קרדיט: בריטני הרברט/מאשבל
CUPERTINO - בתדרוך עיתונאים ביום שישי, אפל דנה כיצד האבטחה עובדת באייפון וב-iOS. הפגישה, שלעתים קרובות הייתה טכנית, שפכה תובנות לגבי גישתה הרחבה יותר לאבטחה.
למרות שהפגישה לא הייתה ספציפית על הקרבות שהיו בחברהעם ה-FBIוחלקים מממשלת ארה"ב - כולל מקרים בסן ברנרדינו וברוקלין - הסכסוך הזה עדיין היה הפיל בחדר.
ובכל זאת, אפל מתעקשת שהמטרה שלה עם אבטחת iOS ואייפון היאלֹאעל הגנה על משתמשים מפני הממשלה, מדובר על הגנה על משתמשים מפני האקרים.
מהנדסים בכירים של אפל אמרו שלמרות שהאבטחה הייתה חלק גדול מהאופן שבו החברה ניגשת לעיצוב שלה בשני העשורים האחרונים, היא הפכה חשובה עוד יותר בעשור האחרון בגלל האייפון.
האיום הוא האקרים, לא הממשלה.
האייפון, יותר מכל מוצר אחר, הוא מקום שבו הלקוחות מציבים את המידע החשוב והפרטי ביותר שלהם. הכל ממידע זהות ועד מידע בריאותי מאוחסן במכשיר ומהנדסי אפל אומרים שהחברה מרגישה שחובה להגן על המידע הזה מפני האקרים שמנסים לפרוץ.
בפגישה, מהנדסים בכירים של אפל, שסירבו להציע הערה אישית, דנו בגישת החברה לאבטחה.
בניית ביטחון מהיסוד
העובדה שהאקרים הם וקטור האיום האמיתי, לא הממשלה, הייתה נושא בתדרוך.
בתיאור האבטחה כתהליך ולא כיעד, מהנדסים בכירים של אפל מיהרו לטעון שאין דבר כזה 100% אבטחה, אלא שהחברה מתמקדת בבניית המערכת שלה מהיסוד כדי שתהיה בטוחה ככל האפשר.
המהנדסים גם הדגישו שהאבטחה היא דינמית, לא סטטית. ומכיוון שהמצב תמיד משתנה, לעולם לא ניתן לראות את הביטחון כשלם.
עבור אפל, היא מרגישה שאחד היתרונות המרכזיים שלה הוא שהיא שולטת בכל ערימת החומרה והתוכנה. יתרה מכך, אפל עיצבה אבטחה למוצריה מהסיליקון ומעלה.
אפל אומרת שיש לה "ארגון האבטחה היעיל ביותר בעולם".
כינו את אפל "ארגון האבטחה היעיל ביותר בעולם", מהנדסים בכירים של אפל הדגישו שוב ושוב שכל המערכת האקולוגית של אפל תוכננה מתוך מחשבה על אבטחה.
מכיוון שאפל מעצבת את השבבים שלה ואת מערכת ההפעלה שלה, היא נמצאת בעמדה ייחודית בתעשייה בכל הנוגע לאינטגרציה של חומרה/תוכנה.
חלק ניכר מהתדריך הוקדש לאופן שבו עובד תהליך האתחול המאובטח של האייפון. פרטים אלה מפורטים גם ב-נייר אבטחת iOS.
כך המסמך מתאר את תהליך האתחול של אייפון:
כאשר מכשיר iOS מופעל, מעבד היישומים שלו מבצע מיד קוד מזיכרון לקריאה בלבד המכונה Boot ROM. הקוד הבלתי ניתן לשינוי זה, המכונה שורש החומרה של אמון, מונח במהלך ייצור השבבים, והוא אמין באופן מרומז. קוד ROM האתחול מכיל את המפתח הציבורי של Apple Root CA, המשמש לאימות שהמטען האתחול ברמה נמוכה (LLB) חתום על ידי Apple לפני שהוא מאפשר לטעון. זהו השלב הראשון בשרשרת האמון שבו כל שלב מבטיח שהשלב הבא ייחתם על ידי אפל. כאשר ה-LLB מסיים את המשימות שלו, הוא מאמת ומפעיל את טוען האתחול בשלב הבא, iBoot, אשר בתורו מאמת ומפעיל את ליבת iOS.
