Der Fall
Die Klatschnachrichten dieser Woche sind der angebliche Hack von Apples iCloud vieler Prominenter. Hunderte von Nacktfotos, die angeblich mehr als hundert Schauspielern und Sängern gehören, wurden online veröffentlicht.
Am Sonntag wurden die Bilder von 101 Prominenten, darunter Ariana Grande, Jennifer Lawrence, Victoria Justice, Kate Upton, Kim Kardashian, Rihanna, Kirsten Dunst und Selena Gomez, im Online-Bildaustauschforum 4chan veröffentlicht, und Gerüchte berichten, dass die Bilder von den Konten der Prominenten im Apple iCloud-Dienst stammen.Anonyme Benutzer auf 4chan behaupteten, sie aus dem Dienst genommen zu haben, und obwohl Apple das Ereignis nicht kommentiert hat, bestätigt die Analyse der eingebetteten EXIF-Metadaten des Bildes, dass die Mehrheit mit Apple-Geräten aufgenommen wurde. Die Schauspielerin Mary Elizabeth Winstead behauptete jedoch, dass ihre durchgesickerten Bilder „vor Jahren“ aufgenommen wurden.“
Eine detaillierte Analyse der Metadaten des durchgesickerten Bildes ist auf Pastebin unter folgender Adresse verfügbar:
http://pastebin.com/rHSTg6i8
Der anonyme Benutzer, der die Fotos der Prominenten zum ersten Mal gepostet hat, behauptete, andere Bilder und explizite Videos von Lawrence zu haben, und bat um Spenden über PayPal und Bitcoin, um sie zu veröffentlichen.
Der Vorfall hat Fragen zum Sicherheitsniveau von Online-Diensten wie Cloud-Speicher aufgeworfen. Mit dem iCloud-Dienst können Apple-Benutzer ihre Daten automatisch online speichern, einschließlich Fotos, Dokumente und E-Mails. Benutzer können von überall auf ihre Dokumente zugreifen, sobald sie beim Dienst authentifiziert sind. Es ist wahrscheinlich, dass die Angreifer zunächst kompromittierendas ICLOUDACCOUNT, das einem oder mehreren Prominenten gehört, erhielt dann durch „Verkettung“ zwischen Konten Zugriff auf das Adressbuch des Opfers, um Daten für weitere Angriffe zu sammeln.
Der 4chan-Benutzer, der die Mehrheit der Fotos gepostet hat, bat um Bitcoin-Spenden, um weitere durchgesickerte Bilder und Videos zu veröffentlichen.Die Analyse der Transaktionsdatensätze im Zusammenhang mit dem Bitcoin-Konto (18pgUn3BBBdnQjKG8ZGedFvcoVcsv1knWa), das als Sammler für die Spenden verwendet wurde, zeigt, dass es acht Spenden für insgesamt 0.26 BTC erhalten hat.
Abbildung – Bitcoin-Konto des Hackers, der die Bilder durchgesickert ist
Es ist unwahrscheinlich, dass Hacker den gesamten Apple iCloud-Dienst und seine Infrastruktur kompromittiert haben. Der mutmaßliche Angreifer hat höchstwahrscheinlich einen Hack verwendet, um auf bestimmte Konten abzuzielen.
Wir haben bereits in der Vergangenheit diskutiert, dass es viele Möglichkeiten gibt, ein Benutzerkonto zu verletzen. Ein Angreifer könnte die Anmeldeinformationen des Benutzers erraten, sie mit einer Malware stehlen oder einfach das Konto des Opfers zurücksetzen, indem er die zugehörige E-Mail-Adresse findet und dann die Sicherheitsfragen beantwortet. Ein Angreifer könnte notwendige Informationen über die Opfer durch verschiedene Formen von Social-Engineering-Angriffen sammeln. Die gesammelten Daten könnten ihm helfen, ein Notfallverfahren (z. B. Zurücksetzen des Passworts, Zurücksetzen des Backups) durchzuführen, indem er einfach eine Reihe von Fragen beantwortet.
Die Website The Next Web hat nach der Veröffentlichung der Fotos die Existenz eines Codes für das Hacken von iCloud enthüllt, der auf der Open-Source-Website GitHub veröffentlicht wurde.
