tapaus
tämän viikon juoruuutinen on monien julkkisten väitetty hakkerointi Applen iCloudiin. Netissä on paljastunut satoja alastonkuvia, joiden väitetään kuuluvan yli sadalle näyttelijälle ja laulajalle.
sunnuntaina 101 julkkiksen, kuten Ariana Granden, Jennifer Lawrencen, Victoria Justicen, Kate Uptonin, Kim Kardashianin, Rihannan, Kirsten Dunstin ja Selena Gomezin kuvat julkaistiin netin kuvanjakofoorumilla 4chanissa, ja huhujen mukaan kuvat on saatu julkkisten tileiltä Applen iCloud-palvelusta.
anonyymit käyttäjät 4chanilla väittivät ottaneensa ne palvelusta, ja vaikka Apple ei ole kommentoinut tapahtumaa, EXIF: n metadataan upotetun kuvan analyysi vahvistaa, että suurin osa on otettu Applen laitteilla. Näyttelijä Mary Elizabeth Winstead kuitenkin väitti, että hänen vuodetut kuvansa on otettu ”vuosia sitten.”
yksityiskohtainen analyysi vuodetun kuvan metatiedoista on saatavilla Pastebin-sivustolla seuraavassa osoitteessa:
http://pastebin.com/rHSTg6i8
nimetön käyttäjä, joka ensimmäisenä julkaisi julkkisten kuvat, väitti omaavansa muita kuvia ja nimenomaisia videoita Lawrencesta ja pyysi lahjoituksia Paypalin ja Bitcoinin kautta niiden lähettämistä varten.
tapaus on herättänyt kysymyksiä pilvitallennuksen kaltaisten verkkopalveluiden tarjoaman tietoturvan tasosta. ICloud-palvelun avulla Applen käyttäjät voivat tallentaa automaattisesti tietonsa verkkoon, mukaan lukien valokuvat, asiakirjat ja sähköpostit. Käyttäjät voivat tutustua asiakirjoihinsa mistä tahansa, kun ne on todennettu palveluun. On todennäköistä, että hyökkääjät alun perin vaaransivat yhden tai useamman julkisuuden henkilön salaisen tilin, sitten” ketjuttamalla ” tilien välillä, saivat pääsyn uhrin osoitekirjaan kerätäkseen tietoja uusia hyökkäyksiä varten.
valtaosan kuvista julkaissut 4chan-käyttäjä pyysi Bitcoin-lahjoituksia voidakseen julkaista lisää vuodettuja kuvia ja videoita.
lahjoitusten kerääjänä käytettyyn Bitcoin-tiliin (18pgUn3BBBdnQjKG8ZGedFvcoVcsv1knwa) liittyvien tapahtumatietojen analyysi paljastaa, että se on saanut kahdeksan lahjoitusta yhteensä 0,26 BTC: n arvosta.
kuva – kuvat vuotaneen hakkerin käyttämä Bitcoin-tili
on epätodennäköistä, että hakkerit olisivat vaarantaneet koko Applen iCloud-palvelun ja sen infrastruktuurin. Epäilty hyökkääjä käytti todennäköisesti hakkerointia tietyille tileille.
keskustelimme jo aiemmin, että on monia tapoja rikkoa käyttäjätiliä. Hyökkääjä voisi arvata käyttäjän tunnukset, varastaa ne haittaohjelmalla tai yksinkertaisesti nollata uhrin tilin etsimällä siihen liittyvän sähköpostiosoitteen ja vastaamalla sitten ”turvallisuuskysymyksiin”. Hyökkääjä voisi kerätä uhreista tarpeellisia tietoja erilaisilla sosiaaliteknisillä hyökkäyksillä. Kerätyt tiedot voisivat auttaa häntä suorittamaan hätätoimenpiteen (esim.salasanan palautus, Varmuuskopiointi) yksinkertaisesti vastaamalla useisiin kysymyksiin.