שרשרת האתחול המאובטחת הזו עוזרת להבטיח שלא יתעסקו ברמות הנמוכות ביותר של תוכנה ומאפשרת ל-iOS לפעול רק במכשירי אפל מאומתים.
{cardId: 25154}, סוג כרטיס: SideBySide
במילים אחרות, החומרה המוטמעת בשבב בטלפון בודקת את התוכנה לפני האתחול כדי לוודא שהיא מאובטחת ובאמת חתומה על ידי אפל. זה נעשה כדרך למנוע מהאקרים להשתלט על המכשיר ולהעלות גרסה סוררת נוספת של מערכת הפעלה במכשיר.
למכשירי iOS עם מעבד A7 ומעלה (כך ה-iPhone 5S ואילך), יש גם מעבד Secure Enclave (SEP) שיש לו גם תהליך אתחול מאובטח משלו.
שוב, אפל מדגישה שבאגים תמיד אפשריים - אין דבר כזה אבטחה של 100% - אבל המהנדסים הבכירים ציינו שהפרדת מרכיבי תהליך האתחול מגבילה את הבאגים הללו.
קחו בחשבון של-iOS יש מיליוני שורות קוד. רוב הסיכויים, באגים יכולים להתקיים בתוכנה הזו. אבל ברמות הנמוכות ביותר - היכן שה-Boot ROM ו-Low-Level Bootloader חיים, זה יותר כמו כמה אלפי שורות קוד.
המהנדסים של אפל - כמו גם מומחים ומכונות מבחוץ - מעריכים את הקוד הזה. כתוצאה מכך, הסיכוי שיש באג בחלק זה של הקוד נמוך בהרבה.
האבטחה חשובה רק אם כולם משתמשים בה
כמובן, אף אחד מאמצעי האבטחה לא משנה אם משתמשים משתמשים בגרסאות מיושנות של תוכנה.
מהנדס בכיר של אפל היה בוטה: "כל הדברים האלה לא חשובים אם המשתמשים לא יתקינו עדכונים."
"אף אחד מהדברים האלה לא משנה אם המשתמשים לא יתקינו עדכונים."
וכאן יש לאפל יתרון שאין עוררין, במיוחד בהשוואה ליצרניות טלפונים אחרות ויצרניות מערכות הפעלה.
אפל שולטת בכל הערימה, כולל עדכונים, מה שאומר שהיא יכולה לדחוף עדכונים ותיקוני באגים במהירות רבה.
לא כך פועלים שאר תעשיית המובייל. שקול את המצב עםסטייג'רייט, פגיעות אנדרואיד שנחשפה בשנה שעברה. למרות שגוגל מיהרה מאוד לתקן את הניצול, לקח זמן רב עד שהעדכונים הללו הגיעו בשרשרת למכשירים שאינם נקסוס. מיליוני מכשירים לעולם לא יקבלו עדכון נגד הפגיעות הזו.
מהירות אור ניתנת לריסוק
הדוגמה הזו מראה ניגוד חד במערכת האקולוגית של אפל ובמערכת האקולוגית של אנדרואיד. עם אנדרואיד, גוגל יכולה להנפיק עדכונים אבל זה תלוי ביצרנים לתקן את גרסת האנדרואיד שפועלת במכשירים שלהם. מכיוון שרוב יצרניות האנדרואיד מתאימות את התוכנה בצורה כלשהי, בדרך כלל יש עיכוב בין עדכון או תיקון שמגיעים מגוגל לבין אריזתם על ידי ה-OEM.