Die Anwendung nutzt eine bereits von Apple behobene Sicherheitsanfälligkeit im Dienst ‘Find my iPhone‘ aus, um Passwörter mit unbegrenzten Versuchen zu erraten, ohne gesperrt zu werden.
Mit der Funktion Mein iPhone suchen können Benutzer ihre Apple-Geräte (iPhone, iPad, iPod touch oder Mac) lokalisieren und schützen, wenn sie verloren gehen oder gestohlen werden. Der Angreifer kann das Konto des Opfers Brute-Force, eine Operation, die durch die Wahl der Passwörter aus einem Wörterbuch von Wörtern und Phrasen verbessert werden könnte. Die Auswahl dieser Passwortdatenbanken könnte vom Wissen der Opfer, ihren Gewohnheiten und Vorlieben abhängen.
Eines der prominenten Opfer des Datenlecks, Jennifer Lawrence, hat die Echtheit ihrer Bilder bestätigt. Ihr Sprecher definierte den Vorfall als „eklatante Verletzung der Privatsphäre“ und drohte, jeden strafrechtlich zu verfolgen, der die Bilder online geteilt hatte.“Die Behörden wurden kontaktiert und werden jeden strafrechtlich verfolgen, der die gestohlenen Fotos von Jennifer Lawrence veröffentlicht“, sagte der Sprecher.
Sicherheitsexperten spekulieren, dass Fotos von den Dropbox-Konten der Opfer gestohlen wurden. Jemand hat die Hypothese aufgestellt, dass Insider „mit Zugriff auf Daten irgendwo einen privaten Vorrat angelegt“ und anschließend von der Person gehackt wurden, die die Bilder online durchgesickert ist.
Ich schließe die obige Hypothese aus, da iCloud-Backups, einschließlich Fotos, verschlüsselt sind und selbst durch Zugriff auf das Konto die in der Apple Cloud gespeicherten Informationen nicht entschlüsselt werden können.“Einige haben auch auf das Vorhandensein einer Dropbox-Tutorial-Datei in einem hingewiesen gehacktes Konto als Hinweis darauf, dass der Cloud-Speicherdienst eines Drittanbieters eine Quelle einiger Bilder war“, heißt es in einem Beitrag des Guardian zu dem Vorfall.
Eine weitere beliebte mobile Anwendung wurde in zahlreichen Artikeln über das Datenleck erwähnt Snapchat. Mehrere Bilder hatten Text überlagert, was darauf hindeutet, dass zumindest einige der Bilder mit Snapchat geteilt wurden. Obwohl Snapchat in den letzten Monaten von großen Sicherheitsproblemen betroffen war, ist es unwahrscheinlich, dass seine Verletzung die Ursache für die Datenverletzung ist.
Zum Zeitpunkt des Schreibens dieses Artikels hat Apple die Sicherheitslücke im Apple iCloud-Dienst behoben, die von Angreifern ausgenutzt werden könnte, um Promi-Konten zu verletzen und ihre Fotos zu stehlen. Der Sicherheitspatch kommt nur wenige Stunden, nachdem Hacker Hunderte von Nacktfotos von Prominenten auf 4chan veröffentlicht haben.
Der Fehler – Apples „Find My iPhone“ -Login ist anfällig für Brute-Force-Angriffe
Die Hacker, die die privaten Promi-Fotos online durchgesickert sind, haben möglicherweise einen Fehler in der „Find my iPhone“ -Funktion von Apple ausgenutzt, mit der ein Angreifer das Benutzerkonto brutal erzwingen kann.
Einige Stunden nach dem Datenleck wurde im GitHub-Online-Repository ein Python-Skript veröffentlicht, mit dem das Kennwort eines Apple iCloud-Kontos „brute Force“ ausgenutzt werden kann, um die Sicherheitsanfälligkeit im Find My iPhone-Dienst auszunutzen. Der Angreifer könnte das Skript verwenden, um Passwörter wiederholt zu erraten, um das richtige zu finden.
Das Skript war für jeden verfügbar, zumindest für ein paar Tage, bevor Apple die Sicherheitsanfälligkeit behob und die Konten nach fünf fehlgeschlagenen Versuchen blockierte.
