "κβαντικής εισαγωγής", ωστόσο μόλις χθες έγιναν γνωστές οι πληροφορίες για χρησιμοποίηση σελίδων LinkedIn και Slashdot για την πραγματοποίηση της επιχείρησης και την παρακολούθηση των ανυποψίαστων εργαζομένων της εταιρείας, οι browsers των οποίων αναδρομολογούνταν σε ψεύτικα sites μέσω των οποίων τους "εμφύτευαν" malware για να τους αποσπούν πληροφορίες.
 
Εκπρόσωπος της LinkedIn δήλωσε στην εφημερίδα  Independent ότι “ποτέ δεν είχαμε λάβει γνώση για αυτήν την παράνομη δραστηριότητα και ποτέ δε θα την εγκρίναμε, ανεξαρτήτως του σκοπού της”.
 
Φαίνεται λοιπόν πως οι συγκεκριμένες πρακτικές δεν αποτελούν αρνητικό προνόμιο της NSA και οι Βρετανοί Αξιωματούχοι της Μυστικής Υπηρεσίας θα κληθούν να λογοδοτήσουν για τις δραστηριότητές τους, όπως έγινε και με τους ομόσταυλούς τους στην Αμερική.
 
Σύμφωνα με την γερμανική εφημερίδα, η GCHQ και η NSA ήταν σε θέση να κατασκοπεύουν ηλεκτρονικά και τα αρχηγεία του ΟΠΕΚ στη Βιέννη.

Eρευνητές του Πανεπιστημίου του Cambridge προειδοποιούν ότι το PIN ενός smartphone μπορεί να αποκαλυφθεί από επιτήδειους, μέσω της κάμερας και του μικροφώνου της συσκευής του χρήστη.

Χρησιμοποιώντας ένα πρόγραμμα με την ονομασία PIN Skimmer, η ομάδα των ερευνητών ανακάλυψαν ότι οι κωδικοί των PIN, που καταχωρούνται μέσω του αριθμητικού πληκτρολογίου, είναι ευάλωτοι.
 
Το πρόγραμμα παρατηρούσε τα πρόσωπα των χρηστών μέσω κάμερας και ήταν σε θέση να αναγνωρίσει τους ήχους της πληκτρολόγησης του PIN μέσω του μικροφώνου της συσκευής.
 
Τα τεστ πραγματοποιήθηκαν στις συσκευές Google Nexus-S και Galaxy S3.
 
Σύμφωνα με τους ερευνητές, το μικρόφωνο μιας συσκευής μπορεί να χρησιμοποιηθεί  για να ανιχνεύσει τις "αλληλουχίες αφής" που πραγματοποιεί ένας χρήστης μέσω του ήχου των "κουμπιών" που πατά.
 
Σε αυτή την διαδικασία βοηθάει και η κάμερα, παρακολουθώντας τις κινήσεις των ματιών του χρήστη σε συνάρτηση με τα ψηφία που εκείνος πληκτρολογεί.
 
Oι επιστήμονες δήλωσαν έκπληκτοι από την ακρίβεια με την οποία “μάντευαν” ποια πλήκτρα πατούσε ο εκάστοτε χρήστης.

Κάτι που για πρώτη φορά ακούσαμε από τη Regina Dugan της Motorola έρχεται τώρα να επιβεβαιώσει η Proteus Digital Health η οποία αναπτύσσει χάπια που περιέχουν ένα μικροσκοπικoύς αισθητήρες που σου επιτρέπουν να ξεκλειδώνεις το smartphone σου με ένα άγγιγμα.

Το χάπι έχει λάβει από πέρυσι την έγκριση της FDA, περιέχει μόνο μαγνήσιο και χαλκό και δε διαθέτει μπαταρία αλλά τροφοδοτείται από τα οξέα του σώματος.

Ένα δεύτερο χάπι παρασκευάζεται από την HQ και ακούει στο όνομα CorTemp Ingestible Core Body Temperature Sensor με βασική διαφορά ότι διαθέτει ενσωματωμένη μπαταρία και μεταφέρει ασύρματα και σε πραγματικό χρόνο πληροφορίες για την θερμοκρασία σώματος του χρήστη καθώς ταξιδεύει μέσω του πεπτικού σωλήνα.

Το CorTemp έχει χρησιμοποιηθεί σε επαγγελματίες ποδοσφαιριστές, στρατιώτες και αστροναύτες για την παρακολούθηση της θερμοκρασίας τους σε αγώνες και αποστολές.

Δυστυχώς η δράση των “μαγικών” χαπιών κρατά μόλις 24 ώρες κάτι που αυτομάτως καταργεί την ευκολία που θα προσέφεραν στην καθημερινότητά μας (ξεκλείδωμα smartphones, υπολογιστών, αυτοκινήτου, σπιτιού μόνο με το σώμα μας), ενώ και η τιμή τους για την ώρα ($46) είναι απαγορευτική.

Two weeks ago, when technology companies were accused of indiscriminately sharing customer data with government agencies, Apple issued a clear response: We first heard of the government’s “Prism” program when news organizations asked us about it on June 6. We do not provide any government agency with direct access to our servers, and any government agency requesting customer content must get a court order.

Like several other companies, we have asked the U.S. government for permission to report how many requests we receive related to national security and how we handle them. We have been authorized to share some of that data, and we are providing it here in the interest of transparency.

From December 1, 2012 to May 31, 2013, Apple received between 4,000 and 5,000 requests from U.S. law enforcement for customer data. Between 9,000 and 10,000 accounts or devices were specified in those requests, which came from federal, state and local authorities and included both criminal investigations and national security matters. The most common form of request comes from police investigating robberies and other crimes, searching for missing children, trying to locate a patient with Alzheimer’s disease, or hoping to prevent a suicide.

Regardless of the circumstances, our Legal team conducts an evaluation of each request and, only if appropriate, we retrieve and deliver the narrowest possible set of information to the authorities. In fact, from time to time when we see inconsistencies or inaccuracies in a request, we will refuse to fulfill it.

Apple has always placed a priority on protecting our customers’ personal data, and we don’t collect or maintain a mountain of personal details about our customers in the first place. There are certain categories of information which we do not provide to law enforcement or any other group because we choose not to retain it.

For example, conversations which take place over iMessage and FaceTime are protected by end-to-end encryption so no one but the sender and receiver can see or read them. Apple cannot decrypt that data. Similarly, we do not store data related to customers’ location, Map searches or Siri requests in any identifiable form.

