drby novinky tohoto týdne je údajný hack Apple iCloud mnoha celebrit. Na internetu byly zveřejněny stovky nahých fotografií, které údajně patří více než stovce herců a zpěváků.
V neděli, fotky 101 celebrit, včetně Ariana Grande, Jennifer Lawrence, Victoria Justice, Kate Upton, Kim Kardashian, Rihanna, Kirsten Dunst, Selena Gomez byly zveřejněny na online sdílení obrázků fóru 4chan, a pověsti uvádějí, že fotky byly získány z celebrit účty na Apple iCloud služby.
Anonymní uživatelé na 4chan tvrdil, že je vzal ze služby, a to i přes to, že Apple není komentoval událost, analýza image EXIF metadata potvrzuje, že většina byla pořízena pomocí zařízení Apple. Nicméně, herečka Mary Elizabeth Winstead tvrdila, že její uniklé obrázky byly pořízeny „před lety.“
podrobné analýzy metadat z uniklých obrázků je k dispozici na Pastebin na následující adrese:
http://pastebin.com/rHSTg6i8
anonymní uživatel, který jako první zveřejnil fotografií celebrit tvrdili, že mají jiné obrázky a explicitní videa Lawrence a požadované dary přes PayPal a Bitcoin pro vysílání.
incident vyvolal otázky ohledně úrovně zabezpečení nabízené online službami, jako je cloudové úložiště. Služba iCloud umožňuje uživatelům Apple automaticky ukládat svá data online, včetně fotografií, dokumentů a e-mailů. Uživatelé mohou přistupovat ke svým dokumentům odkudkoli po ověření služby. Je pravděpodobné, že útočníci zpočátku kompromitovaliicloudúčet patřící jedné nebo více celebritám, pak „zřetězením“ mezi účty, získal přístup k adresáři oběti, aby shromáždil data pro další útoky.
uživatel 4chan, který zveřejnil většinu fotografií, žádal o dary Bitcoin, aby zveřejnil více uniklých obrázků a videí.
analýza transakčních záznamů souvisejících s Bitcoinovým účtem (18pgUn3BBBdnQjKG8ZGedFvcoVcsv1knwa) použitá jako sběratel darů ukazuje, že obdržela osm darů za celkem 0.26 BTC.
Obrázek – Bitcoin účtu používaného hacker, který unikly obrázky,
je nepravděpodobné, že hackeři ohrozilo celý Apple iCloud služby a její infrastruktury. Údajný útočník s největší pravděpodobností použil nějaký hack k cílení na konkrétní účty.
v minulosti jsme již diskutovali o tom, že existuje mnoho způsobů, jak narušit uživatelský účet. Útočník by mohl uhodnout přihlašovací údaje uživatele, ukrást je malwarem nebo jednoduše resetovat účet oběti tím, že najde přidruženou e-mailovou adresu a poté odpoví na „bezpečnostní otázky“. Útočník mohl shromažďovat potřebné informace o obětech prostřednictvím různých forem útoků sociálního inženýrství. Shromážděná data by mu mohla pomoci provést nouzový postup (např. reset hesla, reset zálohování), jednoduše odpovědět na řadu otázek.
web Další Web po zveřejnění fotografií odhalil existenci kódu pro hackování iCloud, který byl zveřejněn na open-source webu GitHub.
aplikace využívá zranitelnosti, již opravena Apple v „Find my iPhone“ služba uhodnout hesla s neomezenou pokusy, aniž by byl uzamčen.
funkce Najít můj iPhone umožňuje uživatelům najít a chránit svá zařízení Apple (iPhone, iPad, iPod touch nebo Mac), pokud jsou ztracena nebo odcizena. Útočník může hrubou silou účet oběti, což je operace, kterou lze zlepšit výběrem hesel ze slovníku slov a frází. Výběr těchto databází hesel by mohl být založen na znalostech obětí, jejich zvycích a preferencích.
jedna z obětí úniku dat, Jennifer Lawrence, potvrdila pravost svých obrázků. Její mluvčí definoval incident jako „flagrantní porušení soukromí“a hrozil stíháním každého, kdo sdílel Obrázky online.