Es ist unklar, wie lange diese Sicherheitsanfälligkeit in der Find my iPhone-Funktion vorhanden war. Die einzige Gewissheit ist, dass der Fehler von Angreifern ausgenutzt werden konnte, die die E-Mail-Adresse der Opfer kannten.
Der Besitzer des Tools, Hackapp, berichtete, dass der Fix 3:20am PT angewendet wurde. Wie auch immer, er bemerkte, dass es keine Beweise dafür gibt, dass ibrute an diesem Vorfall beteiligt war.“Ich habe noch keine Beweise gesehen, aber ich gebe zu, dass jemand dieses Tool verwenden könnte“, sagte er.
Abbildung – HackApp Tweet
Abbildung – GitHub PythonScript Read me file
Das Skript kann Passwörter wiederholt erraten, ohne dass das Ziel gesperrt oder gewarnt wird. Sobald das Passwort entdeckt wurde, kann es verwendet werden, um auf das Konto des Opfers zuzugreifen.
Abbildung – Laufendes Python-Skript
Hackapp bestätigte, dass diese Art von Fehler für Authentifizierungsdienstschnittstellen sehr häufig ist:
„Dieser Fehler ist für alle Dienste üblich, die viele Authentifizierungsschnittstellen haben“ und dass mit „Grundkenntnissen in Schnüffel- und Umkehrtechniken“ ist es „trivial“, sie aufzudecken“, sagte der Experte.
Hackapp veröffentlichte auch die Folien, die Details zum Angriffsschema und eine Analyse der Sicherheitsprobleme im Zusammenhang mit dem iCloud-Schlüsselbund enthielten.
Abbildung – Folien von Hackapp veröffentlicht
Ein interessanter Standpunkt ist der von Christopher Soghoian, Principal of Technology bei der American Civil Liberties Union, über den Fehler im Apple-System und seine angebliche Ausbeutung:
„Wenn die iCloud-Account-Passwörter der Promis brutal erzwungen wurden, scheint das Problem die fehlende Ratenbegrenzung durch Apple zu sein, nicht der Mangel an Krypto“, kommentierte Soghoian via Twitter.
Ein bereits gesehener „Film“
Im Mai 2014 zielten Cyberkriminelle mit einem ausgeklügelten Erpressungsschema auf eine große Anzahl australischer Nutzer von Apples iCloud ab.Apple-Nutzer wurden von dem Ransomware-ähnlichen Angriff angegriffen, der iPhone, Mac und iPads über iCloud und eine Nachricht aus Apples Find my iPhone-Dienst mit der Aufschrift „Device hacked by Oleg Pliss“ sperrte.
Abbildung – iCloud Hack von Oleg Pliss
Bei der Implementierung eines konsolidierten Erpressungsschemas fordern die Kriminellen das Entsperren des Geräts an, indem sie bis zu 100 USD Lösegeld an ein bestimmtes Paypal-Konto senden.
„Ich ging, um mein Handy zu überprüfen und es gab eine Nachricht auf dem Bildschirm (es ist immer noch da), dass mein Gerät (e) von „Oleg Pliss“ gehackt worden war und er / sie / sie verlangte $ 100 USD / EUR (gesendet von paypal an lock404 (at) hotmail.com), um sie mir zurückzugeben“, schrieb ein Opfer der neuen Ransomware im Apple Support Forum.In Wirklichkeit sind Apple-Nutzer nicht mit einer klassischen Infektion ihrer Geräte durch Ransomware konfrontiert; Die Angreifer haben angeblich Apples Find My iPhone-Funktion entführt. Auf diese Weise sperren Kriminelle iOS- und Mac-Geräte aus der Ferne und senden Nachrichten, in denen Lösegeld gefordert wird.
Die Cyberkriminellen verwendeten kompromittierte iCloud-Konten, die wahrscheinlich keinen zweistufigen Überprüfungsprozess verwendeten. Für diese Konten können Hacker einfach mit gestohlenen Anmeldeinformationen auf das Gerät zugreifen.
In diesem Angriffsszenario besteht die einzige Möglichkeit, das Gerät für Besitzer von Apple-Geräten wiederherzustellen, darin, es im „Wiederherstellungsmodus“ zurückzusetzen.
Wer ist der Schuldige?
