az ügy
a pletyka hírek ezen a héten az állítólagos csapkod az Apple iCloud számos híresség. Több száz meztelen fotó, amelyek állítólag több mint száz színészhez és énekeshez tartoznak, került nyilvánosságra az interneten.
vasárnap, a képek 101 hírességek, köztük Ariana Grande, Jennifer Lawrence, Victoria Justice, Kate Upton, Kim Kardashian, Rihanna, Kirsten Dunst pedig Selena Gomez feltették az online képmegosztási fórum 4chan-t, pletykák, jelentés, hogy a képek kapott a hírességek beszámoló az Apple iCloud szolgáltatást.
a 4chan névtelen felhasználói azt állították, hogy elvitték őket a szolgáltatásból, és annak ellenére, hogy az Apple nem kommentálta az eseményt, a beágyazott EXIF metaadatok képének elemzése megerősíti, hogy a többség Apple eszközökkel készült. Mary Elizabeth Winstead színésznő azonban azt állította, hogy kiszivárgott képei “évekkel ezelőtt készültek.”
A részletes elemzés a metaadatok a kiszivárgott kép áll rendelkezésre a Pastebin a következő címen:
http://pastebin.com/rHSTg6i8
A névtelen felhasználó, aki először írt a hírességek képei azt állította, hogy más képeket, valamint az explicit videók Lawrence, illetve a kért adományokat PayPal-on keresztül, illetve a Bitcoin kiküldetés őket.
az esemény kérdéseket vetett fel az online szolgáltatások, például a felhőalapú tárolás által kínált biztonsági szinttel kapcsolatban. Az iCloud szolgáltatás lehetővé teszi az Apple felhasználók számára, hogy automatikusan tárolják adataikat online, beleértve a fényképeket, dokumentumokat és e-maileket. A felhasználók bárhonnan hozzáférhetnek dokumentumaikhoz, miután hitelesítették a szolgáltatást. Valószínű, hogy a támadók kezdetben compromisedtheiCloudaccount tartozó egy vagy több hírességek, akkor a “láncolás” számlák között kapott hozzáférést az áldozat címjegyzék, hogy összegyűjti az adatokat további támadások.
a 4chan felhasználó, aki a Fotók többségét közzétette, Bitcoin adományokat kért, hogy több kiszivárgott képet és videót tegyen közzé.
a Bitcoin számlához kapcsolódó tranzakciós nyilvántartások elemzése (18pgun3bbbdnqjkg8zgedfvcovcsv1knwa) az adományok gyűjtőjeként kiderül, hogy összesen nyolc adományt kapott 0.26 BTC.
ábra – a képeket kiszivárogtató hacker által használt Bitcoin-fiók
nem valószínű, hogy a hackerek veszélybe sodorták a teljes Apple iCloud szolgáltatást és annak infrastruktúráját. Az állítólagos támadó valószínűleg valamilyen hacket használt bizonyos fiókok célzására.
a múltban már megvitattuk, hogy a felhasználói fiók megsértésének számos módja van. A támadó kitalálhatja a felhasználó hitelesítő adatait, ellophatja őket rosszindulatú programokkal, vagy egyszerűen visszaállíthatja az áldozat fiókját a kapcsolódó e-mail cím megkeresésével, majd válaszolhat a “biztonsági kérdésekre”. A támadó a szociális mérnöki támadások különböző formáin keresztül gyűjtheti a szükséges információkat az áldozatokról. Az összegyűjtött adatok segíthetnek abban, hogy vészhelyzeti eljárást hajtson végre (például jelszó visszaállítása, biztonsági mentés visszaállítása), egyszerűen válaszolva egy sor kérdésre.
a weboldal a következő Web a fényképek közzététele után feltárta az iCloud hackelésének kódját, amelyet a GitHub nyílt forráskódú webhelyére tettek közzé.
az alkalmazás kihasználja az Apple által már rögzített sebezhetőséget a “Find my iPhone” szolgáltatásban, hogy korlátlan kísérletekkel kitalálja a jelszavakat anélkül, hogy kizárnák őket.
a Find My iPhone funkció lehetővé teszi a felhasználók számára, hogy megkeressék és megvédjék Apple eszközeiket (iPhone, iPad, iPod touch vagy Mac), ha elvesznek vagy ellopják őket. A támadó erőszakkal kényszerítheti az áldozat fiókját, egy olyan műveletet, amelyet javítani lehet A jelszavak kiválasztásával a szavak és kifejezések szótárából. A jelszavak ezen adatbázisainak megválasztását az áldozatok tudása, szokásaik és preferenciáik vezérelhetik.
az adatszivárgás egyik híresség áldozata, Jennifer Lawrence megerősítette képeinek hitelességét. Szóvivője az incidenst “a magánélet kirívó megsértésének” minősítette, és azzal vádolta meg azokat, akik az interneten megosztották a képeket.
