¿Qué es GrayKey? Una herramienta que rompe el cifrado y las contraseñas del iPhone
El cifrado es una bendición para cualquiera que use un dispositivo digital. Internet sería un lugar peligroso sin cifrado 5 tipos comunes de cifrado y por qué no debería crear sus propios tipos comunes de cifrado 5 y por qué no debería crear el suyo propio ¿es una buena idea rodar su propio algoritmo de cifrado? ¿Alguna vez te has preguntado qué tipos de cifrado son los más comunes? Vamos a averiguar. Lea más, al igual que los puntos de acceso Wi-Fi y los dispositivos protegidos con contraseña como iPhones.
Sin embargo, el iPhone ya no es el bastión de seguridad que alguna vez fue. Las agencias de aplicación de la ley de los EE. UU. Están utilizando una herramienta barata para evitar el cifrado del iPhone, lo que reduce drásticamente la privacidad y perjudica la seguridad.
Aquí hay una mirada más profunda a la nueva herramienta GrayKey, qué hace, por qué es peligrosa y por qué Apple está preocupada por eso..
Apple contra el FBI
Antes de examinar GrayKey, un poco de contexto de fondo para el cifrado de iPhone y los intentos de descifrarlo.
¿Recuerdas el iPhone de San Bernardino? Después de un ataque terrorista en San Bernardino, el FBI llevó a Apple a los tribunales. El FBI quería que Apple creara una puerta trasera de cifrado que les permitiera eludir la seguridad del iPhone de uno de los terroristas fallecidos. Naturalmente, Apple se negó, afirmando correctamente que una vez que se creó la puerta trasera, nunca se cerraría. Por qué nunca deberíamos dejar que el gobierno rompa el cifrado. Por qué nunca deberíamos dejar que el gobierno rompa el cifrado. Vivir con terroristas significa que nos enfrentamos regularmente a los pedidos de una noción verdaderamente ridícula : crear puertas traseras de cifrado accesibles al gobierno. Pero no es práctico. Aquí es por qué el cifrado es vital para la vida cotidiana. Lee mas .
La firma de seguridad con sede en Israel, Cellebrite, finalmente encontró un camino a través de los mecanismos de seguridad de Apple utilizando una vulnerabilidad previamente desconocida. Y no había nada de nota en el teléfono. También tenga en cuenta que en ese momento, el servicio de Cellebrite costaba $ 5,000 por dispositivo y el teléfono tenía que ser enviado a sus instalaciones seguras..
Avance al 2017. Una empresa conocida como Grayshift aparece en el mercado y vende su nuevo producto: GrayKey. El propósito de GrayKey no estuvo claro hasta que Thomas Fox-Brewster reveló el dispositivo en una Exclusiva de Forbes, que incluye varias imágenes, así como una descripción general de lo que hace exactamente el desbloqueador de iPhone GrayKey.
The GrayKey iPhone Unlocker
Esto es lo que se sabe sobre el desbloqueador de iPhone GrayKey hasta ahora.
El dispositivo GrayKey en sí es una pequeña caja gris que mide cuatro pulgadas de profundidad por dos pulgadas de altura. La caja viene con dos cables Lightning que sobresalen en la parte frontal para conectar dos iPhones a la vez.
Un iPhone se conecta al dispositivo GrayKey durante aproximadamente dos minutos, después de lo cual se desconectan pero aún no están agrietados. El tiempo real del proceso de craqueo varía según la fortaleza de la contraseña.
Un código de acceso fácil toma alrededor de dos horas para descifrarlo mediante la fuerza bruta, mientras que los códigos de acceso más difíciles (seis dígitos) pueden demorar tres días o más. La documentación de GrayKey, también vista por Malwarebytes, no menciona los tiempos de cracking para combinaciones más largas.
Cuando el crack encuentre el código de acceso del dispositivo, el teléfono mostrará una pantalla negra que muestra el código con la información de otro dispositivo. (Consejos para crear una contraseña segura y memorable. Cómo crear una contraseña segura que no olvidará Cómo crear una contraseña segura que no olvidará ¿Sabe cómo crear y recordar una buena contraseña? Aquí encontrará algunos consejos y trucos. para mantener contraseñas seguras y separadas para todas sus cuentas en línea. Leer más)
GrayKey descarga todo el iPhone
El desbloqueador muestra el código de acceso del dispositivo, pero también descarga todo el sistema de archivos del iPhone en el dispositivo GrayKey. Luego, GrayKey se conecta a una interfaz basada en web donde está disponible para su análisis..