„úřady byly kontaktovány a budou stíhat každého, kdo zveřejní ukradené fotografie Jennifer Lawrence,“ řekl mluvčí.
bezpečnostní experti spekulují, že fotografie mohly být ukradeny z účtů Dropbox obětí. Má někdo předpokládal, že zasvěcenci „s přístupem k údajům někde udělal vlastní skrýš“ a následně byl hacknutý osoby, která unikly obrázky on-line.
vyloučit výše uvedené hypotézy, protože iCloud zálohování, včetně fotografií, jsou šifrována, a dokonce i přístup k účtu není možné dešifrovat informace uložené v Apple Cloud.
„Některé mají také poukázal na přítomnost Dropbox soubor s příponou tutorial v jednom hacknutý účet, jak naznačuje, že třetích stran cloud storage služby byl zdrojem nějaké fotky,“ uvádí The Guardian v příspěvku na incident.
Další populární mobilní aplikace byla zmíněna v mnoha článcích zveřejněných na úniku dat je Snapchat. Několik obrázků mělo překrytý text, což naznačuje, že alespoň některé obrázky byly sdíleny se Snapchatem. Ačkoli Snapchat byl v posledních měsících ovlivněn hlavními bezpečnostními problémy,je nepravděpodobné, že jeho porušení je příčinou narušení dat.
v době psaní tohoto článku společnost Apple opravila chybu zabezpečení ve službě Apple iCloud, kterou útočníci mohli zneužít k porušení účtů celebrit a krádeži jejich fotografií. Bezpečnostní oprava přichází jen pár hodin poté, co hackeři zveřejnili stovky nahých fotografií celebrit na 4chanu.
chyba – Apple je „Find my iPhone“ přihlášení citlivé na útoky hrubou silou
hackerů, které unikly soukromé fotografie celebrit, online mohou zneužít chybu v Apple je „Find my iPhone“ funkce, která umožňuje útočníkovi hrubou silou uživatelského účtu.
několik hodin po úniku dat, na GitHub online úložiště byl zveřejněn Python skript, který může být použit pro „hrubou silou“ Apple iCloud účtu heslo, že využívá zranitelnosti v Find my iPhone služby. Útočník mohl pomocí skriptu opakovaně hádat hesla ve snaze objevit ten správný.
skript byl k dispozici pro každého, alespoň na pár dní, než Apple opravil chybu zabezpečení a zablokoval účty po pěti neúspěšných pokusech.
není jasné, jak dlouho byla tato chyba zabezpečení přítomna ve funkci Najít můj iPhone. Jedinou jistotou je, že chybu zneužili útočníci, kteří si byli vědomi e-mailové adresy obětí.
vlastník nástroje, Hackapp, oznámil, že oprava byla použita 3: 20am pt. Každopádně poznamenal, že neexistují žádné důkazy o tom, že by se ibrute podílel na tomto incidentu.
„ještě jsem neviděl žádné důkazy, ale připouštím, že by někdo mohl tento nástroj použít,“ řekl.
Obrázek – HackApp Tweet
Obrázek – GitHub PythonScript mi Přečíst soubor
Skript můžete hádat hesla opakovaně bez jakéhokoliv zablokování nebo upozornění na cíl. Jakmile je heslo objeveno, může být použito pro přístup k účtu oběti.
Obrázek – Běží skript v Pythonu
Hackapp potvrdil, že tento druh chyby je velmi běžné pro službu ověřování rozhraní:
„Tato chyba je společný pro všechny služby, které mají mnoho ověřování rozhraní“ a že se „základní znalost čichání a couvací techniky“ je „triviální“ je odhalit,“ řekl expert.
Hackapp také zveřejnil snímky, které obsahovaly podrobnosti o schématu útoku a analýzu bezpečnostních problémů souvisejících s klíčenkou iCloud.
Obrázek – Snímky zveřejněné Hackapp
zajímavý úhel pohledu je, že Christopher Soghoian, hlavní technologie na Americké Unie Občanských Svobod, na chybu v Apple systému a jeho údajné vykořisťování:
„Pokud celebrity‘ iCloud hesla účtu byly brutální, nucená, problém se zdá být nedostatek omezení rychlosti od Apple, ne nedostatek crypto,“ řekl Soghoian přes Twitter.