We will continue to work hard to strike the right balance between fulfilling our legal responsibilities and protecting our customers’ privacy as they expect and deserve.

http://www.apple.com/apples-commitment-to-customer-privacy/

Apple's user-privacy standards are abysmal compared to its peers, and so is its refusal to explain them. Maybe you don't care. Here's why you should.

AThe next time you're thinking about buying a new smartphone, there's one more spec you might want to consider. If the FBI or the IRS wants to read your texts, will Apple hand them over? Would it require the feds to get a warrant first? And would it even bother to let you know that federal agents made the request in the first place?

If you're looking at a shiny new iPhone, the answers are not comforting. 

The Electronic Frontier Foundation's latest digital privacy report, Who's Got Your Back?, awards Apple its secondthe Electronic Frontier Foundation gives Apple a paltry one out of six stars. While Apple got credit for supporting efforts to defend users by modernizing electronic privacy laws, its apparent willingness to hand over your personal information to the government without a warrant and its failure to tell its users how it handles such requests put it in the dock.

Worse Than Comcast: Apple's Privacy Black Box

Apple came off much, much worse than most of its peers — here defined as major non-ISP mobile-computing players. Apple fared worse than Amazon (two stars), Facebook (three), Microsoft (four) and Google (five). Even Comcast, the cable conglomerate consumers love to hate, scored one star higher than Apple. 

The EFF chides Apple for not publishing a transparency report as companies like Google and Twitter do. Without that, users have no idea what kinds of information the government asks for, because Apple won't tell them, nor does it let them know what its guidelines are for dealing with law enforcement data requests. 

(See also: EFF: Twitter Scores, Verizon Fails At Protecting User Privacy)

Apple certainly wasn't the worst-ranked company overall. The major telcos and ISPs almost always get raked over coals on privacy. In this report, Verizon got no stars, while AT&T racked up a grand total of one. MySpace also got no stars and Yahoo only got one. Amazon's showing is also pretty disappointing, especially considering its vast storehouse of consumer-purchase data and its rumored plans to enter the smartphone market. 

But Apple dominates mobile computing in a way few other companies do. And as the proprietor of a mobile operating system that runs on more than half a billion devices, Apple has its hands on a lot of data. Its approach to privacy matters to an awful lot of people — and its lousy performance is a big deal considering how deeply its devices are embedded into our lives.

That integration is only getting deeper as Apple prototypes wearable devices and dreams up more screens to dominate. 

Not Just A Computer Company Anymore 

It's not all together shocking that Apple has some catching up to do in the privacy realm. Until recently, it didn't deal with all that much information about its customers. For most of its history, the company was called Apple Computer, because that's what it sold: computers.

In the early days, the only way for the government to snoop through your MacIntosh was to get a warrant to search your apartment. Today's Apple's computers are smaller, constantly connected to the Internet and, increasingly reliant on iCloud to sync and share data across devices.

Whereas Google has been handling (and profiting from) user data since day one, Apple is only just getting started. If you use iCloud, its servers house your calendars, email, photos, notes and any other data you choose to feed it. If you're using iOS 5 or higher, you're also entrusting Apple with whatever percentage of your personal text messages go through its iMessage protocol.

To its credit, Apple built iMessage using end-to-end encryption that makes its harder for others to snoop on the contents of messages. Of course, if the FBI — or the local cops — really want to know what you're iMessaging back and forth, they can go directly to Apple, with or without a warrant. 

Of course, if the texts in question aren't iMessages, the authorities could just do what they've always done: Ask the mobile data provider to see them. Such requests have seen a dramatic uptick in recent years, and the major ISPs don't approach them with the same level of transparency that a company like Twitter or Sonic.net would. 

Why Consumers Should Care

Apple has never been lauded for having a forward-thinking and open approach to user privacy issues. That hasn't stopped millions of people from trying to predict the company's next gadget and then eagerly standing in line to purchase it. 

Part of that may have to do with awareness. Digital privacy reports excite a certain breed of data nerd (OK, guilty as charged), but they don't approach the media attention lavished on Apple product announcements. Nor is the EFF's chart plastered all over billboards, bus stops and television sets. 

Even for those of you who already knew that Apple doesn't treat your privacy with kid gloves, the risk of the government peeking into law-abiding texts and calendars is too remote to worry about. To some, this is just a side effect of the hyper-connected, digitally-immersed society we're becoming. Even if they don't particularly like it, it's just not their battle to fight. 

Trouble is, that sort of complacency puts no pressure on Apple to get more proactive about keeping your digital life safe from prying eyes.

If you fall in this category, you might still luck out, of course. Even if there's some major privacy gaffe down the line, it might not affect you. And if you're fortunate, IRS agents aren't currently reading your Apple email or iMessages, looking for possible evidence of tax evasion.

But given Apple's current practices in this regard, if they are, you'd never know. Maybe ignorance really is bliss.

Πηγή: readwrite

Apple violates German data protection law by asking for users’ broad, overall consent in its privacy policy, the Regional Court of Berlin ruled.

Apple’s terms for sharing personal information with the company are too broadly formulated, the court ruled on April 30, according to a verdict published by the Federation of German Consumer Organisations (VZBV) on Tuesday.

The VZBV demanded in 2011 that Apple Sales International should stop using unfair contractual clauses in its privacy policy as posted on its German website, said Helke Heidemann-Peuser, a lawyer and head of the VZBV’s legal enforcement section. After this warning, Apple committed to change five of those clauses, but this was not enough, which is why the VZBV decided to sue Apple in February 2012, she said.

After Apple was sued, the company committed to change two more clauses, after which the lawsuit continued over the eight remaining disputed clauses, said Heidemann-Peuser. The court found that Apple violates the law with all those clauses, she added.

In its German privacy policy, which is similar to the one used in the U.S., Apple states for instance that when someone contacts Apple and its affiliates, they may share information about that person with each other. Apple also states that this information may be combined with other information to provide and improve products, services, content and advertising.

This clause violates the law because customers are unaware which data is used and to what extend, the court ruled, according to the VZBV.

Another problematic clause gives Apple the right to collect the information someone provides about friends and family such as name, mailing address, email address and phone number when someone sends a gift certificate or products or invites others to join a user on an Apple forum, Heidemann-Peuser said. This is illegal because Apple would need consent from the third party to process this data, she said.