Die Jagd nach dem Täter ist eröffnet. Der Entwickler Bryan Hamade ist einer der Hauptverdächtigen für das Datenleck. Reddit- und 4chan-Benutzer spekulierten über die Möglichkeit, dass Hamade der Schuldige ist, da ein online veröffentlichter Screenshot eine Reihe von Namen zu zeigen schien, die mit einer Webentwicklungsfirma in Georgia verbunden waren.
Abbildung – Bryan Hamade als Täter des Hacks vermutet
Der Mann wies den Vorwurf zurück und erklärte gegenüber den Medien, dass er nur die Bilder gemeldet habe.
„Ich habe nur eine Sache neu gepostet, die woanders gepostet wurde, und dummerweise hatte ich meine Netzwerkordner sichtbar.“
„Ich bin nicht der ursprüngliche Leaker. Der echte Kerl ist auf 4chan Posting intermittierend, “ „Er ist höchstwahrscheinlich derjenige dahinter, aber es scheint, dass die Fotos an mehrere Personen weitergegeben wurden, bevor sie durchgesickert sind, also kann es nur jemand sein, der sie hat und nicht gehackt hat, um sie zu bekommen. Ich würde in einer Million Jahren nie wissen, wie man sich in eines der aufgelisteten Konten hackt. 4chan hat mich gerade angegriffen, weil sie in solchen Situationen gerne jemanden angreifen „, sagte er.
Hamade gab bekannt, dass er ständig Drohungen von Personen erhält, die den angeblichen iCloud-Hack untersuchen:
„Es war ein Albtraum und ich habe seit 34 Stunden nicht mehr geschlafen. 4chan-Benutzer belästigen mich mit ununterbrochenen Telefonanrufen und E-Mails. Sie mailen mir ständig, E-Mail sagen, dass sie meine persönlichen Websites hacken und halten mein Telefon anrufen, ruft mich eine Kippe und dann auflegen. Sie sagten auch, dass sie die Seite meiner Mutter hacken werden, also nahm ich sie runter … ich bereue es so sehr … ich habe nicht einmal Bitcoin daraus gemacht. Es ist das Dümmste, was ich getan habe, und ich hoffe, es wird mein Leben nicht ruinieren, obwohl es wahrscheinlich wird, da es nur die größte Nachrichtengeschichte ist.“
So sichern Sie Ihre persönliche Cloud
Cloud-Speicherdienste sind sehr beliebt. Benutzer und Unternehmen speichern eine beeindruckende Menge an Daten in der Cloud, und es ist wichtig zu verstehen, wie sie ihren Schutz verbessern können. Lassen Sie mich zunächst vorschlagen, die Zwei-Faktor-Authentifizierung für die Dienste zu aktivieren, die sie implementieren, und ein sicheres Kennwort zu wählen, insbesondere wenn dies der einzige Schutz ist, der unsere Daten schützt.
Wie wählt man ein sicheres Passwort?
Um schwer zu erratende Passwörter zu erstellen, empfehle ich:
- Verwenden Sie lange Passwörter (Mindestlänge von sieben Zeichen, vorzugsweise mehr, um die Stärke zu erhöhen)
- Verwenden Sie eine breite Palette von Zeichen, einschließlich A-Z, a-z, 0-9, Satzzeichen und Symbole, wie # $ @, wenn möglich
- Versuchen Sie in der Regel, mindestens ein Klein- und ein Großbuchstaben sowie mindestens eine Ziffer zu verwenden. Wenn es technisch möglich ist, verwenden Sie auch ein Satzzeichen. Dies hilft, den gesamten Suchraum zu vergrößern.
- Verwenden Sie in einigen Fällen Zahlen anstelle von Buchstaben. Ändern Sie „i“ durch „1“, „E“ durch „3“, „A“ durch „4“ (oder @), „S“ durch „5“, „G“ durch „6“, „O“ durch „0“. Auch dies hilft, den Suchraum zu vergrößern.