“a hatóságokkal felvették a kapcsolatot, és vádat emelnek mindazok ellen, akik Jennifer Lawrence lopott fotóit posztolják” – mondta a szóvivő.
biztonsági szakértők arra spekulálnak, hogy a fényképeket ellopták az áldozatok Dropbox fiókjaiból. Valaki azt feltételezte, hogy a bennfentesek “az adatokhoz való hozzáféréssel valahol privát rejtélyt készítettek”, majd ezt követően feltörték a képeket online kiszivárogtató személyt.
kizárom a fenti hipotézist, mivel az iCloud biztonsági mentések, beleértve a fényképeket is, titkosítva vannak, sőt a fiók elérésével nem lehet visszafejteni az Apple felhőben tárolt információkat.
“néhányan arra is rámutattak, hogy egy Dropbox oktatófájl jelen van egy feltört fiókban, ami arra utal, hogy a harmadik fél felhőalapú tárolási szolgáltatása néhány kép forrása volt” – állítja a Guardian az eseményről szóló bejegyzésben.
egy másik népszerű mobilalkalmazást említettek az adatszivárgásról szóló számos cikkben a Snapchat. Több kép volt a szöveg átfedésben, ami azt jelzi, hogy legalább néhány képet megosztottak a Snapchat-szal. Bár a Snapchat-ot az elmúlt hónapokban jelentős biztonsági problémák befolyásolták, nem valószínű, hogy megsértése okozza az adatok megsértését.
Abban az időben az írás, az Apple rögzítette a biztonsági rést az Apple iCloud szolgáltatás lehetett kihasználva a támadók sérti híresség számlák ellopni a képeket. A biztonsági javítás csak néhány órával azután érkezik, hogy a hackerek több száz meztelen híresség fotót tettek közzé a 4chan-on.
A hiba – az Apple “find My iPhone” belépés a veszélyeztetett, hogy brute force támadások
A hackerek, hogy kiszivárgott a privát celebrity képek az interneten lehet kihasznált hiba az Apple “find my iPhone” funkció, amely lehetővé teszi, hogy a támadó a nyers erő, a felhasználói fiók.
néhány órával az adatszivárgás után a GitHub online tárolójában megjelent egy Python szkript, amelyet fel lehet használni az Apple iCloud-fiók jelszavának “brutális kényszerítésére”, kihasználva a biztonsági rést a Find My iPhone szolgáltatásban. A támadó a szkript segítségével többször kitalálhatja a jelszavakat, hogy felfedezze a megfelelőt.
a szkript bárki számára elérhető volt, legalább néhány napig, mielőtt az Apple javította a sebezhetőséget, öt sikertelen kísérlet után blokkolva a fiókokat.
nem világos, hogy ez a biztonsági rés mennyi ideig volt jelen a Find my iPhone funkcióban. Az egyetlen bizonyosság az, hogy a hibát olyan támadók használták ki, akik tisztában voltak az áldozatok e-mail címével.
a tulajdonos az eszköz, Hackapp, számolt be, hogy a fix alkalmazták 3:20am PT. Mindenesetre megjegyezte, hogy nincs bizonyíték arra, hogy ibrute részt vett volna ebben az incidensben.
“még nem láttam bizonyítékot, de beismerem, hogy valaki használhatja ezt az eszközt” – mondta.
Ábra – HackApp Tweet
Ábra – a GitHub PythonScript Olvasni fájl
A forgatókönyvet is hiszem, jelszavak többször nélkül lezárásnak, vagy figyelmeztetés, hogy a célpont. Miután felfedezték a jelszót, felhasználható az áldozat fiókjának elérésére.