Apple also states that it may collect, use and share precise location data, including the real-time geographic location of a users’ Apple computer or device, in order to provide location based services like advertising on Apple products. The data, as collected, is anonymous, according to Apple’s policy. However, when location-based services are used, the data can always be traced back to an individual, according to the court, so this clause was also prohibited.

Apple now needs to change these clauses, said Heidemann-Peuser. “They need to be very specific,” she said, adding that Apple needs to ask for users’ explicit consent instead of letting them agree to an overly broad privacy policy.

However, the company does not need to do so immediately because Apple can appeal the verdict, which the VZBV expects the company to do.

Apple did not reply to a request for comment.

Πηγή: MacWorld

Το δημοφιλέστερο κοινωνικό δίκτυο στον κόσμο εντόπισε ένα νέο κενό ασφαλείας στα συστήματα του που εξέθεσε προσωπικά δεδομένα των χρηστών του όπως διευθύνσεις email και τηλέφωνα.

Το bug εντοπίστηκε σε ένα εργαλείο downloading του Facebook με την ονομασία “Download Your Information” το οποίο παρέχει στους χρήστες ένα πλήρες ιστορικό των δεδομένων τους όπως φωτογραφίες, video, δημοσιεύσεις και προσωπικές πληροφορίες.

Το πρόβλημα προήλθε από τον τρόπο με τον οποίο το κοινωνικό δίκτυο προσπαθεί να συνδέσει τους χρήστες του με τις επαφές τους από τα Gmai, Yahoo και άλλες υπηρεσίες, συγχωνεύοντας τες με τις πληροφορίες των επαφών τους στο Facebook.

Η Facebook ανακοίνωσε ότι περίπου 6 εκατομμύρια διευθύνσεις email και τηλεφωνικοί αριθμοί βρέθηκαν εκτεθειμένοι σε άλλους χρήστες του Facebook (όχι developers ή διαφημιστές) ωστόσο άλλες προσωπικές ή οικονομικές πληροφορίες δε διέρρευσαν.

Αυτή τη στιγμή το κοινωνικό δίκτυο απομάκρυνε το bug αφού όμως είχε παραμείνει ενεργό για περισσότερο από μια εβδομάδα.

Μετά την υπόθεση παρακολούθησης PRISM στις HΠA που τράβηξε τα φώτα της δημοσιότητας, το Reuters αποκαλύπτει ένα εκτεταμένο πλάνο παρακολούθησης από την κυβέρνηση της Ινδίας.

Σύμφωνα με το δημοσίευμα του ειδησεογραφικού πρακτορείου που επικαλείται ανώνυμες πηγές, οι υπηρεσίες ασφαλείας αλλά και οι φορολογικές αρχές (!) τής Ινδίας, θα έχουν πρόσβαση στα email των χρηστών στις τηλεφωνικές κλήσεις, ακόμη και τα SMS, χωρίς άμεση επίβλεψη από το κοινοβούλιο της χώρας.

Επιπλέον, οι αρχές θα μπορούν να παρακολουθούν τις δημοσιεύσεις στο Facebook, το  Twitter και το LinkedIn, όπως επίσης και τις αναζητήσεις που κάνουν οι χρήστες στη μηχανή αναζήτησης της Google.

Υψηλόβαθμο στέλεχος υπουργείου φέρεται να δήλωσε πως η ασφάλεια της χώρας είναι πολύ σημαντική και πως όλες οι χώρες έχουν αντίστοιχα προγράμματα επιτήρησης, για την προστασία των πολιτών και της χώρας από εγκληματικές και τρομοκρατικές ενέργειες.

Η κυβέρνηση της Ινδίας είχε κάνει γνωστές τις προθέσεις της ήδη από το 2009, προτείνοντας το "Centralized Monitoring System" (CMS) ως μέσο για την αύξηση της ασφάλειας στη χώρα.

Πριν από μερικές μέρες ήρθε στην επιφάνεια ένα νέο πρωτοφανές σκάνδαλο σύμφωνα με το οποίο οι μεγαλύτεροι διαδικτυακοί κολοσσοί όπως οι Google, Facebook, Microsoft, Yahoo, Apple κ.α. υποχρεούνται να μοιράζονται τα δεδομένα που αφορούν τις ηλεκτρονικές επικοινωνίες των χρηστών τους με την NSA και το FBI βάσει του μυστικού προγράμματος PRISM.

Τέτοια σενάρια κυκλοφορούσαν εδώ και πολλά χρόνια, για πρώτη φορά όμως στη δημοσιότητα δόθηκαν χειροπιαστές αποδείξεις ότι οι αμερικανικές υπηρεσίες ασφαλείας αντλούν μαζικά πληροφορίες από τους servers των προαναφερθεισών εταιρείων.

Η στάση της Google

Ενώ αρχικά -όπως και οι περισσότερες εταιρείες- η Google αρνήθηκε την ύπαρξη οποιασδήποτε συμφωνίας με τους δύο κυβερνητικούς φορείς, αργότερα άλλαξε στάση και αποφάσισε να μιλήσει ευθέως για το πώς παρέχει πρόσβαση στα δεδομένα των χρηστών της.

Σύμφωνα με τα όσα αποκάλυψε ο εκπρόσωπος τύπου της εταιρείας, Chris Gaither, ο κολοσσός της αναζήτησης δεν παρέχει απευθείας πρόσβαση στους servers της αλλά έχει έναν αποκλειστικό dropbox server για την NSA όπου τα αρχεία μεταφέρονται μέσω FTP, ενώ πιο σπάνια τα αρχεία εκτυπώνονται και παραδίδονται χέρι-με-χέρι.

Εν συνεχεία, η Google ζήτησε από τον Γενικό Εισαγγελέα των ΗΠΑ, Eric Holder, και τον Διευθυντή του FBI, Robert Mueller, να της επιτρέψουν να δώσει στη δημοσιότητα όλες τις εντολές που έχει λάβει από την κυβέρνηση σχετικά με το μυστικό πρόγραμμα PRISM. Όπως αναφέρει στην επιστολή της, σκοπός της είναι να αποσαφηνίσει στην κοινή γνώμη ότι η ανάμειξη της δεν είναι τόσο μεγάλη όσο αναφέρουν τα μέχρι τώρα δημοσιεύματα.

