sagen
sladdernyhederne i denne uge er det påståede hack af Apples iCloud af mange berømtheder. Hundredvis af nøgne fotos, der angiveligt tilhører mere end hundrede skuespillere og sangere, er blevet afsløret online.
søndag blev billederne af 101 berømtheder, herunder Ariana Grande, Jennifer Laurence, Victoria Justice, Kate Upton, Kim Kardashian, Rihanna, Kirsten Dunst og Selena Gomes offentliggjort på online billeddelingsforum 4chan, og rygter rapporterer, at billederne blev hentet fra berømthedernes konti på Apple iCloud-tjenesten.
anonyme brugere på 4chan hævdede at have taget dem fra tjenesten, og på trods af at Apple ikke har kommenteret begivenheden, bekræfter analysen af billedet indlejret EKSIF metadata, at flertallet blev taget ved hjælp af Apple-enheder. Imidlertid, skuespillerinde Mary Elisabeth Vinstead hævdede, at hendes lækkede billeder blev taget “for mange år siden.”
en detaljeret analyse af metadataene for det lækkede billede er tilgængelig på Pastebin på følgende adresse:
http://pastebin.com/rHSTg6i8
den anonyme bruger, der først postede berømthedernes fotos, hævdede at have andre billeder og eksplicitte videoer af Laurence og anmodede om donationer via PayPal og Bitcoin for at sende dem.
hændelsen har rejst spørgsmål om sikkerhedsniveauet, der tilbydes af onlinetjenester som cloud storage. ICloud-tjenesten giver Apple-brugere mulighed for automatisk at gemme deres data online, inklusive fotos, dokumenter og e-mails. Brugere kan få adgang til deres dokumenter hvor som helst, når de er godkendt til tjenesten. Det er sandsynligt, at angriberne oprindeligt kompromitteredeicloud-konto tilhørende en eller flere berømtheder, derefter ved at “kæde” mellem konti, fik adgang til offerets adressebog for at indsamle data til yderligere angreb.
4chan-brugeren, der sendte størstedelen af billederne, anmodede om Bitcoin-donationer for at offentliggøre flere lækkede billeder og videoer.analysen af transaktionsregistrene relateret til Bitcoin-kontoen (18pgun3bbbdnkg8gedfvcovcsv1knv), der anvendes som samler til donationerne, afslører, at den har modtaget otte donationer til i alt 0.26 BTC.
figur – Bitcoin-konto brugt af hackeren, der lækkede billederne
det er usandsynligt, at hackere har kompromitteret hele Apple iCloud-tjenesten og dens infrastruktur. Den påståede angriber brugte sandsynligvis noget hack til at målrette mod specifikke konti.
vi diskuterede allerede tidligere, at der er mange måder at krænke en brugerkonto på. En hacker kunne gætte brugerens legitimationsoplysninger, stjæle dem med et ondsindet program eller blot nulstille offerets konto ved at finde den tilknyttede e-mail-adresse og derefter besvare ‘sikkerhedsspørgsmålene’. En angriber kunne indsamle nødvendige oplysninger om ofrene gennem forskellige former for social engineering angreb. De indsamlede data kan hjælpe ham med at udføre en nødprocedure (f.eks. nulstilling af adgangskode, nulstilling af backup) ved blot at besvare en række spørgsmål.
hjemmesiden det næste Internet, efter offentliggørelsen af billederne, har afsløret eksistensen af en kode til hacking af iCloud, der blev sendt til open source-hjemmesiden GitHub.
applikationen udnytter en sårbarhed, der allerede er rettet af Apple, i tjenesten ‘Find min iPhone’ for at gætte adgangskoder med ubegrænsede forsøg uden at blive låst ude.
Find min iPhone-funktion giver brugerne mulighed for at finde og beskytte deres Apple-enheder (iPhone, iPad, iPod touch eller Mac), hvis de går tabt eller stjæles. Angriberen kan brute tvinge offerets konto, en operation, der kan forbedres ved at vælge adgangskoder fra en ordbog med ord og sætninger. Valget af disse databaser med adgangskoder kunne være drevet af ofrenes viden, deres vaner og deres præferencer.et af de kendte ofre for datalækage, Jennifer Laurence, har bekræftet ægtheden af hendes billeder. Hendes talsmand definerede hændelsen som en” åbenlys krænkelse af privatlivets fred ” og truede med at retsforfølge enhver, der delte billederne online.”myndighederne er blevet kontaktet og vil retsforfølge alle, der poster de stjålne fotos af Jennifer Laurence,” sagde talsmanden.