The Next Web-sivusto on kuvien julkaisun jälkeen paljastanut, että on olemassa avoimen lähdekoodin GitHub-sivustolle lähetetty koodi iCloudin hakkerointia varten.
sovellus hyödyntää ”Find my iPhone” – palvelussa Applen jo korjaamaa haavoittuvuutta, jolla voi arvata salasanoja rajattomilla yrityksillä ilman, että se on lukittu ulos.
Find My iPhone-ominaisuuden avulla käyttäjät voivat paikantaa ja suojata Apple-laitteitaan (iPhone, iPad, iPod touch tai Mac), jos ne katoavat tai varastetaan. Hyökkääjä voi raa ’ asti pakottaa uhrin tilin, toimintaa, jota voisi parantaa valitsemalla salasanat sanojen ja lauseiden sanakirjasta. Näiden salasanatietokantojen valinnan taustalla voisi olla uhrien, heidän tapojensa ja mieltymystensä tuntemus.
yksi tietovuodon julkkisuhreista, Jennifer Lawrence, on vahvistanut kuviensa aitouden. Hänen tiedottajansa määritteli tapauksen ”räikeäksi yksityisyyden loukkaukseksi” ja uhkasi nostaa syytteen kaikkia kuvia netissä jakaneita vastaan.
”viranomaisiin on otettu yhteyttä ja he nostavat syytteet jokaista, joka julkaisee varastettuja kuvia Jennifer Lawrencesta”, tiedottaja sanoi.
tietoturva-asiantuntijat spekuloivat, että kuvia on mahdollisesti varastettu uhrien Dropbox-tileiltä. Joku on olettanut, että sisäpiiriläiset ”joilla on pääsy tietoihin jossain, tekivät yksityisen kätkön” ja myöhemmin hakkeroitui henkilö, joka vuoti kuvat nettiin.
jätän yllä olevan hypoteesin pois, koska iCloud-varmuuskopiot, mukaan lukien valokuvat, on salattu, eikä edes tiliin pääsemällä ole mahdollista purkaa Applen pilveen tallennettuja tietoja.
”jotkut ovat myös huomauttaneet Dropboxin opetustiedoston läsnäolon yhdellä hakkeroidulla tilillä viittaavan siihen, että kolmannen osapuolen pilvitallennuspalvelu olisi joidenkin kuvien lähde”, the Guardian kertoo tapauksesta julkaisemassaan viestissä.
toinen suosittu mobiilisovellus mainittiin lukuisissa tietovuodosta julkaistuissa artikkeleissa on Snapchat. Useissa kuvissa oli tekstiä päällekkäin, mikä viittaa siihen, että ainakin osa kuvista on jaettu Snapchatin kanssa. Vaikka Snapchat kärsi viime kuukausina suurista tietoturvaongelmista, on epätodennäköistä, että sen rikkominen olisi tietomurron syy.
tätä kirjoitettaessa Apple on korjannut Applen iCloud-palvelussa olevan tietoturvahaavoittuvuuden, jota hyökkääjät ovat voineet käyttää hyväkseen rikkoakseen julkkisten tilejä ja varastaakseen heidän kuviaan. Tietoturvakorjaus tulee vain muutama tunti sen jälkeen, kun hakkerit julkaisivat satoja alastonkuvia 4chan-sivustolla.
virhe – Applen ”Find My iPhone” – kirjautuminen altis brute force-hyökkäyksille
Yksityiset julkkiskuvat nettiin vuotaneet hakkerit ovat saattaneet hyödyntää Applen ”Find my iPhone” – ominaisuuden virhettä, jonka avulla hyökkääjä voi raa ’ asti pakottaa käyttäjän tilin.
muutama tunti tietovuodon jälkeen GitHub-verkkovarastossa julkaistiin Python-skripti, jolla voitiin ”raa’ asti pakottaa” Applen iCloud-tilin salasana hyödyntäen Find My iPhone-palvelun haavoittuvuutta. Hyökkääjä voisi käyttää komentosarjaa toistuvasti arvata salasanoja yrittäessään löytää oikea.
skripti oli kenen tahansa saatavilla ainakin parin päivän ajan, ennen kuin Apple korjasi haavoittuvuuden estäen tilit viiden epäonnistuneen yrityksen jälkeen.
on epäselvää, kuinka kauan tämä haavoittuvuus oli Find my iPhone-ominaisuudessa. Varmaa on vain se, että virhettä käyttivät hyväkseen hyökkääjät, jotka olivat tietoisia uhrien sähköpostiosoitteesta.
työkalun omistaja Hackapp kertoi, että korjaus tehtiin 3:20am PT. Joka tapauksessa hän huomautti, ettei ole todisteita siitä, että ibrute olisi ollut osallisena tässä välikohtauksessa.
