TA的每日心情 | 开心 2016-12-9 18:18 |
---|
签到天数: 85 天 连续签到: 1 天 [LV.6]常住居民II 扫一扫,手机访问本帖
|
据《洛杉矶时报》报道,此前我们或许已经听腻了苹果是如何以孤傲的姿态,拒绝FBI希望苹果帮助它破解嫌疑犯iPhone的请求,但让人万万没想到的是, 仅仅过了几个月,双方的角色就发生了完全的互换,如今轮到苹果来请求FBI的协助了。本周一,FBI宣布自己已经绕过了苹果,在第三方的帮助下成功解锁了 在圣贝纳迪诺市枪击案中的一位嫌疑人的iPhone 5c手机。但就目前看来,FBI似乎完全不想告诉苹果,它是如何绕过iPhone的安全防御系统的,而这也让苹果开始猜测,这个可能会危害到成千上万部 iPhone手机的漏洞究竟是什么?
互联网安全监控公司AVG 的产品顾问贾斯汀·奥尔森(Justin Olsson)表示:“无论如何,苹果都需要弄清楚FBI破解这部iPhone 5c手机的细节,政府应该负责任地向苹果私下透露这个漏洞,这样的话,苹果就可以继续强化iPhone的安全性。”
但事情的发展并不像我们想象的那样顺利。这次FBI破解iPhone的事件也向我们展示了一个不为人知的惯例:为了执法及反恐行动的顺利,政府常常会自己开发或是购买黑客技术,但在使用它们的时候,政府却不会告知那些被涉及到的公司。
而让此次破解事件变得与众不同的是,全世界的目光从一开始就已经被聚焦到了它的身上。
去年12月,在赛义夫·法鲁克(Syed Rizwan Farook)和他的妻子杀害了14名市民之后,政府立马公开地通过颁布法庭令,强迫苹果公司解锁法鲁克的iPhone手机。然而,苹果却拒绝执行这项指令,这加剧了存在已有的硅谷同执法部门之间的矛盾。
如今,FBI虽然已经放弃了这件同苹果对抗的案子,但它显然又陷入到了新的困境:政府是否有义务要告知科技公司关于它们的产品的漏洞?或者,执法部门是否有权将这些漏洞当作打击犯罪的武器?
对于FBI所得到的这项黑客技术是否也对其它版本的iPhone适用的这一问题,我们目前还并不清楚其答案,但一位匿名的执法人员向我们透露,这项黑客技术的应用范围是有限的。
之前,已有一些媒体援引了一些不具名人士的说法,认为以色列手机信息提取公司Cellebrite就是这次参与协助FBI破解iPhone的第三方,但无论是Cellebrite还是FBI都否认这一点。
据一位未被授权发言的相关人士的透露,FBI所获得的这项技术可以让它实现即便连续输入10次错误密码,手机也不会自动删除数据。这让FBI可以通过解锁软件去遍历所有的可能密码组合,直到它找到正确的密码。
我们目前还不清楚FBI是否从该嫌疑犯的手机里提取出了什么有用信息,当然,提取的前提是它真得存在。
苹果方面的律师正在寻求法律武器来迫使政府向它交出破解该iPhone 5c手机的细节,但截至周二前,苹果公司都并未有什么新的大动作。
就FBI来说,它可以以最关键的技术细节涉及到保密协议,被牢牢掌握在协助它的第三方公司的手里,或者说只有等到调查完全结束才可以公开等等这些理由为由,去为自己辩护。
许多专家都认为,政府没有明显的法律义务需要向苹果提交任何信息,但有像专业的安全研究员这样的权威人士认为,在一个计算机在商业和沟通过程中起着至关重要的作用的时代,我们应该避免网络安全漏洞随处可见的情况的出现。
即便是白宫的网络安全负责人也承认,在多数情况下,相比政府在私底下通过偷偷利用漏洞来协助调查所带来的安全,人们被未修补的安全问题伤害到的风险要严重得多。
目前,白宫正秘密领导一个判断企业是否会被告知其潜在漏洞的项目。
一位名为“漏洞公正处理”(Vulnerabilities Equities Process)的多部门审议机构会根据美国联邦文件,去判断保密漏洞的风险和好处。他们在权衡时会考虑政府是否能从其它途径获取信息,其他人有多大可能会发现这个漏洞等等这些问题。
一些联邦官员坚称,在多数的情况里,他们更倾向于私下将这些新发现的漏洞告知那些被涉及到的企业。
但在个别情况下,联邦机构显然也已从一些软件开发者留下的此前未知的编程疏忽中,获得了一定的利益。
虽然美国国家安全局曾一度否认,但有相关报道指出,当一些个人研究者在2014年揭露并指控FBI利用洋葱浏览器的bug来确认犯罪嫌疑人之前,美国国家安全局就已经秘密利用这个漏洞,从网站上获取敏感数据长达两年之久。
苹果的焦虑也是情有可原的,毕竟没有一家科技公司会希望看到它的产品出现任何大的安全漏洞。在通常情况下,安全方面的研究员们如果发现了一些漏洞,他们会在向所有人公开这些漏洞的几个月前,先警告那些被涉及到的公司,好让他们有充足的时间去修复它们。
而这也是苹果为何会认为,政府在道德上有义务应该向它透露这些黑客技术细节的原因。
AVG公司的奥尔森表示:“苹果所能采取的最好的策略就是让这件事变成一个能引起所有人关注的案子,并将公布这项破解技术的必要划归到涉及国家安全利益的范畴。如果这项技术真得涉及到了国家安全利益的话,那么保密它就在另一方面意味着要将无辜的用户置于数据外泄的安全威胁之中。”
在苹果向法院提交的文件中,曾提到让苹果高管们害怕通过开发软件来绕过iPhone的安全防护功能的这一做法的一个原因是,他们害怕这些破解技术会最终落到邪恶势力的手上。而如今,当涉及到公布这项黑客技术的问题的时候,苹果也可以利用这一论点来呼吁,让大家相信政府和外界团队是无法完美地保护这项技术的。
去年,一家经营买卖漏洞的意大利公司亲眼见到了它的整个数据库被泄漏到了网上。而同样的安全问题也可以解释FBI和外界团队为何要如此秘密地保护这些黑客破解安全防护的过程。
现在也有人开始担心:既然iPhone是可以被破解的话,那么还会有更多的人也会去尝试破解它。安全策略及威胁咨询公司Venafi的副总裁凯文·鲍谢克表示,长久以来,iPhone一直被看着是一个“像诺克斯堡(联邦政府黄金储备的贮存处)那样小巧而坚不可摧的设备,要从外部去攻破它并非易事”。
RSA下属的先进网络防卫团队的一位总经理陈彼德(Peter Tran)表示:“圣贝纳迪诺市的枪击案改变了我们一贯的认知,它唤醒了许多之前只做小活的网络罪犯和业余黑客。
虽然这位帮助FBI破解iPhone的神秘人士很可能已经从FBI那儿拿到了正义的小费,但其他偶然发现了这个黑客技术的人也可以选择将它卖给网络小偷或者是别国的政府。鲍谢克表示,在东欧有一个势力庞大的地下网络黑市,他们每天都会从事类似的勾当。
在通常情况下,对于那些bug的发现者,苹果是不会给他们任何的现金奖励,但基于这次事件的影响范围之大,有专家表示苹果也可能会去寻求黑市的帮助。
企业移动安全公司Zimperium的首席移动安全研究员尼基塔·巴森(Nikias Bassen)表示:“这又一次向我们证明了一点,即便存在你不懂的东西,你也可以通过花钱去解决它。”
|
|