Vermeiden Sie triviale Passwörter, da sie immer in einem Passwort-Wörterbuch enthalten sind. Passwörter sollten nicht Ihren Namen oder Ihre Anmelde- / Benutzer-ID enthalten. Es ist wichtig, komplexe, aber leicht zu merkende Passwörter zu erstellen. Angenommen, Sie sind ein großer Fan der Simpsons. Ein gutes Passwort für Ihre E-Mail könnte etwas in der Art sein: Ih4teM0ntg0m3ry #Burn5 (wenn Sie es nicht bekommen, bedeutet es „Ich hasse Montgomery Burns“). Und für Facebook können Sie vielleicht B4rT #I5 #MY #Fr13nD verwenden („Bart ist mein Freund“, mit Zahlen anstelle von Buchstaben und jedem Wort, das in Großbuchstaben beginnt und endet). Diese sind aufgrund der Länge, des Zeichenbereichs (Groß- und Kleinbuchstaben, Zahlen und Symbole) nicht so leicht durch Brute-Force-Angriffe zu erraten, und weil Sie wissen, dass Sie die Simpsons mögen, bedeutet dies nicht, dass Sie leicht ableiten können, was Sie denken über die Simpsons-Charaktere.
Wenn Sie lange Ausdrücke oder Phrasen als Passwort verwenden, versuchen Sie, eine einfache Technik zu verwenden, um einen Buchstaben durch einen anderen Buchstaben zu ersetzen: ersetzen Sie beispielsweise jeden Buchstaben ‚a‘ durch das Symbol ‚Prozent‘. Dies hilft, gegen Wörterbuch-Angriffe zu verhindern, während es einfach zu halten, Ihre Passphrase zu erinnern.
Eine weitere Möglichkeit für Benutzer ist die Einführung von Passwortmanagern, mit denen Benutzer auch komplexe Passwörter verwenden können.
Aktivieren Sie die Zwei-Faktor-Authentifizierung für den Apple iCloud-Dienst
Melden Sie sich zunächst mit Ihrer Apple ID bei Ihrem Apple-Konto an.
- Wählen Sie „Apple ID verwalten und anmelden“
- Wählen Sie „Passwort und Sicherheit“
- Wählen Sie unter „Bestätigung in zwei Schritten“ die Option „Erste Schritte“ und folgen Sie den Anweisungen.
Schlussfolgerungen
Seien Sie sich bewusst, denn nicht nur Prominente sind solchen Risiken ausgesetzt. Egal, ob Sie ein Manager oder eine gewöhnliche Person sind, Ihre Daten sind ein wertvolles Gut im Ökosystem der Cyberkriminalität. Aus diesem Grund ist es wichtig, die wichtigsten Cyberbedrohungen und die wichtigsten Minderungspraktiken zu kennen. Dies könnte nur der Anfang sein. In diesem Moment gibt es eine Menge Verwirrung über die Veranstaltung, aber Taylor Swift von InfoSec warnte, dass andere Prominente betroffen sein könnten:
„_Dies ist erst der Anfang._ Ordner mit Bildern mit sichtbaren Miniaturansichten wurden angezeigt, Viele Promis müssen noch beeinflusst werden, wer.“Apple hat Recode am Montag mitgeteilt, dass es den Vorfall untersucht, um herauszufinden, ob diese iCloud-Konten wirklich gehackt wurden und wie.“Wir nehmen die Privatsphäre der Nutzer sehr ernst und untersuchen diesen Bericht aktiv“, sagte Apple-Sprecherin Natalie Kerris.
Bleiben Sie dran für weitere Informationen.
http://www.businessinsider.com/4chan-nude-photo-leak-2014-8
http://www.businessinsider.com/icloud-naked-celebrity-photo-leak-2014-9
http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/
http://www.independent.co.uk/life-style/gadgets-and-tech/is-apples-icloud-safe-after-leak-of-jennifer-lawrence-and-other-celebrities-nude-photos-9703142.html
http://www.businessinsider.com/man-accused-of-leaking-naked-celebrity-icloud-photos-denies-everything-2014-9
http://www.zdnet.com/after-alleged-icloud-breach-heres-how-to-secure-your-personal-cloud-7000033177/
http://www.businessinsider.com/apple-fixes-security-flaw-in-find-my-iphone-software-2014-9
Extortion scheme based on ransom request hit Australian Apple Users
http://www.theguardian.com/technology/2014/sep/01/naked-celebrity-hack-icloud-backup-jennifer-lawrence
http://pastebin.com/rHSTg6i8