Ποιούς αφορά το PRISM;

Mπορεί το PRISM να σχετίζεται με τις επικοινωνίες που πραγματοποιούνται εντός των ΗΠΑ, αυτό όμως δε σημαίνει ότι αποτελεί αμερικανική υπόθεση και δεν αφορά την Ευρώπη. Άλλωστε, όσο χρησιμοποιούμε υπηρεσίες αμερικανικής προελεύσεως και επικοινωνούμε με κατοίκους των ΗΠΑ, δεν μπορούμε σε καμία περίπτωση να θεωρούμε ότι παραμένουμε ανεπηρέαστοι.

Προκειμένου να ξεκαθαρίσει το θολό τοπίο, η Ευρωπαία Επίτροπος Viviane Reding ζήτησε διευκρινίσεις σχετικά με το PRISM και άλλα τυχόν “μυστικά” προγράμματα παρακολούθησης μέσα από επιστολή που απέστειλε στον Eric Holder. Ανάμεσα στα ερωτήματα που έθιξε ήταν αν το πρόγραμμα στοχεύει και σε πολίτες της Ευρωπαϊκής Ένωσης, σε τι είδους δεδομένα έχουν πρόσβαση οι αμερικανικές αρχές και πώς μπορεί κανείς να αποτρέψει την παρακολούθηση των επικοινωνιών του. Η Ευρωπαία Επίτροπος αναμένεται να συναντηθεί εντός των ημερών με τον Eric Holder στο Δουβλίνο για να συζητήσουν από κοντά όλα αυτά τα καίρια ζητήματα.

Άλλωστε, εκτός από τις ΗΠΑ πολλές είναι οι χώρες που ζητούν από τις τεχνολογικές εταιρείες να τους παρέχουν δεδομένα για τους χρήστες τους, με τρανά παραδείγματα τη Μ. Βρετανία, τη Γαλλία, τη Γερμανία, την Τουρκία.

Από την άλλη πλευρά, πολλά είναι και τα μέλη της ΕΕ που αντιδρούν στο PRISM αναφέροντας ότι έρχεται ενάντια στη νομοθεσία τους και ζητώντας από την Ευρωπαϊκή Επιτροπή να μεσολαβήσει, με πρώτη και κύρια τη Φινλανδία.

Τι με πειράζει αν δεν έχω κάτι να κρύψω;

Ορισμένοι ίσως αναρωτιούνται τι το τόσο κακό μπορεί να σου κάνει το PRISM εάν δεν έχεις κάτι να κρύψεις. Το θέμα είναι ότι ο καθένας έχει κάτι να κρύψει ακόμα και αν δεν αφορά κάποια εγκληματική ή τρομοκρατική ενέργεια και θα πρέπει να αποτελεί αναφαίρετο δικαίωμα του να μπορεί να προστατεύει την ιδιωτικότητα και τα προσωπικά του δεδομένα. Με άλλα λόγια, ακόμα και αν δεν έχεις κάτι να κρύψεις και ουδέποτε κάποιος ασχοληθεί με τις τηλεφωνικές συνομιλίες, τα μηνύματα και τα emails σου, εσύ θα πρέπει να ζεις με τη σκέψη ότι κάτι τέτοιο μπορεί ανά πάσα στιγμή να συμβεί.

Ποιοι επωφελούνται από το PRISM;

Είναι προφανές ότι αυτές που επωφελούνται κυρίως είναι οι εταιρείες κρυπτογράφησης, αφού οι χρήστες αντιλαμβάνονται πλέον τον κίνδυνο και στρέφονται προς τα προϊόντα τους. Εταιρίες όπως οι Silent Circle, GNUPG και Cryptocat παρέχουν κρυπτογράφηση end-to-end, κάτι που σημαίνει ότι για να αποκτήσει κάποιος πρόσβαση στα δεδομένα σας θα πρέπει να τη ζητήσει απευθείας από εσάς τους ίδιους.

Πώς μπορώ να προστατεύσω τα δεδομένα μου;

Δυστυχώς αν θέλετε να διατηρήσετε τα δεδομένα σας ασφαλή θα πρέπει να ξεχάσετε τις συνομιλίες από smartphones, τις αναζητήσεις στη μηχανή της Google, τις επισκέψεις στο Facebook, τα Skype, YouTube, Gmail, Yahoo Mail και Google Drive και να αναζητήσετε άλλες λιγότερο διαδεδομένες εναλλακτικές. Ειδάλλως θα πρέπει να ελπίζουμε ότι οι αντιδράσεις περισσότερων από 85 μεγάλων οργανισμών και της συντριπτικής πλειοψηφίας των απλών χρηστών θα αποδειχτούν ικανές να δώσουν τέλος στο μυστικό πρόγραμμα παρακολούθησης των ΗΠΑ…

Την πρώτη κιόλας μέρα του έτους η Google (Google Drive) σε συνεργασία με τις HelloFax, HelloSign, Expensify, Fujitsu Scansnap, Manilla και Xero εγκαινίασαν τη νέα καμπάνια Paperless 2013, φιλοδοξώντας μέσα στο 2013 να δώσουν τέλος στον τεράστιο όγκο χαρτιού που καταναλώνεται κάθε χρόνο.

Μπορεί σήμερα να εκτυπώνουμε πολύ λιγότερο συγκριτικά με μια δεκαετία πριν, αλλά σύμφωνα με το U.S. Environmental Protection Agency, ένας υπάλληλος γραφείου κάνει κατά μέσο όρο χρήση 10.000 φύλλων χαρτιού το χρόνο!

Αυτή τη στιγμή υπάρχουν εκατοντάδες εναλλακτικές λύσεις στη χρήση χαρτιού, από τις cloud υπηρεσίες αποθήκευσης εγγράφων (Google Drive, SkyDrive, Dropbox κ.α.) μέχρι τις online κρατήσεις και πληρωμές λογαριασμών, τις εφαρμογές κουπονιών και προσφορών και πολλά άλλα.

Όπως αναφέρεται στην ιστοσελίδα, στόχος της νέας καμπάνιας είναι να “σώσει χρόνο, χρήμα και δέντρα”. Όλες τις υπηρεσίες που στόχο έχουν να συμβάλλουν στην προσπάθεια αυτή θα βρείτε στο http://www.paperless2013.org .

You might think that the remote vehicle "start" capabilities offered through some car companies, like OnStar via General Motors, for example, is a "cool" thing to have. If so, realize this: A company that can remotely start your vehicle and unlock your door can also remotely shut you out of it or shut it down completely, especially if forced to do so by authorities (who may or may not have a court order to do so). That kind of technology works both ways, so to speak.

