Джеффри Пол
Ваш компьютер не ваш
12 ноября 2020 г.
(1122 слова, время чтения примерно 6 минут.)
Это здесь. Это случилось. Ты заметил?
Я, конечно, говорю о мире, предсказанном Ричардом Столменом в 1997 году. О том, о котором нас предупреждал Кори Доктороу.
В современных версиях macOS вы просто не можете включить компьютер, запустить текстовый редактор или программу для чтения электронных книг и писать или читать без передачи и сохранения журнала ваших действий.
Оказывается, в текущей версии macOS ОС отправляет в Apple хэш (уникальный идентификатор) каждой программы, которую вы запускаете, при ее запуске. Многие люди не осознавали этого, потому что он тихий и невидимый, и он мгновенно и изящно выходит из строя, когда вы в автономном режиме, но сегодня сервер стал очень медленным, и он не попал в путь кода с быстрым отказом, и все приложения потерпели неудачу чтобы открыть, если они были подключены к Интернету.
Поскольку он делает это через Интернет, сервер, конечно же, видит ваш IP-адрес и знает, в какое время пришел запрос. IP-адрес допускает грубую геолокацию на уровне города и на уровне интернет-провайдера, а также позволяет создавать таблицу с следующие заголовки:
Дата, время, компьютер, интернет-провайдер, город, штат, хеш приложения
Apple (или кто-либо другой), конечно, может вычислить эти хэши для общих программ: всего, что есть в App Store, Creative Cloud, браузере Tor, инструментах взлома или обратного проектирования и т. Д.
Это означает, что Apple знает, когда вы дома. Когда ты на работе. Какие приложения вы там открываете и как часто. Они знают, когда вы открываете Premiere в доме друга по их Wi-Fi, и они знают, когда вы открываете Tor Browser в отеле во время поездки в другой город.
"Какая разница?" Я слышу твой вопрос.
Что ж, это не только Apple. Эта информация не остается с ними:
Эти запросы OCSP передаются в незашифрованном виде. Все, кто видит сеть, могут видеть их, включая вашего интернет-провайдера и всех, кто прослушивал их кабели.
Эти запросы поступают в стороннюю CDN, управляемую другой компанией, Akamai.
С октября 2012 года Apple является партнером в программе шпионажа PRISM американского военного разведывательного сообщества, которая предоставляет федеральной полиции и вооруженным силам США беспрепятственный доступ к этим данным без ордера, когда они об этом просят. В первой половине 2019 года они сделали это более 18000 раз, а во второй половине 2019 года еще 17500 раз.
Эти данные составляют огромный массив данных о вашей жизни и привычках и позволяют кому-то, кто владеет ими, определять ваши движения и модели активности. Для некоторых людей это может даже представлять физическую опасность.
До сегодняшнего дня можно было заблокировать подобные вещи на вашем Mac с помощью программы Little Snitch (на самом деле, единственное, что заставляет меня использовать macOS на данный момент). В конфигурации по умолчанию это blanket разрешает всю эту связь между компьютером и Apple, но вы можете отключить эти правила по умолчанию и продолжить утверждать или отклонять каждое из этих подключений, и ваш компьютер будет продолжать работать нормально, не доносясь до вас. Яблоко.
Выпущенная сегодня версия macOS 11.0, также известная как Big Sur, имеет новые API, которые не позволяют Little Snitch работать таким же образом. Новые API не позволяют Little Snitch проверять или блокировать какие-либо процессы уровня ОС. Кроме того, новые правила в macOS 11 даже затрудняют работу VPN, так что приложения Apple просто обходят их.
@patrickwardle сообщает нам, что trustd, демон, отвечающий за эти запросы, находится в новом ContentFilterExclusionList в macOS 11, что означает, что он не может быть заблокирован каким-либо управляемым пользователем брандмауэром или VPN. На его скриншоте также показано, что CommCenter (используемый для телефонных звонков с вашего Mac) и Карты также будут пропускать ваш брандмауэр / VPN, потенциально ставя под угрозу ваш голосовой трафик и информацию о будущем / запланированном местоположении.
Эти блестящие новые Mac Apple Silicon, которые Apple только что анонсировала, в три раза быстрее и на 50% больше времени автономной работы? До Big Sur они не запускали никакую ОС.
Эти машины являются первыми компьютерами общего назначения, в которых вы должны сделать исключительный выбор: у вас может быть быстрая и эффективная машина или вы можете иметь частную. (Мобильные устройства Apple применяют этот способ уже несколько лет.) Если не использовать внешнее сетевое фильтрующее устройство, такое как проездной / vpn-маршрутизатор, которым вы можете полностью управлять, на новых Mac Apple Silicon не будет возможности загрузить какую-либо ОС, которая не будет звонить домой, и вы не можете изменить ОС, чтобы предотвратить это (или они вообще не загрузятся из-за аппаратной криптографической защиты).
Обновление, 2020-11-13 07:20 UTC: Я обращаю внимание на то, что можно отключить защиту во время загрузки и изменить подписанный системный том (SSV) на компьютерах Mac Apple Silicon с помощью инструмента bputil. У меня есть заказ, и я исследую этот блог и сообщу о нем. Насколько я понимаю, это по-прежнему разрешает загрузку только MacOS, подписанной Apple, хотя, возможно, с удалением или отключением некоторых нежелательных системных процессов. Дополнительные данные появятся, когда система будет у меня в руках.
Теперь ваш компьютер обслуживает удаленного хозяина, который решил, что имеет право шпионить за вами. Если у вас самый производительный ноутбук с высоким разрешением в мире, вы не можете отключить это.
Давайте сейчас не будем особо задумываться о дополнительном факте, что Apple может с помощью этих онлайн-проверок сертификатов предотвратить запуск любого приложения, которое они (или их правительство) требуют подвергнуть цензуре.
Дорогая лягушка, эта вода сейчас кипит
День, о котором нас предупреждали Столлман и Доктороу, наступил на этой неделе. Это был медленный и постепенный процесс, но мы наконец-то здесь. Вы больше не будете получать оповещений.
Смотрите также
21 января 2020 года: Apple отказалась от плана шифрования резервных копий после того, как ФБР пожаловалось
Вероятно, не связаны
К другим новостям, Apple незаметно отказалась от сквозной криптографии iMessage. В настоящее время современная iOS запрашивает ваш Apple ID во время установки и автоматически включает iCloud и iCloud Backup.
iCloud Backup не является сквозным шифрованием: он шифрует резервную копию вашего устройства с помощью ключей Apple. Каждое устройство с включенным резервным копированием iCloud (оно включено по умолчанию) создает резервную копию всей истории iMessage в Apple вместе с секретными ключами iMessage каждую ночь при подключении к сети. Apple может расшифровать и прочитать эту информацию, даже не касаясь устройства. Даже если у вас отключено резервное копирование iCloud и / или iCloud: вполне вероятно, что тот, с кем вы обмениваетесь сообщениями iMessage, этого не делает, и что ваш разговор загружается в Apple (и, через PRISM, в свободный доступ для сообщества военной разведки США, ФБР, и др. - без гарантии или вероятной причины).
Ответить с цитированием