”en ole vielä nähnyt mitään todisteita, mutta myönnän, että joku voisi käyttää tätä työkalua”, hän sanoi.
Figure – HackApp Tweet
figure – github pythonscript read Me file
skripti voi arvata salasanoja toistuvasti ilman työsulkua tai kohteen hälytystä. Kun salasana on löydetty, sitä voidaan käyttää uhrin tilille.
Figure – Running Python script
Hackapp vahvisti, että tällainen virhe on hyvin yleinen autentikointipalvelun rajapinnoissa:
”tämä vika on yleinen kaikissa palveluissa, joissa on monia autentikointirajapinnat” ja että niiden paljastaminen on ”triviaalia”, asiantuntija sanoi.
Hackapp julkaisi myös diat, jotka sisälsivät yksityiskohtia hyökkäysohjelmasta ja analyysin iCloud-avaimenperään liittyvistä tietoturvaongelmista.
Hackappin julkaisemat Kuva – diat
mielenkiintoinen näkökulma on American Civil Liberties Unionin teknologiapäällikön Christopher Soghoianin näkemys Applen järjestelmän virheestä ja väitetystä hyväksikäytöstä:
”jos julkkisten iCloud-tilien salasanat oli raa’ asti pakotettu, ongelma näyttää olevan Applen suorittamien maksujen rajoittamisen puute, ei salauksen puute”, kommentoi Soghoian Twitterin välityksellä.
jo nähty ”elokuva”
toukokuussa 2014 kyberrikolliset kohdistivat suuren joukon Applen iCloudin australialaisia käyttäjiä hienostuneella kiristysohjelmalla.
Applen käyttäjät joutuivat ransomware-tyyppisen hyökkäyksen kohteeksi, joka lukitsi iPhonen, Macin ja iPadit iCloudin kautta sekä Applen Find my iPhone-palvelusta peräisin olevan viestin, jossa luki ”Oleg Plissin hakkeroima laite”.
Figure – iCloud hack by Oleg Pliss
toteuttaessaan koottua kiristysohjelmaa rikolliset pyytävät avaamaan laitteen lähettämällä jopa 100 dollarin lunnaat tietylle Paypal-tilille.
”menin tarkistamaan puhelimeni ja ruudulla oli viesti (se on yhä siellä), jossa kerrottiin, että ’Oleg Pliss’ oli hakkeroinut laitteeni(laitteeni) ja he/she/he vaativat $100 USD / EUR (lähetti paypal osoitteeseen lock404(at)hotmail.com) palauttamaan ne minulle”, kirjoitti eräs uuden kiristyshaittaohjelman uhri Applen tukifoorumilla.
todellisuudessa Applen käyttäjät eivät kohtaa laitteidensa klassista ransomware-viruksen aiheuttamaa tartuntaa; hyökkääjien väitetään kaapanneen Applen Find My iPhone-ominaisuuden. Näin rikolliset etälukitsevat iOS-ja Mac-laitteet ja lähettävät lunnasrahoja vaativia viestejä.
verkkorikolliset käyttivät vaarantuneita iCloud-tilejä, jotka eivät todennäköisesti käyttäneet kaksivaiheista Varmennusprosessia. Näille tileille, hakkerit voivat saada laitteen käyttöoikeuden yksinkertaisesti käyttämällä varastettuja tunnuksia.
tässä hyökkäysskenaariossa ainoa mahdollisuus palauttaa laite Applen laitteiden omistajille on nollata se ”palautustilassa”, mutta tämä prosessi poistaa kaikki laitteeseen ja asennettuihin sovelluksiin tallennetut tiedot.
kuka on syyllinen?
syyllisen metsästys on auki. Kehittäjä Bryan Hamade on yksi tärkeimmistä tietovuodosta epäillyistä henkilöistä. Reddit-ja 4chan-käyttäjät spekuloivat hamaden mahdollisuudella olla syyllinen, koska netissä julkaistu kuvakaappaus näytti paljastavan sarjan nimiä, jotka liittyvät georgialaiseen web-kehitysyhtiöön.