sikkerhedseksperter spekulerer i, at fotos kan være blevet stjålet fra ofrenes Dropboks-konti. Nogen har antaget, at insidere “med adgang til data et eller andet sted lavede en privat stash” og blev efterfølgende hacket af den person, der lækkede billederne online.
jeg udelukker ovenstående hypotese, fordi iCloud-sikkerhedskopier, inklusive Fotos, er krypteret, og selv ved at få adgang til kontoen er det ikke muligt at dekryptere de oplysninger, der er gemt i Apple Cloud.
” Nogle har også peget på tilstedeværelsen af en dropboks tutorial fil i en hacket konto som tyder på, at tredjeparts cloud storage service var en kilde til nogle billeder,” siger The Guardian i et indlæg om hændelsen.
en anden populær mobilapplikation blev nævnt i adskillige artikler, der blev lagt ud på datalækagen, er Snapchat. Flere billeder havde tekst overlejret, hvilket indikerer, at i det mindste nogle af billederne blev delt med Snapchat. Selvom Snapchat blev påvirket af store sikkerhedsproblemer i de sidste måneder, er det usandsynligt, at overtrædelsen er årsagen til databruddet.
På tidspunktet for denne skrivning har Apple rettet sikkerhedssårbarheden i Apple iCloud-tjenesten, der kunne have været udnyttet af angribere til at krænke berømthedskonti og stjæle deres fotos. Sikkerhedsrettelsen kommer kun få timer efter, at hackere offentliggjorde hundreder af nøgne berømthedsbilleder på 4chan.
fejlen – Apples “Find min iPhone” login sårbar over for brute force-angreb
hackerne, der lækkede de private berømthedsbilleder online, kan have udnyttet en fejl i Apples “Find min iPhone” – funktion, som gør det muligt for en angriber at brute force brugerens konto.
et par timer efter datalækagen blev der på GitHub online-depotet offentliggjort et Python-script, der kunne bruges til at “brute force” en Apple iCloud-kontos adgangskode, der udnytter sårbarheden i Find My iPhone-tjenesten. Angriberen kunne bruge scriptet til gentagne gange at gætte adgangskoder i et forsøg på at finde den rigtige.
scriptet var tilgængeligt for alle, i det mindste i et par dage, før Apple løste sårbarheden og blokerede kontiene efter fem mislykkede forsøg.
det er uklart, hvor længe denne sårbarhed var til stede i Find min iPhone-funktion. Den eneste sikkerhed er, at fejlen kunne udnyttes af angribere, der var opmærksomme på ofrenes e-mail-adresse.
ejeren af værktøjet, Hackapp, rapporterede, at rettelsen blev anvendt 3:20am PT. Alligevel bemærkede han, at der ikke er noget bevis for, at ibrute var involveret i denne hændelse.
“jeg har ikke set noget bevis endnu, men jeg indrømmer, at nogen kunne bruge dette værktøj,” sagde han.
figur – HackApp kvidre
figur – GitHub pythonscript Læs mig fil
scriptet kan gætte adgangskoder gentagne gange uden nogen lockout eller advarsel til målet. Når adgangskoden er opdaget, kan den bruges til at få adgang til offerets konto.
Figure – Running Python script
Hackapp bekræftede, at denne form for fejl er meget almindelig for authentication service interfaces:
“denne fejl er almindelig for alle tjenester, der har mange godkendelsesgrænseflader”, og at det med “grundlæggende viden om sniffing og reverseringsteknikker” er “trivielt” at afdække dem,” sagde eksperten.
Hackapp postede også lysbillederne, der indeholdt detaljer om angrebsordningen og en analyse af sikkerhedsproblemer relateret til iCloud nøglering.
figur – dias udgivet af Hackapp
et interessant synspunkt er Christopher Soghoian, teknologiens hovedstol ved American Civil Liberties Union, om fejlen i Apple-systemet og dets påståede udnyttelse:”hvis celebs’ iCloud-kontoadgangskoder blev brute tvunget, synes problemet at være manglende hastighedsbegrænsning af Apple, ikke mangel på krypto,” kommenterede Soghoian via kvidre.
en “film” allerede set
I maj 2014 målrettede cyberkriminelle et stort antal australske brugere af Apples iCloud med en sofistikeret afpresningsordning.Apple-brugere blev målrettet mod det løseprogram-lignende angreb, der låste iPhone, Mac og iPads gennem iCloud og en meddelelse med oprindelse i Apples Find My iPhone-tjeneste, der sagde “enhed hacket af Oleg Pliss”.
figur – iCloud hack af Oleg Pliss
implementering af en konsolideret afpresningsordning anmoder de kriminelle om at låse enheden op ved at sende op til $100 løsepenge til en bestemt Paypal-konto.