גם לאחר תיקון התוכנה, יכול לקחת זמן נוסף עד שהספקים יבדקו עדכון לפני שיונפק ללקוחות. וזה בהנחה שהמכשיר עדיין נתמך.
גוגל עושה דרך לפתור את הבעיות הללו ובגרסאות האחרונות של אנדרואיד היא השתלטה יותר על עדכון שירותי הליבה הקשורים למערכת ההפעלה, כולל דפדפן האינטרנט. אבל האימוץ של אנדרואיד עדיין נמוך.
החל מה-16 באפריל בלבד4.6%ממכשירי אנדרואיד פועלים אנדרואיד 6.0 (מרשמלו). לעומת זאת, 80% ממכשירי iOS פועלים על iOS 9.
80% ממכשירי iOS פועלים עם iOS 9.
הרבה מהצלחת העדכונים של אפל יכולה להיות מיוחסת לבעלות על כל המחסנית (ויכולת להנפיק עדכונים ישירות באוויר ללא התערבות של הספק), אבל החברה פועלת כדי לשפר את התהליך עוד יותר.
עם iOS 9, אפל הפחיתה את כמות השטח הדרושה במכשיר כדי להתקין את הגרסה החדשה של iOS. עם iOS 8, משתמשים היו צריכים לפחות 4.6GB של שטח פנוי בטלפון שלהם. שפע של משתמשיםלא היה את המקום הזהוכתוצאה מכך, האימוץ ירד.
עם iOS 9, אפל הצליחה להשיג אתגודל עדכון עד 1.3GB. אפל אומרת שביצוע השינוי הזה גרם לעקומת המשתמשים שלא שדרגו מיד לרדת.
עם iOS 9 -- ושיפור עם iOS 9.3, אפל השיקה תכונה חדשה המאפשרת למשתמשים לעדכן להתקין מערכת הפעלה מאוחר יותר. עדכוני אפל כבר יכולים להתרחש ברקע, אך כעת המשתמשים יקבלו חלון קופץ ששואל אם הם רוצים להתקין עכשיו או "להתקין מאוחר יותר". אם נבחר "התקן מאוחר יותר", העדכון יותקן בערב כשהטלפון מחובר למטען.
זה דומה לתכונה שאפל פרסמה עם עדכוני OS X בשנה שעברה ומהנדסים בכירים אומרים שהם מצפים שתכונה זו תסייע גם באימוץ העדכונים.
ולאחר הוצאת עדכונים לטלפונים, אפל פועלת כדי לוודא שלא ניתן לטעון טלפונים רטרואקטיבית עם גרסה ישנה יותר של מערכת הפעלה. אפל מפסיקה לחתום על גרסאות ישנות יותר של התוכנה תוך מספר ימים.
מהנדסים בכירים של אפל הדגישו שתהליך עדכון מסוג זה אינו קל לביצוע, אך הוא חשוב ביותר. עדכונים שקורים אך לא מגיעים לצרכנים הם חסרי ערך.
הצפנה
כמו בכל אמצעי האבטחה האחרים שלה, מאמצי ההצפנה של אפל מבוססים על חומרה ותוכנה. מבחינה היסטורית, אתגר בהצפנה - במיוחד בנייד - יכול להיות השפעתה על חיי הסוללה והביצועים.
אז החל משנת 2009 עם ה-iPhone 3GS, לאפל הייתה תמיכת חומרה עבור תקן הצפנה מתקדם (AES).
ההצפנה באייפון מתחילה בחומרה עצמה.
ההצפנה באייפון מתחילה בחומרה עצמה. יש שבב באייפון שיושב בין זיכרון הפלאש (NAND) ל-RAM. השבב הזה מצפין את הנתונים בין שתי הנקודות הללו. בשנת 2013, אפל הציגה את המעבד המשותף Secure Enclave (SEP), מה שהופך את התהליך הזה לחזק עוד יותר.
