Reuters alegó hoy que Apple se inclinó ante la presión de la Oficina Federal de Investigaciones (FBI) que, según los informes, exigió que la firma Cupertino abandonara los planes para implementar el cifrado de extremo a extremo para las copias de seguridad de dispositivos iCloud, alegando que hacerlo dañaría las investigaciones.
Aunque Apple resistió la presión del FBI que en 2016 quería que agregara una puerta trasera a iOS para omitir el código que limita las conjeturas de contraseña a diez intentos consecuentes, nunca se empleó cifrado de extremo a extremo para copias de seguridad de dispositivos iOS en iCloud, y ahora sabemos por qué.
Del informe:
La reversión del gigante tecnológico, hace unos dos años, no se había informado previamente. Muestra cuánto Apple ha estado dispuesto a ayudar a las agencias de inteligencia y aplicación de la ley de EE. UU., A pesar de tomar una línea más dura en disputas legales de alto perfil con el gobierno y presentarse como defensor de la información de sus clientes.
Según un ex empleado de Apple, el gigante tecnológico de Cupertino estaba motivado para evitar malas relaciones públicas y no quería que los funcionarios públicos lo describieran como una empresa que protege a los delincuentes..
Si desea mantener los datos de su dispositivo iOS a salvo de las miradas indiscretas y las solicitudes gubernamentales, abstenerse de usar la función de copia de seguridad de iCloud hasta que Apple implemente el cifrado de extremo a extremo para las copias de seguridad de iCloud.
"Decidieron que ya no iban a pinchar al oso", dijo la persona. Otro empleado dijo: "legal lo mató, por razones que puedes imaginar".
Apple admite abiertamente que proporciona copias de seguridad de dispositivos iOS desde iCloud a las agencias policiales, según el último Informe de transparencia de la compañía:
Ejemplos de tales solicitudes son cuando las agencias de aplicación de la ley están trabajando en nombre de los clientes que han solicitado asistencia con respecto a dispositivos perdidos o robados. Además, Apple recibe regularmente solicitudes de dispositivos múltiples relacionadas con investigaciones de fraude. Las solicitudes basadas en dispositivos generalmente buscan detalles de clientes asociados con dispositivos o conexiones de dispositivos a los servicios de Apple.
Esto es lo que significaría el cifrado de extremo a extremo en términos de mantener las copias de seguridad de dispositivos iOS en iCloud a salvo de las solicitudes gubernamentales, según Benjamin Mayo de 9to5Mac:
El cifrado de extremo a extremo funciona creando una clave de cifrado basada en factores que no están almacenados en el servidor. Esto puede significar enredar la clave con una contraseña de usuario o alguna clave criptográfica almacenada en el hardware del iPhone o iPad local. Incluso si alguien hackeó el servidor y obtuvo acceso a los datos, los datos se verían como ruido aleatorio sin tener la clave enredada para decodificarlos..
Apple actualmente almacena copias de seguridad de iCloud de una manera encriptada de extremo a extremo.
Esto significa que la clave de descifrado se almacena en los servidores de Apple. Si una entidad policial llega a Apple con una citación, entonces la compañía tiene que entregar todos los datos de iCloud, incluida la clave de descifrado. Esto tiene más rondas de ramificaciones. Por ejemplo, aunque el servicio de iMessage está cifrado de extremo a extremo, las conversaciones almacenadas en una copia de seguridad de iCloud no son.
En otras palabras, a pesar de que la función Mensajes en iCloud que mantiene sus mensajes sincronizados entre dispositivos usa el cifrado de extremo a extremo, no tiene sentido si habilita la Copia de seguridad de iCloud porque la copia de seguridad de su dispositivo incluye una copia de la clave que protege sus Mensajes.
Según Apple, esto garantiza que pueda recuperar sus Mensajes en caso de que pierda el acceso a iCloud Keychain y a todos los dispositivos de confianza que tenga en su poder. "Cuando desactiva iCloud Backup, se genera una nueva clave en su dispositivo para proteger los mensajes futuros y Apple no la almacena", afirma la compañía en un documento de soporte en su sitio web que describe la seguridad de iCloud.