La imagen de abajo muestra los resultados de un iPhone X agrietado. “Código de acceso encontrado,” el muy reciente “Versión del software,” y el “Copia de seguridad de iTunes” y “Sistema de archivos completo” disponible para descargar (incluido su hash SHA256).
GrayKey cuesta mucho dinero
El desbloqueador de iPhone GrayKey tiene dos versiones diferentes..
El primer modelo cuesta $ 15,000 y requiere conectividad a Internet para funcionar. En ese sentido, el dispositivo tiene una referencia geográfica a su red de configuración inicial para asegurarse de que GrayKey no se transfiera fácilmente. Otros informes afirman que el modelo de conexión a Internet persistente también permite solo 300 desbloqueos, con un costo de $ 50 por iPhone.
El segundo modelo cuesta $ 30,000 y funciona sin conexión, sin un límite aparente en el número de usos del dispositivo GrayKey. El dispositivo probablemente funcionará hasta que Apple finalmente descubra la vulnerabilidad y lo parche.
¿Qué agencias de aplicación de la ley tienen una GrayKey??
Si bien estos son, sin duda, enormes sumas de dinero, los presupuestos de las agencias de aplicación de la ley se estirarán fácilmente (o milagrosamente, dependiendo de la agencia) para obtener una herramienta que cree una nueva vía de información. Especialmente uno previamente inalcanzable para muchas agencias, al menos en una capacidad aparentemente fácil.
Una investigación en curso sobre la placa base encontró que varios tipos diferentes de agencias ya habían comprado un GrayKey:
- Policía Local: La policía del condado de Miami-Dade indicó que podrían haber comprado un dispositivo GrayKey.
- Policía regional: La Policía del Estado de Maryland y la Policía del Estado de Indiana han emitido formularios de adquisición para dispositivos GrayKey.
- Policía de la ciudad: Los documentos también indican que el Departamento de Policía Metropolitana de Indianápolis recibió una cita de Grayshift con respecto a los dispositivos GrayKey.
- Servicio Secreto: Los correos electrónicos muestran los planes de la agencia para comprar seis dispositivos GrayKey.
- Departamento de Estado: La Oficina de Seguridad Diplomática del Departamento de Estado compró un artículo de $ 15,000 de Grayshift en marzo de 2018, según los registros de contratación pública.
- DEA: La Agencia de Control de Drogas emitió un documento de Búsqueda de Fuentes para un dispositivo GrayKey fuera de línea.
- FBI: Los registros de compras públicas en línea muestran que el FBI busca comprar seis dispositivos GrayKey.
Si el GrayKey de Grayshift continúa proporcionando a las autoridades datos de iPhone que anteriormente no se podían obtener, es probable que también vea más formularios de contratación de la agencia..
El IRS ahora es un cliente de GrayShift: la compra de $ 15k del kit del pirata informático del iPhone https://t.co/lWDLQscSHY
- Thomas Fox-Brewster (@iblametom) 23 de junio de 2018
¿Qué está haciendo Apple para detener a GrayKey??
Como puede imaginar, a Apple no le complace que la seguridad del iPhone se haya violado tan públicamente. Y no solo los antiguos iPhone, estamos hablando de dispositivos de gama alta que ejecutan algunas de las últimas versiones de iOS. Apple no se sentará y esperará a que Grayshift mantenga abierta la vulnerabilidad.
En cambio, en la actual versión beta pública de iOS 12, hay una nueva característica que limita drásticamente el acceso al puerto Lightning de un iPhone bloqueado. (¡Más funciones para su iPhone con iOS 12! ¿Qué hay de nuevo en iOS 12? 9 Cambios y características para consultar Novedades en iOS 12? 9 Cambios y características para verificar que iOS 12 ha llegado. Conozca las nuevas y emocionantes funciones disponibles. en un iPhone o iPad cerca de usted. Lea más)
“Estamos fortaleciendo constantemente las protecciones de seguridad en cada producto de Apple para ayudar a los clientes a defenderse contra hackers, ladrones de identidad e intrusiones en sus datos personales,” un portavoz de Apple dijo a Reuters. “Tenemos el mayor respeto por el cumplimiento de la ley, y no diseñamos nuestras mejoras de seguridad para frustrar sus esfuerzos para hacer su trabajo.”