ה-Secure Enclave מעניין כי כמו תהליך האתחול המאובטח, הוא נפרד מ- iOS. זה נעשה כי ההפרדה הזו מקשה על התקיפה.
שבב AES מדבר עם המובלעת המאובטחת והם יכולים להחליף מפתחות אבטחה אחד עם השני. כאשר iOS רוצה להביא משהו מאחסון ה-NAND שלו ולהיכנס ל-RAM, הוא יבקש מה-Secure Enclave לתת מפתח לבלוק AES ואז המפתח הזה (ש-iOS אף פעם לא יכול לקרוא) מוצפן על ידי שבב AES.
קרדיט: תפוח
במכשירי A7 ומעלה, ההצפנה פועלת דרך בלוק AES אך ניהול המפתחות נשלט במלואו על ידי המובלעת המאובטחת. ראוי לציין שהאייפון 5C - שהיה בלב המקרה של סן ברנרדינו - כןלֹאיש מובלעת מאובטחת. מומחי אבטחהניתן למעוךשוחח עם ספקולציות שייתכן שהפגיעות ששימשה לפרוץ בסופו של דבר לטלפון הזה, לא הייתה אפשרית במכשיר עם מובלעת מאובטחת. מהנדסי אפל לא היו מוכנים להצהיר שום טענה כזו (שוב, אף מערכת לא מאובטחת ב-100%), אבל הדגישו שה-Secure Enclave עצמו היה משהו שתוכנן כשטכנולוגיית האבטחה והחומרה של החברה התפתחה באופן טבעי.
מהנדס בכיר של אפל אומר שאפל חשבה על הצפנה מבוססת סיליקון עוד לפני שהאייפון נשלח. לקח לאייפון 3GS עד שהאייפון קיבל את תמיכת החומרה הזו - אבל זה היה כיוון שאפל רצתה ללכת אליו עוד לפני 2007.
עם ה-A7 והמובלעת המאובטחת שלו, זו הייתה עוד דוגמה לכיוון שאפל רצתה ללכת אליו, אבל זה לקח זמן עד שהחומרה תוכננה והתוכנה עבדה במקביל. זמן ההובלה לחומרה במכשירים כמו טלפונים הוא לעתים קרובות שנים בהתהוות, ולכן אפל חושבת על פילוסופיית האבטחה והעיצוב שלה הרבה לפני שהתוצאות הסופיות מופיעות במוצרים שלה.
אפל משתמשת באלגוריתמי הצפנה סטנדרטיים כדי להגן על הקבצים שלה. זה גם שם את קוד המקור (המתמטיקה) מאחורי הטכניקות שלוהאתר שלה. להיות פתוח במקרה הזה זה טוב. המפתחות, שנוצרים על ידי חומרה בטוחים, אך פתיחת קוד המקור פירושה שאחרים יכולים להסתכל על הקוד ולאמת את אבטחתו.
בנוסף לביקורות אבטחה פנימיות, אפל עושה גם סקירת קוד של צד שלישי עם מומחים חיצוניים.
iMessage
יש הרבה דיבורים על הודעות מוצפנות - במיוחד עם החדשות על WhatsAppתומך כעתהצפנה מקצה לקצה, אבל אפל רוצה להדגיש של-iMessage (ו-FaceTime לפניה) הייתה הצפנה מקצה לקצה מההתחלה.
זה לא מספיק רק להצפין תקשורת בטלפון של השולח ובטלפון של המקבל, כי אם הודעות עוברות דרך שרת מרכזי, השרת הזה יהפוך כעת לוקטור התקפה.
אז עם iMessage, כל מה שנשלח מוצפן ושום דבר לא נשאר בבהירות. המכשיר עצמו (אייפון, אייפד או מק) הוא זה שיוצר את המפתח המאובטח לפענוח כל הודעה.