Figure – Bryan Hamadea epäillään hakkeroinnin syylliseksi
mies kieltäytyi syytöksestä ja selitti medialle, että hän on kertonut vain kuvista.
”repostin vain yhden asian, joka oli lähetetty muualle ja tyhmästi verkkokansioni näkyivät.”
” I am not the original leaker. Todellinen kaveri on 4chan lähettämistä ajoittain, ”” hän on todennäköisesti yksi sen takana, mutta se ei näytä kuvia välitettiin useita ihmisiä ennen vuotamista, joten se voi vain olla joku, joka on ne ja ei hakata saada ne. En ikinä osaisi murtautua yhteenkään listattuun tiliin. 4chan vain hyökkäsi kimppuuni, koska he haluavat hyökätä kenen tahansa kimppuun tällaisissa tilanteissa, hän sanoi.
Hamade paljasti saaneensa jatkuvia uhkauksia väitettyä iCloud-hakkerointia tutkivilta ihmisiltä:
”on ollut painajaista, enkä ole nukkunut 34 tuntiin, nyt. 4chan-käyttäjät ahdistelevat minua non-stop – puheluilla ja sähköposteilla. He lähettävät minulle jatkuvasti sähköpostia, jossa he sanovat hakkeroivansa henkilökohtaiset verkkosivustoni ja soittelevat jatkuvasti puhelimeeni, haukkuvat minua homoksi ja sulkevat sitten puhelimen. He sanoivat myös hakkeroivansa äitini sivuston, joten poistin sen … kadun sitä niin paljon … etten saanut siitä edes bitcoineja. Se on typerintä, mitä olen tehnyt, ja toivon, ettei se pilaa elämääni, vaikka se luultavasti pilaakin, koska kyseessä on vain suurin uutisjuttu.”
henkilökohtaisen pilvipalvelun turvaaminen
pilvitallennuspalvelut ovat hyvin suosittuja. Käyttäjät ja yritykset tallentavat pilveen vaikuttavan määrän dataa, ja on tärkeää ymmärtää, miten niiden suojaa voidaan parantaa. Ensinnäkin ehdotan, että aktivoitaisiin kaksivaiheinen todennus palveluille, jotka toteuttavat sen, ja valitsisit vahvan salasanan, varsinkin kun se on ainoa suoja, joka säilyttää tietomme.
miten valita vahva salasana?
vaikeasti arvattavien salasanojen säveltämiseen, sallikaa minun suositella:
- käytä pitkiä salasanoja (vähimmäispituus seitsemän merkkiä, mieluiten enemmän voiman lisäämiseksi)
- Käytä monenlaisia merkkejä, kuten A-Z, A-z, 0-9, välimerkkejä ja symboleja, kuten#$@, jos mahdollista
- pääsääntöisesti yritä käyttää vähintään yhtä pienaakkosta ja yhtä suuraakkosta sekä vähintään yhtä numeroa. Jos se on teknisesti mahdollista, käytä myös välimerkkiä. Tämä auttaa lisäämään hakuavaruutta.
- käyttävät joissakin tapauksissa numeroita kirjainten sijasta. Muuta ”i ”by” 1″,” E ”by” 3″,” A ”by” 4 ”(tai@),” S ”by” 5″,” G ”by” 6″,” O ”by”0”. Jälleen, tämä auttaa lisäämään hakuavaruutta.