That's an important thing to consider, given the fact that Apple, Inc., was recently granted a patent enabling the company to wirelessly disable the camera function on specific iPhones in certain locations, "sparking fears that such techniques could be used to prevent citizens from communicating with each other or taking video during protests or events such as political conventions and gatherings," PrisonPlanet.com reported.

In this electronic day and age, just about all of us are aware that cellphone-generated video is easy to take and easy to upload to an audience of millions within moments. Most of us have seen the cellphone video of a fight or a confrontation or another impactful incident involving civilians and authorities. It's a powerful medium that very often offers a point of view not available to the mainstream media - but carried by them, nonetheless.

That may all be about to change.

Freedom is not a given

Theoretically, according to U.S. Patent No. 8,254,902, published recently, "apparatus and methods of enforcement of policies upon a wireless device" could be implemented with the flick of an electronic switch.

According to the patent:

Apparatus and methods for changing one or more functional or operational aspects of a wireless device, such as upon the occurrence of a certain event. In one embodiment, the event comprises detecting that the wireless device is within range of one or more other devices. In another variant, the event comprises the wireless device associating with a certain access point. In this manner, various aspects of device functionality may be enabled or restricted (device "policies"). This policy enforcement capability is useful for a variety of reasons, including for example to disable noise and/or light emanating from wireless devices (such as at a movie theater), for preventing wireless devices from communicating with other wireless devices (such as in academic settings), and for forcing certain electronic devices to enter "sleep mode" when entering a sensitive area.

What that means is, an encoded signal could possibly be transmitted to all wireless devices entering "a sensitive area" (and who defines what that is?) which would command them to disable all recording functions.

Feeling safer now?

The fear, obviously, is that this capability can and will be used by authorities at given times to control what you can and cannot document on your personal device, based on their whims and needs.

Not a good development for those who love freedom.

Just when technology was set to make more of the world instantly accessible...

This development comes on top of an innovation by technology companies to make wireless connectivity a major component of the latest cameras; this would not bode well for photographers and citizen journalists who are already having their first and fourth amendment rights trampled.

Says Michael Zhang at the tech site Peta Pixel:

"If this type of technology became widely adopted and baked into cameras, photography could be prevented by simply setting a 'geofence' around a particular location, whether it's a movie theater, celebrity hangout spot, protest site, or the top secret rooms at 1 Infinite Loop, Cupertino, California."

The same site offers some soothing advice as well:

"Companies often file patents for all kinds of random technologies that never end up seeing the light of day, so you shouldn't be too concerned about this latest document. It's just a warning of what the future could potentially hold."

Knowledge is power. We'll be keeping an eye on this development for our readers.

Sources:

http://www.naturalnews.com/037220_iPhone_recordings_patent.html

http://www.prisonplanet.com/apple-granted-patent-to-disable-cameras-according-to-location.html

http://www.petapixel.com/2012/08/30/apple-moves-a-step-closer-to-location-based-camera-disabling/

http://patft.uspto.gov/netacgi/nph-Parser?Sect1=PTO2&Sect2=HITOFF&u=
%2Fnetahtml%2FPTO%2Fsearch-adv.htm&r=36&p=1&f=G&l=50&d=PTX
T&S1=%2820120828.PD.+AND+Apple.ASNM.%29&OS=ISD/20120828+
AND+AN/Apple&RS=%28ISD/20120828+AND+AN/Apple%29

Η κίνηση των υπηρεσιών διαμοιρασμού αρχείων όπως το BitTorrent, είναι δεδομένο πως παρακολουθείται από διάφορες εταιρείες, για λογαριασμό της μουσικής και κινηματογραφικής βιομηχανίας.
 
Ερευνητές από το Πανεπιστήμιο του Μπέρμπινχαμ της Αγγλίας, ανακάλυψαν πως η παρακολούθηση μπορεί να ξεκινήσει μέσα σε λίγες ώρες, από τη στιγμή που κάποιος ξεκινήσει να κατεβάζει δημοφιλές υλικό.
 
Οι ερευνητές ανέπτυξαν software που προσομοιώνει τη συμπεριφορά ενός BitTorrent client και κατόπιν παρατήρησαν και κατέγραψαν τις συνδέσεις που έγιναν σε αυτό. Περίπου 40% των συνδέσεων έγιναν μέσα στις πρώτες 3 ώρες, ενώ η πιο αργή σύνδεση προγραμμάτων παρακολούθησης, έγινε μετά από 33 ώρες.
 
"Ο μέσος χρόνος μειώνεται όσο τα torrents βρίσκονται πιο ψηλά στη λίστα των δημοφιλέστερων, κάτι που σημαίνει πως η διαδικασία των παρακολουθήσεων των downloads, εξαρτάται άμεσα από το πόσο δημοφιλές είναι το υλικό", σημείωσαν οι ερευνητές.
 
Τα στοιχεία που συλλέγονται πάντως, φαίνεται πως δεν είναι αξιοποιήσιμα στο να στηρίξουν κατηγορητήριο, αφού σύμφωνα με τα δεδομένα της έρευνας, τα διάφορα προγράμματα παρακολούθησης συνδέονταν μεν στον client και διαπίστωναν πως υπήρχε δραστηριότητα διαμοιρασμού, δεν κατέγραφαν όμως τα αρχεία που μοιράζονταν.
 
Μεταξύ όσων παρακολουθούν τη δραστηριότητα του file-sharing, βρίσκονται οργανισμοί προστασίας πνευματικών δικαιωμάτων, εταιρείες ασφαλείας, αλλά και κυβερνητικά εργαστήρια ερευνών.
 
Σχεδόν όλοι όσοι κατεβάζουν και μοιράζονται δημοφιλείς ταινίες και μουσική είναι καταγεγραμμένοι.
 
Πρέπει να σημειώσουμε εδώ, πως όσα δήλωσαν οι ερευνητές είναι μάλλον αντικρουόμενα. Από τη μία, τα προγράμματα παρακολούθησης ανιχνεύουν τα αρχεία που μοιράζονται και με βάση το πόσο δημοφιλή είναι, ξεκινούν την παρακολούθηση και την καταγραφή των στοιχείων του χρήστη. Άρα γνωρίζουν τί μοιράζεται. Υποστηρίζουν όμως επίσης, πως τα προγράμματα διαπιστώνουν τη δραστηριότητα αλλά δεν καταγράφουν τα αρχεία.
 