iOS 12 hará inútiles los ataques de fuerza bruta del puerto Lightning al deshabilitar el acceso a través de esa ruta después de solo una hora. El nuevo Modo restringido de USB detendrá cualquier comunicación de datos de un dispositivo recién conectado después de ese período de 60 minutos, lo que efectivamente inutilizará la GrayKey. La configuración actual del Modo restringido de USB tiene un límite de tiempo de una semana, lo que otorga a las autoridades un período prolongado para forzar la contraseña de forma brutal.
¿Cómo puedes protegerte contra GrayKey??
Dada la actualización entrante a iOS 12 y la introducción de restricciones al modo restringido de USB, solo hay una cosa que puedes hacer ahora: actualizar tus códigos de acceso. Siempre debe usar un mínimo de ocho dígitos para mantener su teléfono seguro. Como alternativa, para aumentar realmente la seguridad de su iPhone, cambie a una frase de contraseña más larga.
iOS admite códigos numéricos personalizados y alfanuméricos personalizados de cualquier longitud. Una frase de contraseña usa varias palabras para crear un bloqueo mucho más fuerte. ¿Por qué las frases de contraseña aún son mejores que las contraseñas y las huellas digitales? ¿Por qué las frases de contraseña aún son mejores que las contraseñas y las huellas digitales? ¿Recuerda cuando las contraseñas no tenían que ser complicadas? ¿Cuándo los PIN fueron fáciles de recordar? Esos días ya pasaron, y los riesgos de ciberdelito significan que los escáneres de huellas dactilares son casi inútiles. Es hora de comenzar a usar códigos de acceso ... Lea más que su PIN o contraseña regular. Echa un vistazo al extremadamente relevante cómic de XKCD para obtener más información:
El área gris en curso de GrayKey
En este momento, las agencias policiales tienen las tarjetas. En cierto sentido, al menos. Un iPhone con poca seguridad es vulnerable. Sin embargo, esta situación podría no durar mucho, a menos que Grayshift siga encontrando vulnerabilidades y soluciones para los parches de seguridad del iPhone de Apple. Además, el GrayKey no tiene precedentes..
El IP-Box era un dispositivo similar que podía acceder a la información de los iPhones bloqueados que ejecutaban versiones anteriores de iOS. Su funcionalidad cesó con la actualización de iOS 8.2, pero dio lugar a la IP-Box 2. La IP-Box 2 todavía está disponible, pero requiere conocimientos sobre cómo eliminar los chips de circuitos integrados para colocarlos en el dispositivo..
También hay otras implicaciones. ¿Es el iPhone permanentemente vulnerable una vez que se completa el craqueo de la contraseña? ¿Puede el propietario del iPhone volver a utilizar su teléfono con normalidad o será necesario reemplazarlo??
Y, finalmente, ¿cómo deben las autoridades decidir cuándo usar su dispositivo GrayKey? Quiero decir, ¿hay un protocolo definido que rige el craqueo de contraseñas de dispositivos usando una herramienta de terceros? ¿Necesitan una declaración jurada, una sospecha razonable, etc.??
Continuarán las implicaciones y el debate en torno al descifrado de contraseñas del iPhone con un dispositivo GrayKey. Estoy seguro de que la mayoría de los lectores esperan que la policía haga todo lo posible para proteger a las víctimas. Si el descifrado de contraseñas se convierte en un principio fundamental de la seguridad cívica, ¿confía en las autoridades para ejercer ese poder en el momento adecuado??
Y solo aumentaría la cantidad de cifrado en su dispositivo 7 razones por las que debería cifrar los datos de su teléfono inteligente 7 razones por las que debería cifrar los datos de su teléfono inteligente ¿Está cifrando su dispositivo? Todos los principales sistemas operativos de teléfonos inteligentes ofrecen cifrado de dispositivos, pero ¿debería usarlo? Este es el motivo por el cual la encriptación de teléfonos inteligentes vale la pena y no afectará la forma en que usa su teléfono inteligente. Leer más para contrarrestar sus esfuerzos.?
Explore más acerca de: cifrado, iPhone, seguridad de teléfonos inteligentes.