“jeg gik for at tjekke min telefon, og der var en besked på skærmen (den er der stadig), der sagde, at min enhed(E) var blevet hacket af ‘Oleg Pliss’, og han/hun/de krævede $100 USD/EUR (sendt af paypal til lock404(at)hotmail.com) for at returnere dem til mig,” skrev et offer for den nye løseprogram på Apple Support Forum.i virkeligheden står Apple-brugere ikke over for en klassisk infektion af deres enheder af løsepenge; angriberne angiveligt kapret Apples Find My iPhone-funktion. På denne måde låser kriminelle eksternt iOS-og Mac-enheder og sender beskeder, der kræver løsepenge.
cyberkriminelle brugte kompromitterede iCloud-konti, der sandsynligvis ikke brugte en totrinsbekræftelsesproces. For disse konti er hackere i stand til at få adgang til enheden ved blot at bruge stjålne legitimationsoplysninger.
i dette angrebsscenarie er den eneste mulighed for at gendanne enheden til ejere af Apple-enheder at nulstille den i “gendannelsestilstand”, men denne proces sletter alle data, der er gemt på enheden og installerede applikationer.
Hvem er synderen?
jagten på synderen er åben. Udvikleren Bryan Hamade er en af de vigtigste personer, der mistænkes for datalækage. Reddit-og 4chan-brugere spekulerede i muligheden for, at Hamade er synderen, fordi et skærmbillede, der blev sendt online, syntes at vise en række navne forbundet med et internetudviklingsfirma i Georgien.
figur – Bryan Hamade mistænkt som skyldige i hack
manden nægtede beskyldningen og forklarede medierne, at han kun har rapporteret billederne.
“jeg reposted kun en ting, der blev sendt andetsteds og dumt havde mine netværksmapper synlige.”
” Jeg er ikke den oprindelige leaker. Den rigtige fyr er på 4chan udstationering intermitterende, “” han er sandsynligvis den bag det, men det ser ud til, at billederne gik rundt til flere personer, før de blev lækket, så det kan bare være nogen, der har dem og ikke hackede for at få dem. Jeg ville aldrig i en million år vide, hvordan man hacker ind på nogen af de nævnte konti. 4chan angreb mig bare, fordi de kan lide at angribe nogen i situationer som denne,” sagde han.Hamade afslørede, at han modtog kontinuerlige trusler fra folk, der undersøgte det påståede iCloud-hack:
“det har været et mareridt, og jeg har ikke sovet i 34 timer nu. 4chan brugere chikanerer mig med non-stop telefonopkald og e-mails. De e-mailer mig konstant, e-maile og siger, at de vil hacke mine personlige hjemmesider og fortsætte med at ringe til min telefon, kalder mig en fag og lægger derefter på. De sagde også, at de vil hacke min mors side, så jeg tog det ned … Jeg fortryder det så meget … jeg fik ikke engang noget bitcoin ud af det. Det er den dummeste ting, jeg har gjort, og jeg håber, det ikke vil ødelægge mit liv, selvom det sandsynligvis vil, da det bare er den største nyhedshistorie.”
Sådan sikres din personlige sky
Cloud storage-tjenester er meget populære. Brugere og virksomheder gemmer en imponerende mængde data på skyen, og det er vigtigt at forstå, hvordan man forbedrer deres beskyttelse. Lad mig først og fremmest foreslå at aktivere tofaktorautentificering for de tjenester, der implementerer den, og vælge en stærk adgangskode, især når det er den eneste beskyttelse, der bevarer vores data.