Αφού γνωρίζουν ήδη τί διαμοιράζεται, τι σημαίνει "δεν το καταγράφουν";

Μια απόφαση-βόμβα του Δικαστηρίου των Ευρωπαϊκών Κοινοτήτων ανατρέπει τα δεδομένα στην αέναη μάχη των "πειρατών" με τις εταιρείες που προστατεύουν τα πνευματικά δικαιώματα. Η εν λόγω απόφαση ενδέχεται να αποτελέσει πρόκριμα για τις μελλοντικές εξελίξεις.
 
Όλα ξεκίνησαν το 2004, όταν ο βελγικός φορέας SABAM που εκπροσωπεί μουσικές εταιρείες προσέφυγε στη δικαιοσύνη κατά του παρόχου Internet με την επωνυμία Scarlet, αξιώνοντας να απαγορευτεί η ανταλλαγή αρχείων που προστατεύονται από πνευματικά δικαιώματα. Πρωτοδίκως, ο SABAM δικαιώθηκε, η Scarlet όμως προσέφυγε στο Ευρωπαϊκό Δικαστήριο.
 
Οι ευρωπαϊκοί θεσμοί έκριναν τελικά ότι το φιλτράρισμα του περιεχομένου αντίκειται στη ντιρεκτίβα E-Commerce και άρα δε μπορεί να εφαρμοστεί. Στο σκεπτικό της απόφασης αναφέρεται ότι τέτοια μέτρα επηρεάζουν την ομαλή λειτουργία των ISPs, καθώς είναι υποχρεωμένοι να "εγκαταστήσουν σύνθετα, ακριβά και μόνιμα συστήματα με δικά τους έξοδα". Με άλλα λόγια, η εφαρμογή μιας τέτοιας απόφασης δεν επιτρέπει στην εκάστοτε εταιρεία να προσφέρει υπηρεσίες με τον τρόπο που αυτή επιθυμεί.
 
Το Ευρωπαϊκό Δικαστήριο υποστηρίζει ότι οι providers υποχρεούνται να μπλοκάρουν συγκεκριμένα sites όταν υπάρχει απόφαση από εθνικό δικαστήριο, δε μπορούν να υποχρεωθούν, όμως, να παρακολουθούν την κίνηση των πελατών τους. Είναι σαφές ότι το Δικαστήριο επιχειρεί να κρατήσει λεπτές ισορροπίες, οι οποίες πάντως είναι θετικές για τους "πειρατές" σε σύγκριση με την έως τώρα τάση για ολική απαγόρευση της παράνομης διακίνησης με κάθε μέσο.
 
Μένει να δούμε αν η απόφαση αυτή μπορεί να ανατρέψει δεδομένα όπως ο "νόμος των τριών χτυπημάτων" στη Γαλλία. Ο πόλεμος θα έχει συνέχεια...

Ένα λογισμικό για την ανάκτηση των Σειριακών Αριθμών και των Κωδικών Πιστοποιήσεως των Λογισμικών σας.

Ανακτά το serial number των iPods, iPads και iPhones που έχετε συνδεδεμένα με την υπηρεσία iTunes, ιδιαιτέρως χρήσιμη δυνατότητα σε περίπτωση κλοπής της συσκευής, προκειμένου να συμπεριληφθεί στην αναφορά σας προς την Αστυνομία.

Λειτουργεί σε Mac OS X 10.5 ή νεώτερο Mac OS.

Κατεβάστε το απο εδώ: http://mac-product-key-finder.com

To FBI απάντησε στους AntiSec/Anonymous δηλώνοντας ότι «δεν υπάρχουν αποδείξεις ότι υπήρξε παραβίαση σε λάπτοπ ειδικού πράκτορά της, ή ότι το FBI αναζήτησε ή κατείχε λίστα» περισσότερων από 12 εκατομμυρίων «ταυτοτήτων» iPad, iPhone και iPod touch μαζί με στοιχεία πολλών κατόχων.

«Πριν όμως τα αρνηθείτε όλα, θυμηθείτε ότι καθόμαστε πάνω σε ακόμα 3 TB δεδομένα», λένε οι Anonymous μέσω Twitter.

Το thenextweb.com παρέχει ένα εργαλείο με το οποίο οι κάτοχοι iPad και iPhone μπορούν να ελέγξουν εάν το UDID, το username και ο τύπος της συσκευής τους βρίσκονται στην λίστα των 1.000.001 UDID που δημοσιοποιήθηκε (αν και χωρίς προσωπικά στοιχεία). Οι ενδιαφερόμενοι μπορούν να εισάγουν μόνο μέρος του UDID, μιας συμβολοσειράς με 40 αριθμούς ή/και γράμματα.

Πάντως, οι Anonymous και το κίνημα AntiSec υποστηρίζουν πως η λίστα που καταγγέλλουν ότι κατείχε ο ειδικός πράκτορας του FBI Cristopher Stangl περιείχε 12.367.232 UDID, πολλά από τα οποία είχαν προσωπικά στοιχεία (μεταξύ άλλων, αριθμό κινητού τηλεφώνου, διεύθυνση).

Aναταραχή επικρατεί στους δικτυακούς κύκλους καθώς η ομάδα ακτιβιστών χάκερ AntiSec δημοσίευσε στο διαδίκτυο 1.000.001 UDID από συσκευές της Apple ενώ δήλωσε πως στην κατοχή της έχει συνολικά περισσότερα από 12.000.000 UDID μαζί με τα στοιχεία των κατόχων τους καθώς και push notification tokens. Η υπόθεση αποκτά ενδιαφέρον καθώς εμπλέκεται και το FBI.

Οι AntiSec ισχυρίζονται πως βρήκαν την λίστα στο φορητό υπολογιστή ενός πράκτορα του FBI, στον οποίο απόκτησαν παράνομη πρόσβαση εκμεταλλευόμενοι ένα κενό ασφαλείας της Java.

Εδώ ξεκινούν τα ερωτήματα. Γιατί ένας πράκτορας του FBI είχε πρόσβαση σε αυτή τη λίστα; Προφανώς 12.000.000 χρήστες είναι πολλοί για να έχει για όλους ένταλμα παρακολούθησης.

