Sicurezza iCloud nel 2017: cosa viene dopo?
Reincubare aiuta aziende e individui a creare valore con i propri dati in modo etico e trasparente, e come tale è importante che i dati e le piattaforme sottostanti siano essi stessi sicuri. Oltre ad alcuni dei più ampi elementi di sicurezza del cloud , all'inizio del 2017 ci sono quattro tendenze chiave e aree di cambiamento positivo per iCloud.
Autenticazione a due fattori: promossa pesantemente in iOS 10.3
Il primo è il roll out escalation di 2FA. Questo è un eccellente passo da parte di Apple per aumentare la sicurezza degli account iCloud. Nel tentativo di incoraggiare l'adozione dello standard, Reincubate ha rilasciato il supporto gratuito per 2FA, 2SV e la tokenizzazione per tutti i suoi utenti nel 2016. Eccitante, Apple ha sviluppato una serie di funzionalità in iOS 10.3 per promuovere 2FA in modo più intenso, da un badge indicatore sull'icona delle impostazioni, migliore documentazione e notifiche regolari agli utenti per abilitarlo. Il rilascio di 10.3 alla fine di questo mese farà impennare l'adozione di 2FA, che dai dati di Reincubate è ancora basso.
Diminuzione della memorizzazione di dati dinamici nei backup
Mentre nel 2015, Apple ha archiviato la maggior parte dei propri dati nei backup di iCloud, che non sempre è il caso. Il 2016 ha visto iOS 9.3 spostare la cronologia del browser di Safari nel servizio di sincronizzazione CloudKit di Apple e il rilascio di iOS 10 ha spostato i registri delle chiamate su CallKit.
La crescente complessità di questi sistemi scoraggia gli hacker e riduce l'importanza dei backup di iCloud come un singolo set di dati master, presentando allo stesso tempo un meccanismo in cui alcuni dati vengono sincronizzati più spesso di ogni 24 ore. L' API di Cloud Data di Reincubate ha supportato ogni fase di questo processo.
Notifica di accesso all'account, vincolo e estrazione delle caratteristiche
Mentre Apple ha creato sistemi di notifica degli account per alcuni elementi di iCloud, non tutti gli accessi sono resi noti e sono responsabili per gli utenti. Il team di Reincubate ritiene che questo dovrebbe essere il caso, e così stanno lavorando per definire e fornire lo standard di settore per questo meccanismo nell'API dei dati cloud. Ci sarà più annunciato su questo nei prossimi mesi man mano che lo standard si sviluppa.
Esistono tecniche da utilizzare per limitare la quantità di dati cloud che fluiscono attraverso i sistemi. L'API di Reincubate fornisce funzionalità critiche per limitare il volume e la natura dei dati a cui i client possono accedere, in modo che possano essere salvaguardati in caso di violazione dei propri sistemi o delle proprie credenziali. Allo stesso modo, le tecniche di machine learning (ML) come l' estrazione di feature agiscono come ottimi modi per i clienti di analizzare le informazioni dal cloud senza dover memorizzare o rivelare i dati sottostanti.
Affidamento a sistemi e ambienti affidabili
Infine, come con le tecniche utilizzate in Apple Pay e TouchID, Apple farà ancora di più nel grande aggiornamento iOS 2017 per sfruttare gli ambienti sicuri disponibili in iOS e macOS. Per gli hacker che cercano di entrare, questo lavoro aumenterà significativamente la complessità e il costo di trovare e mantenere l'accesso a questi sistemi, sperabilmente nella misura in cui si rivolgono ad altre piattaforme più deboli - che a loro volta dovranno migliorare. Apple ha dato un'altra occhiata a questo nel 2016, quando ha applicato patch alla crittografia locale dei backup di iOS 10 su iTunes per essere notevolmente costosi .
Notato esperto di sicurezza e autore di Little Flocker, Jonathan Zdziarski scrive in modo più dettagliato su come la tecnologia chiusa in macOS e iOS viene utilizzata per offrire un'esperienza sicura con Apple Pay e come queste tecniche possano essere estese per affrontare il phishing .