Vältä triviaaleja salasanoja, koska ne sisältyvät aina salasanasanakirjaan. Salasanojen ei pitäisi sisältää nimeäsi tai käyttäjätunnustasi. On tärkeää luoda monimutkaisia mutta helposti muistettavia salasanoja. Oletetaan esimerkiksi, että olet Simpsonien suuri fani. Hyvä salasana sähköpostiisi voi olla jotain tyyliin: Ih4teM0ntg0m3ry#Burn5 (jos et saa sitä, se tarkoittaa ”vihaan Montgomery Burns”). Ja Facebook ehkä voit käyttää b4rt#I5 # MY#Fr13nD (”Bart on ystäväni”, jossa numerot sijasta kirjaimia ja jokainen sana alkaa ja päättyy isoilla kirjaimilla). Näitä ei ole niin helppo arvata raa ’ alla voimalla hyökkäyksiä, koska pituus, merkki alue (ylä – ja pienaakkoset, numerot, ja symbolit), ja koska tietäen, että pidät Simpsonit ei tarkoita, että on helppo johtaa, mitä mieltä olet Simpsonit merkkiä.
kun käytät pitkiä ilmaisuja tai lauseita salasanana, yritä jollakin yksinkertaisella tekniikalla korvata yksi kirjain toisella kirjaimella: esimerkiksi jokaisen A-kirjaimen korvaaminen symbolilla ”prosenttia”. Tämä auttaa estämään vastaan sanakirja hyökkäyksiä pitäen se helppo muistaa pass fraasi.
toinen mahdollisuus käyttäjille on ottaa käyttöön salasanojen hallintaohjelmat, joiden avulla käyttäjät voivat käyttää myös monimutkaisia salasanoja.
Ota käyttöön kaksivaiheinen todennus Applen iCloud-palvelussa
ensinnäkin Kirjaudu Apple-tilillesi Apple ID-tunnuksellasi.
- valitse ”Hallitse Apple ID: tä ja kirjaudu sisään”
- Valitse ”salasana ja turvallisuus”
- kohdassa ”Kaksivaiheinen varmistus”, valitse ”Aloita” ja noudata ohjeita.
johtopäätökset
ole tietoinen, sillä muutkin kuin julkisuuden henkilöt altistuvat tällaisille riskeille. Riippumatta siitä, oletko johtaja tai yhteinen henkilö, tietosi ovat arvokas hyödyke kyberrikollisuuden ekosysteemissä. Tästä syystä on tärkeää tuntea tärkeimmät kyberuhat ja tärkeimmät torjuntakäytännöt. Tämä voi olla vasta alkua. Tällä hetkellä tapahtumaan liittyy paljon hämmennystä, mutta Infosecin Taylor Swift varoitti, että muut julkkikset ovat saattaneet vaikuttaa:
”_tämä on vasta alkua._ Kuvakansiot, joissa näytekuvat ovat näkyvissä, on näytetty, monet julkkikset vielä vaikuttaa kuka.”
Apple kertoi Recodelle maanantaina tutkivansa tapausta selvittääkseen, oliko nämä iCloud-tilit todella hakkeroitu ja miten.
”suhtaudumme käyttäjien yksityisyyteen erittäin vakavasti ja tutkimme tätä raporttia aktiivisesti”, Applen tiedottaja Natalie Kerris sanoi.
pysy kuulolla lisätietoja varten.
http://www.businessinsider.com/4chan-nude-photo-leak-2014-8
http://www.businessinsider.com/icloud-naked-celebrity-photo-leak-2014-9
http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/
http://www.independent.co.uk/life-style/gadgets-and-tech/is-apples-icloud-safe-after-leak-of-jennifer-lawrence-and-other-celebrities-nude-photos-9703142.html
http://www.businessinsider.com/man-accused-of-leaking-naked-celebrity-icloud-photos-denies-everything-2014-9
http://www.zdnet.com/after-alleged-icloud-breach-heres-how-to-secure-your-personal-cloud-7000033177/
http://www.businessinsider.com/apple-fixes-security-flaw-in-find-my-iphone-software-2014-9
Extortion scheme based on ransom request hit Australian Apple Users
http://www.theguardian.com/technology/2014/sep/01/naked-celebrity-hack-icloud-backup-jennifer-lawrence
http://pastebin.com/rHSTg6i8