Το επόμενο ερώτημα, είναι που βρήκε αυτή τη λίστα. Πιθανολογείται πως μπορεί να του την έδωσε κάποια εταιρεία που έχει πρόσβαση τουλάχιστον σε τόσες συσκευές χρηστών, μια εταιρεία που μάλλον φτιάχνει μια δημοφιλή εφαρμογή για το iPhone. Μια άλλη περίπτωση, δεδομένου των ευαίσθητων στοιχείων που περιλαμβάνουν, θα ήταν τα δεδομένα να είναι προϊόν υποκλοπής, το οποίο είναι περισσότερο ανησυχητικό.

Το FBI πάντως σε ανακοίνωσή του, αρνείται πως είχε οποιαδήποτε σχέση με τα δεδομένα που διέρρευσαν.

Ευθύνες όμως φέρει και η Apple, που παρά τις προειδοποιήσεις χρησιμοποίησε τα UDID με αυτόν τον τρόπο στις συσκευές iOS και ενθάρρυνε την χρήση τους. Ωστόσο η Apple έχει ξεκινήσει τις διαδικασίες για την απομάκρυνση του UDID από το 2011 και στο iOS 5 θεωρούνται deprecated (δηλαδή παραμένουν για λόγους συμβατότητας αλλά στο μέλλον θα καταργηθούν).

Τέλος, μεγάλο μερίδιο ευθύνης πέφτει σε εταιρείες που χρησιμοποιούν τα UDID για δουλειές για τις οποίες δεν φτιάχτηκαν, όπως πιστοποίηση των χρηστών. Σημαντικό παράδειγμα αποτελεί το OpenFeint, η δημοφιλής υπηρεσία που αποθηκεύει online τα σκορ για πάρα πολλά παιχνίδια του iOS αλλά και του Android. Το OpenFeint χρησιμοποιούσε μέχρι πριν λίγο καιρό τα UDID για να πιστοποιήσει τους χρήστες που δεν έχουν φτιάξει δικό τους account.

Οι κίνδυνοι από αυτή την διαρροή διαφέρουν από χρήστη σε χρήστη. Κάποιοι δεν θα επηρεαστούν καθόλου, κάποιοι κινδυνεύουν να δουν δεδομένα τους στα χέρια τρίτων ενώ οι πιο άτυχοι κινδυνεύουν να χάσουν τα account τους σε διάφορες σελίδες, όπως το twitter και το facebook. Κάποιοι ίσως δεχθούν και push notifications στις συσκευές τους από υπηρεσίες που δεν έχουν εγκρίνει, ενώ άλλοι ίσως δουν μέχρι και την τοποθεσία τους στο χάρτη να φτάνει στα χέρια τρίτων.

Οι ερευνητές ασφαλείας προειδοποιούν εδώ και καιρό για τους κινδύνους που επιφέρουν τεχνικές όπως το UDID αλλά τόσο οι εταιρείες λογισμικού όσο και η Apple τους αγνοούν σε μεγάλο βαθμό.

Οι AntiSec δικαιολογούν την πράξη τους από το γεγονός πως οι δημοσιογράφοι και οι χρήστες δεν δίνουν ιδιαίτερη σημασία στα ευρήματα και τις προειδοποιήσεις τους για τους κινδύνους που διατρέχουν. Τώρα όμως θεωρούν πως θα αναγκαστούν να ενδιαφερθούν.

Διαψεύδοντας τα ρεπορτάζ της Washington Post και άλλων αμερικανικών μέσων, η υπηρεσία Skype της Microsoft δηλώνει ότι οι αλλαγές που πραγματοποίησε πρόσφατα στα κέντρα δεδομένων της δεν έχουν στόχο να διευκολύνουν τις αρχές στην παρακολούθηση των κλήσεων και των μηνυμάτων των χρηστών.

Με ανάρτηση σε επίσημο εταιρικό ιστολόγιο, το Skype χαρακτηρίζει «ψευδή» τον ισχυρισμό ότι «προχώρησε σε αλλαγές της αρχιτεκτονικής του με εντολή της Μicrosoft, προκειμένου να προσφέρει στις διωκτικές αρχές μεγαλύτερη πρόσβαση στις επικοινωνίες των χρηστών του».

Η υπηρεσία ωστόσο δεν διαψεύδει ότι προσφέρει δεδομένα στην αστυνομία όταν αυτό απαιτείται από το νόμο. «Όταν ένας φορέας επιβολής του νόμου ακολουθεί την κατάλληλη διαδικασία, αποκρινόμαστε όταν αυτό απαιτείται από το νόμο και είναι τεχνικά εφικτό».

Με την τελευταία της ανακοίνωση η υπηρεσία της Μicrosoft επιχειρεί να καθησυχάσει τις φήμες και τα ρεπορτάζ σχετικά με τη συνεργασία της με την αστυνομία.

Η υπόθεση ξεκίνησε το 2009, όταν η Microsoft κατέθεσε αίτηση για δίπλωμα ευρεσιτεχνίας για μια τεχνολογία «νόμιμης υποκλοπής», η οποία «έχει τη δυνατότητα να αντιγράφει σιωπηλά την επικοινωνία μεταξύ τουλάχιστον δύο οντοτήτων». Η αίτηση αναφερόταν συγκεκριμένα «στο Skype και υπηρεσίες σαν το Skype», παρόλο που κατατέθηκε 17 μήνες πριν η Microsoft αγοράσει τελικά το Skype για 8,5 δισ. δολάρια.

Η υπόθεση απασχόλησε αυτή την εβδομάδα την Washington Post, η οποία έγραψε ότι, σύμφωνα με αξιωματούχους της κυβέρνησης και της βιομηχανίας, το Skype «επέκτεινε τη συνεργασία του με τις διωκτικές αρχές ώστε να καταστήσει τα online chat και άλλα δεδομένα των χρηστών διαθέσιμα στην αστυνομία».

Η διεύθυνση της εταιρείας δεν αρνείται ότι συνεργάζεται με τις αρχές όταν αυτό της ζητηθεί βάσει του νόμου, διαβεβαιώνει όμως ότι οι αλλαγές που πραγματοποίησε στην υποδομή της δεν ανοίγουν νέα κερκόπορτα για υποκλοπές από την κυβέρνηση.

Το λογισμικό Skype βασιζόταν παλαιότερα σε υπολογιστές των ίδιων των χρηστών προκειμένου να εντοπίζουν οι συνδρομητές του ο ένας τον άλλο και να συνδέονται για κλήση. Τώρα, όμως, οι κλήσεις δρομολογούνται μέσω κέντρων δεδομένων, ή «υπερκόμβους», τους οποίους νοικιάζει η Skype στο υπολογιστικό νέφος της Amazon και της Microsoft.