“ film “ již viděný
v květnu 2014 se počítačoví zločinci zaměřili na velké množství australských uživatelů Apple iCloud sofistikovaným vydíráním.
uživatelé Apple jsou terčem ransomware-jako útok, který zamčené iPhone, Mac a ipad přes iCloud a zprávy pocházející z Apple Find my iPhone službu, která uvádí, že „Zařízení hacknutý Oleg Flus“.
Obrázek – iCloud hack Oleg Flus
Provádění konsolidované vydírání, zločinci žádost o odemčení zařízení tím, že pošle až 100 dolarů výkupného na konkrétní Paypal účet.
„šel jsem zkontrolovat můj telefon a tam byla zpráva na obrazovce (to je ještě tam) říká, že moje zařízení(y) byl hacknutý ‚Oleg Flus‘ a on/ona/oni požadovali $100 USD/EUR (poslal paypal lock404(at)hotmail.com), aby mi je vrátil, “ napsala oběť nového ransomwaru na fóru podpory Apple.
ve skutečnosti uživatelé Apple nečelí klasické infekci svých zařízení ransomwarem; útočníci údajně unesli funkci Apple Find My iPhone. Tímto způsobem zločinci vzdáleně zamknout iOS a Mac zařízení a odeslat zprávy požadují výkupné.
počítačoví zločinci používali kompromitované účty iCloud, které pravděpodobně nepoužívaly dvoufázový ověřovací proces. Pro tyto účty mohou hackeři získat přístup k zařízení jednoduše pomocí odcizených přihlašovacích údajů.
V tento scénář útoku, jediná možnost, jak obnovit zařízení pro majitele zařízení Apple je obnovit v „recovery mode“, ale tento proces vymaže všechna data uložená na zařízení a aplikace nainstalované.
kdo je viníkem?
hon na viníka je otevřený. Vývojář Bryan Hamade je jednou z hlavních osob podezřelých z úniku dat. Reddit and 4chan uživatelé spekulovali o tom, že Hamade je viníkem, protože screenshot publikováno on-line se objevil ukázat řadu jmen spojených s web developerské společnosti v Gruzii.
Obrázek – Bryan Hamade podezřelý jako viník hack
muž odmítl obvinění a vysvětlil médiím, že on jen oznámil, obrázky.
“ přeposlal jsem pouze jednu věc, která byla zveřejněna jinde a hloupě jsem měl viditelné síťové složky.“
“ nejsem původní leaker. Skutečný chlap je na 4chan vysílání nepravidelně,“ „je s největší pravděpodobností za to ale vypadá fotografie prošel kolem více lidí, než byla prozrazena, takže to může být jen někdo, kdo je má a neměl hack, aby si je. Nikdy bych za milion let nevěděl, jak se nabourat do některého z uvedených účtů. 4chan mě prostě napadl, protože v takových situacích rádi útočí na kohokoli, “ řekl.
Hamade odhalil, že dostává nepřetržité hrozby od lidí vyšetřujících údajný hack iCloud:
“ byla to noční můra a teď jsem nespal 34 hodin. Uživatelé 4chan mě obtěžují nepřetržitými telefonními hovory a e-maily. Neustále mi posílají e – maily, e-mailem říkají, že hacknou mé osobní webové stránky a budou mi volat do telefonu, říkat mi teplouš a pak zavěsit. Také řekli, že hacknou stránky mé matky , tak jsem to sundal … lituji toho tolik … ani jsem z toho nedostal žádný bitcoin. Je to ta nejhloupější věc, kterou jsem udělal, a doufám, že mi to nezničí život, i když to pravděpodobně bude, protože je to jen největší zpráva.“
jak zabezpečit svůj osobní cloud
služby cloudového úložiště jsou velmi populární. Uživatelé a podniky ukládají do cloudu působivé množství dat a je důležité pochopit, jak zlepšit jejich ochranu. Nejprve mi dovolte aktivovat dvoufaktorovou autentizaci pro služby, které ji implementují, a zvolit silné heslo, zejména pokud je to jediná ochrana, která uchovává naše data.
Jak zvolit silné heslo?
Chcete-li sestavit těžko uhodnutelná hesla, dovolte mi doporučit:
- Používejte dlouhá hesla (minimální délku sedm znaků, nejlépe více pro zvýšení síly)
- Používat širokou škálu postav, včetně A-Z, A-z, 0-9, interpunkce a symboly, jako # $ @, pokud je to možné
- Jako pravidlo, zkuste použít alespoň jeden dolní a jeden horní-případ, charakter, a alespoň jednu číslici. Pokud je to technicky možné, použijte také interpunkční znaménko. To pomáhá zvýšit celkový vyhledávací prostor.