Hvordan vælger du en stærk adgangskode?
for at komponere svære at gætte adgangskoder, lad mig anbefale:
- Brug lange adgangskoder (minimumslængde på syv tegn, helst mere for at øge styrken)
- brug en bred vifte af tegn inklusive A-Å, a-Å, 0-9, tegnsætning og symboler, som # $ @, hvis det er muligt
- prøv som regel at bruge mindst et lille og et stort tegn og mindst et ciffer. Hvis det er teknisk muligt, skal du også bruge et tegnsætningstegn. Dette hjælper med at øge det samlede søgeområde.
- brug tal i stedet for bogstaver i nogle tilfælde. Skift ” i “med” 1″,” E “med” 3″,” A “med” 4 “(eller@),” S “med” 5″,” G “med” 6″,” O “med”0”. Igen hjælper dette med at øge søgepladsen.
undgå trivielle adgangskoder, fordi de altid er inkluderet i en adgangskodeordbog. Adgangskoder bør ikke indeholde dit navn eller Login/bruger-ID. Det er vigtigt at oprette komplekse, men nemme at huske adgangskoder. Antag for eksempel, at du er en stor fan af The Simpsons. En god adgangskode til din e-mail kan være noget i retning af: Ih4teM0ntg0m3ry#Burn5 (hvis du ikke får det, betyder det “Jeg hader Montgomery Burns”). Og for Facebook kan du måske bruge B4rT#I5 # MY # Fr13nD (“Bart er min ven”, med tal i stedet for bogstaver og hvert ord begynder og slutter med store bogstaver). Disse er ikke så lette at gætte ved brute force – angreb på grund af længden, karakterområdet (store og små bogstaver, tal og symboler), og fordi det at vide, at du kan lide Simpsons, ikke betyder, at det er let at udlede, hvad du synes om Simpsons-tegnene.
Når du bruger lange udtryk eller sætninger som adgangskode, skal du prøve at bruge en simpel teknik til at erstatte et bogstav med et andet bogstav: for eksempel erstatter hvert bogstav ‘a’ med symbolet ‘procent’. Dette hjælper med at forhindre mod ordbog angreb samtidig holde det nemt at huske din pass sætning.
en anden mulighed for brugere er at vedtage adgangskodeadministratorer, der giver brugerne også mulighed for at bruge komplekse adgangskoder.
aktiver tofaktorautentificering for Apple iCloud-tjenesten
log først på din Apple-konto med dit Apple ID.
- vælg “Administrer dit Apple-ID, og log ind”
- Vælg “adgangskode og sikkerhed”
- under “totrinsbekræftelse” skal du vælge “Kom i gang” og følge instruktionerne.
konklusioner
Vær opmærksom, fordi ikke kun berømtheder udsættes for sådanne risici. Uanset om du er en leder eller et fælles individ, er dine data en dyrebar vare i økosystemet for cyberkriminalitet. Af denne grund er det vigtigt at kende de vigtigste cybertrusler og de vigtigste afbødningspraksis. Dette kunne kun være begyndelsen. I øjeblikket er der meget forvirring om begivenheden, men Infosecs Taylor-hurtig advarede om, at andre berømtheder kan have været påvirket:
“_dette er bare begyndelsen._ Mapper med billeder med miniaturebilleder synlige er blevet vist, mange celebs endnu ikke påvirket, hvem der vil.”
Apple fortalte Recode mandag, at det undersøgte hændelsen for at finde ud af, om disse iCloud-konti virkelig var blevet hacket, og hvordan.
“vi tager brugernes privatliv meget alvorligt og undersøger aktivt denne rapport,” sagde Apple-talskvinde Natalie Kerris.
Hold øje med mere information.
http://www.businessinsider.com/4chan-nude-photo-leak-2014-8
http://www.businessinsider.com/icloud-naked-celebrity-photo-leak-2014-9
http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/
http://www.independent.co.uk/life-style/gadgets-and-tech/is-apples-icloud-safe-after-leak-of-jennifer-lawrence-and-other-celebrities-nude-photos-9703142.html
http://www.businessinsider.com/man-accused-of-leaking-naked-celebrity-icloud-photos-denies-everything-2014-9
http://www.zdnet.com/after-alleged-icloud-breach-heres-how-to-secure-your-personal-cloud-7000033177/
http://www.businessinsider.com/apple-fixes-security-flaw-in-find-my-iphone-software-2014-9
Extortion scheme based on ransom request hit Australian Apple Users
http://www.theguardian.com/technology/2014/sep/01/naked-celebrity-hack-icloud-backup-jennifer-lawrence
http://pastebin.com/rHSTg6i8