קרדיט: אפל
מה שהופך למעניין הוא כאשר מוסיפים מכשירים אחרים לתערובת. iOS מאפשרת לך להשתמש ב-Apple ID שלך עם מספר מכשירים ואז תוכל לקבל גישה לכל ההודעות שלך במכשירים אלה.
כאשר זה קורה, למעשה נשלחות מספר הודעות (כל אחת מהן מוצפנת) שנשלחות לאחר מכן בין מכשירים. כך, כשאני שולח הודעה מהאייפון שלי - אני עדיין יכול לראות את מה שכתבתי באייפד שלי מאוחר יותר.
אפל עיצבה חלונות קופצים כדי להתריע למשתמשים בכל פעם שמתווסף מכשיר חדש למזהה אפל. סביר להניח שראית את ההודעה הזו אם יש לך יותר ממכשיר אחד. זה בעצם מתריע שמכשיר אחר בשם "השעון של כריסטינה אפל" או "האייפד פרו של כריסטינה" מסוגל כעת לשלוח/לקבל iMessages. זה נעשה כדרך להתריע למשתמשים ולהיות שקוף.
בדרך זו, אם אתה רואה מכשיר חדש ובלתי צפוי בחשבון שלך, אתה יודע לבטל גישה ולשנות סיסמאות באופן מיידי.
Touch ID
יחד עם עדכונים אוטומטיים, אולי ההצלחה הגדולה ביותר שאפל ראתה בהבאת האבטחה להמונים היא עם Touch ID.
המשתמש הממוצע פותח את הטלפון שלה 80 פעמים ביום. מכיוון שזה כל כך תכוף, לפני Touch ID, רק ל-49% ממשתמשי האייפון היה קוד סיסמה בטלפון שלהם.
וזה הגיוני. אם אתה צריך לפתוח משהו כל כך הרבה פעמים, קוד סיסמה יכול להיות מעצבן. השימוש בקוד הגישה לאחר הצגת Touch ID עומד כעת על 89%.
חיישן Touch ID פועל על ידי איסוף תחילה תמונה של טביעת האצבע שלך. התמונה הזו עוברת למעבד ה-Secure Enclave Co-processor (SEP) וכל עיבוד טביעות האצבע מתרחש כאן, לא ב-iOS.
לאחר מכן, iOS מתווך תקשורת בין חיישן Touch ID ל-SEP. התמונות של טביעת האצבע נשמרות רק באופן חולף כדי לבנות את המודל המתמטי מאחורי ההצפנה. לאחר בניית הדגם, התמונה לא נשמרת בשום מקום בטלפון.
בכל פעם שמכשיר כבוי - או לאחר יומיים של אי שימוש במכשירים מחוברים - המפתחות שנוצרו להגנה על נתונים מה-SEP נזרקים לפח. אז אתה צריך קוד סיסמה כדי לחזור למכשיר ואז ניתן ליצור סט חדש של מפתחות הגנה על נתונים.
אבטחת מידע היא "בסיסית לחברה שלנו"
למרות שאפל הדגישה כי שיטות אבטחה אינן נועדו להרחיק את הממשלה - אלא להגן על לקוחותיה מפני האקרים - היא עדיין מאמינה שאבטחת מידע היא בסיסית לביטחון האישי ולחברה שלנו.
בעולם אידיאלי, אפל הייתה רוצה שממשלת ארה"ב תמלא תפקיד מוביל בפרטיות הנתונים ואבטחת המשתמשים בעולם. אפל חושבת שממשלת ארה"ב צריכה לתת את הטון, מכיוון שכל כך הרבה ממשלות אחרות מסתכלות על ארה"ב ומקבלות רמזים ממנה.
כמובן שרבים בממשלה חושבים ההפך וכמה מחוקקים כבר חושביםנָעבעצם למגר את ההצפנה.
אבל מצדה, אפל מחויבת לאבטחה ולפרטיות.
יש לך מה להוסיף לסיפור הזה? שתפו אותו בתגובות.