Además, Apple emplea el cifrado de extremo a extremo de iCloud de forma selectiva para cosas como sus entradas de calendario, la base de datos de salud, el llavero de iCloud y las contraseñas de Wi-Fi guardadas, pero no sus fotos, archivos en su unidad de iCloud, correos electrónicos y otras categorías.
El dispositivo GrayKey utilizado para ataques de código de acceso de iPhone con fuerza bruta.
A pesar de los recientes intentos de los funcionarios del FBI de acusar a Apple de ayudar a terroristas y depredadores sexuales al negarse a "desbloquear" iPhones, el reportero de Forbes Thomas Brewster reveló que la agencia de aplicación de la ley ha utilizado la herramienta GrayKey de GrayShift para obtener datos de un iPhone 11 Pro Max bloqueado durante una reciente investigación criminal.
Eso no significa que los últimos iPhones de Apple sean intrínsecamente inseguros o propensos a piratear con herramientas como el dispositivo GrayShift o el software Cellebrite, solo significa que iOS puede ser pirateado. De ninguna manera significa que el coprocesador criptográfico embebido Security Enclave que controla el cifrado y evalúa un código de acceso o Face ID / Touch ID ha sido comprometido.
Lo que hacen las herramientas como GrayKey es adivinar la contraseña explotando fallas en el sistema operativo iOS para eliminar el límite de diez intentos de contraseña. Después de eliminar este software, tales herramientas simplemente aprovechan un ataque de fuerza bruta para probar automáticamente miles de códigos de acceso hasta que uno funcione.
Jack Nicas, escribiendo para The New York Times:
Ese enfoque significa que el comodín en el caso de Pensacola es la longitud del código de acceso del sospechoso. Si se trata de seis números, el predeterminado en los iPhones, las autoridades casi con seguridad pueden descifrarlo. Si es más largo, podría ser imposible..
Un código de acceso de cuatro números, la longitud predeterminada anterior, tomaría en promedio unos siete minutos para adivinar. Si son seis dígitos, tomaría en promedio unas 11 horas. Ocho dígitos: 46 días. Diez dígitos: 12.5 años..
Si el código de acceso usa tanto números como letras, hay muchos más códigos de acceso posibles y, por lo tanto, descifrarlo lleva mucho más tiempo. Un código de acceso alfanumérico de seis caracteres tomaría un promedio de 72 años para adivinar.
Se necesitan 80 milisegundos para que un iPhone calcule cada suposición. Si bien eso puede parecer pequeño, considere que el software teóricamente puede probar miles de códigos de acceso por segundo. Con la demora, puede probar solo unos 12 por segundo.
Su conclusión clave debe ser que el tiempo de procesamiento de 80 milisegundos para la evaluación del código de acceso no puede ser ignorado por los piratas informáticos porque Secure Enclave impone esa limitación en el hardware.
Entonces, ¿qué significa todo lo anterior??
Como señaló John Gruber de Daring Fireball, si le preocupa que su teléfono sea pirateado, use una frase de contraseña alfanumérica como código de acceso, no un código de acceso numérico de 6 dígitos.
Y cuando se trata de la encriptación, Apple afirma que no puede y no subvertirá la encriptación en el dispositivo, señalando lo siguiente en su último Informe de Transparencia:
Siempre hemos mantenido que no existe una puerta trasera solo para los buenos. Las puertas traseras también pueden ser explotadas por aquellos que amenazan nuestra seguridad nacional y la seguridad de los datos de nuestros clientes. Hoy, la policía tiene acceso a más datos que nunca antes en la historia, por lo que los estadounidenses no tienen que elegir entre debilitar el cifrado y resolver las investigaciones. Creemos que el cifrado es vital para proteger nuestro país y los datos de nuestros usuarios.
Volviendo a la historia de Reuters, espero intentos adicionales del gobierno de los EE. UU. En un esfuerzo por obtener apoyo público para hacer ilegal el cifrado.
¿Qué te parece la última versión de Apple vs. FBI y el cifrado en general??
Háganos saber en el comentario a continuación!