- v některých případech použijte místo písmen čísla. Změňte „i“ o „1“, “ E “ o „3“,“ A „O“ 4 „(nebo@),“ S „o“ 5″,“ G „o“ 6″,“ O „o“0“. Opět to pomáhá zvětšit vyhledávací prostor.
Vyhněte se triviálním heslům, protože jsou vždy součástí slovníku hesel. Hesla by neměla obsahovat vaše jméno nebo přihlašovací jméno / ID uživatele. Je důležité vytvořit složitá, ale snadno zapamatovatelná hesla. Předpokládejme například, že jste velkým fanouškem Simpsonových. Dobré heslo pro váš e-mail může být něco v duchu: Ih4teM0ntg0m3ry#Burn5 (pokud nechcete dostat, to znamená „Nesnáším Montgomery Burns“). A Facebook možná můžete použít B4rT#I5#MOJE#Fr13nD („Bart je můj přítel“, s čísly namísto písmen a každé slovo začíná a skončil na velká písmena). Jsou to není tak snadné uhodnout hrubou silou útoky, protože na délku, rozsah znaků (velká a malá písmena, čísla a symboly), a protože věděl, že se vám líbí The Simpsons neznamená, že je snadné odvodit, co si myslíte o The Simpsons postavy.
Pokud jako heslo používáte dlouhé výrazy nebo fráze, zkuste použít nějakou jednoduchou techniku k nahrazení jednoho písmene jiným písmenem: například nahrazení každého písmene “ a „symbolem “ procent“. To pomáhá předcházet útokům slovníku a zároveň si snadno zapamatuje vaši frázi.
Další možností pro uživatele je přijmout správce hesel, které umožňují uživatelům také používat složitá hesla.
povolte dvoufaktorové ověřování pro službu Apple iCloud
nejprve se přihlaste ke svému účtu Apple pomocí svého Apple ID.
- vyberte „Spravovat své Apple ID a přihlásit se“
- vyberte „heslo a zabezpečení“
- v části „dvoufázové ověření“ vyberte „Začínáme“ a postupujte podle pokynů.
závěry
buďte si vědomi, protože nejen celebrity jsou vystaveny takovým rizikům. Bez ohledu na to, zda jste manažer nebo obyčejný jedinec, vaše data jsou cennou komoditou v ekosystému počítačové kriminality. Z tohoto důvodu je důležité znát hlavní kybernetické hrozby a hlavní postupy zmírňování. To by mohl být jen začátek. V tuto chvíli je na akci spousta zmatků, ale Taylor Swift z InfoSec varoval, že mohly být ovlivněny další celebrity:
“ _to je jen začátek._ Byly zobrazeny složky obrázků s viditelnými miniaturami, mnoho celebrit ještě nemělo být ovlivněno, kdo bude.“
Apple v pondělí řekl společnosti Recode, že vyšetřuje incident, aby zjistil, zda byly tyto účty iCloud skutečně napadeny a jak.
“ Bereme soukromí uživatelů velmi vážně a tuto zprávu aktivně vyšetřujeme,“ uvedla mluvčí společnosti Apple Natalie Kerris.
zůstaňte naladěni pro více informací.
http://www.businessinsider.com/4chan-nude-photo-leak-2014-8
http://www.businessinsider.com/icloud-naked-celebrity-photo-leak-2014-9
http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/
http://www.independent.co.uk/life-style/gadgets-and-tech/is-apples-icloud-safe-after-leak-of-jennifer-lawrence-and-other-celebrities-nude-photos-9703142.html
http://www.businessinsider.com/man-accused-of-leaking-naked-celebrity-icloud-photos-denies-everything-2014-9
http://www.zdnet.com/after-alleged-icloud-breach-heres-how-to-secure-your-personal-cloud-7000033177/
http://www.businessinsider.com/apple-fixes-security-flaw-in-find-my-iphone-software-2014-9
Extortion scheme based on ransom request hit Australian Apple Users
http://www.theguardian.com/technology/2014/sep/01/naked-celebrity-hack-icloud-backup-jennifer-lawrence
http://pastebin.com/rHSTg6i8