H εταιρεία διαβεβαιώνει πάντως ότι οι κλήσεις φωνής και βίντεο δεν καταγράφονται από τα κέντρα δεδομένα της εταιρείας, αφού τα δεδομένα ανταλλάσσονται απευθείας μεταξύ των χρηστών. Εξαίρεση είναι η περίπτωση τηλεδιασκέψεων με περισσότερα από δύο πρόσωπα, οπότε η κλήση πρέπει να περνά από τους διακομιστές τους για τεχνικό λόγο.

Όσον αφορά τα μηνύματα κειμένου, η ανάρτηση αναφέρει ότι ορισμένα από αυτά αποθηκεύονται στα κέντρα δεδομένων για να παραδοθούν αργότερα σε όλες τις συσκευές του παραλήπτη. Σύμφωνα με την πολιτική ασφάλειας και ιδιωτικότητας του Skype, τα στιγμιαία μηνύματα (ΙΜ) αποθηκεύονται για χρονικό διάστημα 30 ημερών κατά το μέγιστο, εκτός αν επιτρέπεται ή απαιτείται από το νόμο να γίνει διαφορετικά».

Όταν οι αρχές «ακολουθούν τις κατάλληλες διαδικασίες και μας ζητηθεί πρόσβαση σε μηνύματα που βρίσκονται προσωρινά σε διακομιστές μας, θα το κάνουμε» αναφέρει η νέα ανάρτηση, τονίζοντας όμως ότι αυτό συμβαίνει «μόνο αν απαιτείται από το νόμο και είναι τεχνικά εφικτό».

H παγκοσμίως γνωστή ομάδα Ευρωπαίων χάκερ Chaos Computer Club καταγγέλει ότι η γερμανική αστυνομία έχει σχεδιάσει έτσι το λογισμικό που, υπό όρους και δη, δικαστική εντολή, της επιτρέπει την συνακρόαση διαδικτυακών συνομιλιών ώστε να μπορεί με ευκολία να παρακολουθεί ακόμα και τα τεκταινόμενα στον ίδιο χώρο με τον υπολογιστή του φερόμενου ως ύποπτου χρήστη ενεργοποιώντας κάμερα και μικρόφωνο.

Σύμφωνα με τα όσα καταγγέλει το CCC, οι Αρχές μπορούν να ξεπεράσουν τη δικαιοδοσία τους εάν δεν υπάρχει έλεγχος. Μάλιστα προσθέτουν ότι ο σχεδιασμός του λογισμικού αυτού είναι τόσο φτωχός ώστε θα μπορούσε να γίνει αντικείμενο εκμετάλλευσης όχι μόνο από τις Αρχές αλλά και από τρίτους.

Επίσης, αναφέρουν ότι η ανάλυση που έκαναν τους οδήγησε στο συμπέρασμα ότι η κερκόπορτα που ανοίγει ο «δούρειος ίππος» των Αρχών είναι ανοικτή ακόμα και για τη μεταφορά ή τη διαγραφή αρχείων στον υπολογιστή του χρήστη, γεγονός που θέτει υπό αμφισβήτηση την μέθοδο έρευνας που έχουν υιοθετήσει οι Αρχές,  με την άδεια του Ομοσπονδιακού Συνταγματικού Δικαστηρίου, από το 2008.

Διαβάστε πως τεκμηριώνει τους ισχυρισμούς της η ομάδα Chaos Computer Club.

Εντούτοις, το "malware" που υποστηρίζει ότι έχει στα χέρια της η ομάδα δεν έχει επιβεβαιωθεί ότι ανήκει στην γερμανική κυβέρνηση, σύμφωνα με την εταιρεία αντιικού λογισμικού F-Secure, η οποία εξέτασε τον κώδικα και επιβεβαίωσε ότι περιέχει keylogger, δηλαδή καταγράφει ότι πληκτρολογεί ο χρήστης σε σειρά εφαρμογών, όπως στην εφαρμογή διαδικτυακής επικοινωνίας με φωνή, κείμενο ή βίντεο Skype, τον browser Firefox, το πρόγραμμα ανταλλαγής μηνυμάτων MSN Messenger, το ICQ και άλλα. Επίσης επιβεβαίωσε ότι μπορεί να παίρνει screenshot και να καταγράφει συνομιλίες με ήχο.

Πάντως, σύμφωνα με άρθρο στο δικτυακό τόπο faz.net γερμανικής εφημερίδας η ύπαρξη της κερκόπορτας στο trojan της γερμανικής κυβέρνησης είναι γνωστή και έχει συζητηθεί δημοσίως.


Πηγή: http://tech.in.gr/news/article/?aid=1231132416

Διαστάσεις χιονοστιβάδας τείνει να λάβει η αποκάλυψη ότι όλες οι συσκευές της Apple οι οποίες έχουν 3G, καταγράφουν με πάσα χρονική λεπτομέρεια τις γεωγραφικές συντεταγμένες των μετακινήσεων του κατόχου τους, και τις αποθηκεύουν τόσο στις συσκευές όσο και στα Αντίγραφα Ασφαλείας (Backups) που κρατά το iTunes μέσω του συγχρονισμού (Sync).

Οι αντιδράσεις είναι πολύ έντονες και οι Νομικές Επιπλοκές ενδέχεται να μετατραπούν σε άνευ προηγουμένου εφιάλτη γιά την Apple.

Αδιευκρίνιστο παραμένει μέχρι στιγμής το εάν αυτά τα δεδομένα αποστέλλονται σε πραγματικό χρόνο ή και αυτομάτως ανά τακτά χρονικά διαστήματα, από τις συσκευές προς την Apple και προς τους Υπερυπολογιστές των Μυστικών Υπηρεσιών χωρίς την συγκατάθεση του κατόχου τους, γεγονός το οποίο θεωρείται σχεδόν βέβαιο...

Got an iPhone or 3G iPad? Apple is recording your moves.
A hidden file in iOS 4 is regularly recording the position of devices.
http://radar.oreilly.com/2011/04/apple-location-tracking.html

iPhone tracking: The day after.
Analysis and criticism came in the wake of our iPhone tracking story.
http://radar.oreilly.com/2011/04/iphone-tracking-followup.html

Κατεβάστε την εφαρμογή, η οποία αποδεικνύει του λόγου το αληθές:
iPhone Tracker
http://petewarden.github.com/iPhoneTracker/