Ábra – Futó Python script
Hackapp megerősítette, hogy ez a fajta hiba nagyon gyakori, hogy a hitelesítési szolgáltatás kapcsolódási pontok:
“Ez a bug közös minden szolgáltatás, amely sok hitelesítés felületek”, meg hogy “alapvető ismeretek a szippantás, illetve hátrameneti technikák” a “triviális”, hogy feltárja őket” – mondta a szakértő.
Hackapp a diákokat is közzétette, amelyek a támadási rendszer részleteit, valamint az iCloud kulcstartóval kapcsolatos biztonsági kérdések elemzését tartalmazták.
Ábra – a Diák által közzétett Hackapp
Egy érdekes szempont, hogy Christopher Soghoian, fő technológia az Amerikai Polgári jogi Unió, az a hiányosság az Apple rendszert, illetve annak állítólagos kizsákmányolás:
“Ha a hírességek’ iCloud fiók jelszavak voltak brutális erőszakos, a probléma úgy tűnik, hogy hiányzik a sebesség korlátozása, az Apple által, nem hiányzik a crypto,” kommentálta Soghoian a Twitteren keresztül.
A “film” már látott
2014 májusában a számítógépes bűnözők az Apple iCloud nagyszámú Ausztrál felhasználóját célozták meg kifinomult zsarolási rendszerrel.
Apple felhasználó által megcélzott a ransomware-mint a támadás, amely zárva iPhone Mac ipad keresztül iCloud, majd egy üzenetet származó Apple find my iPhone szolgáltatást, amely kimondja, hogy “Eszköz feltört Oleg Pliss”.
ábra – iCloud hack Oleg Pliss
egy konszolidált zsarolási rendszer végrehajtása, a bűnözők a készülék feloldását kérik, ha 100 dolláros váltságdíjat küldenek egy adott Paypal-számlára.
“elmentem megnézni a telefonom, és volt egy üzenet a képernyőn (ez még mindig ott van) mondván, hogy a készülék(ek)már feltörte “Oleg Pliss” és/ő/követelték $100 USD/EUR (küldött paypal lock404(at) hotmail.com), hogy visszaadja nekem ” – írta az új ransomware áldozata az Apple támogatási fórumán.
a valóságban az Apple felhasználók nem szembesülnek eszközeik klasszikus fertőzésével a ransomware által; a támadók állítólag eltérítették az Apple Find My iPhone funkcióját. Ily módon a bűnözők távolról zárolják az iOS és Mac készülékeket,és váltságdíjat követelő üzeneteket küldenek.
a számítógépes bűnözők olyan kompromittált iCloud-fiókokat használtak, amelyek valószínűleg nem használtak kétlépcsős ellenőrzési folyamatot. Ezekre a fiókokra a hackerek egyszerűen lopott hitelesítő adatok használatával szerezhetnek hozzáférést az eszközhöz.
ebben a támadási forgatókönyvben az Apple eszközök tulajdonosai számára az eszköz helyreállításának egyetlen lehetősége a “helyreállítási mód” visszaállítása, de ez a folyamat törli az eszközön tárolt összes adatot, valamint a telepített alkalmazásokat.
ki a tettes?
a tettes vadászata nyitva van. A Fejlesztő Bryan Hamade az egyik legfontosabb személy, akit gyanítanak az adatszivárgás miatt. A Reddit és a 4chan-felhasználók arra spekuláltak, hogy Hamade a tettes, mert egy online közzétett képernyőképen egy sor név látható, amelyek kapcsolatban állnak egy grúziai webfejlesztő céggel.
ábra – Bryan Hamade a hack elkövetőjeként gyanúsított
a férfi visszautasította a vádat, és elmagyarázta a médiának, hogy csak a képeket jelentette.
” csak egy dolgot repostáltam, amit máshol tettek közzé, és a hálózati mappáim láthatóak voltak.”
” nem én vagyok az eredeti leaker. Az igazi srác a 4chan kiküldetés szakaszosan, “” ő valószínűleg az egyik mögötte, de úgy tűnik, a Fotók telt körül több ember előtt kiszivárgott, így lehet, hogy csak valaki, aki azokat, és nem csapkod, hogy őket. Soha egy millió év alatt nem tudom, hogyan kell feltörni a felsorolt számlákat. 4chan csak azért támadott meg, mert szeretnek bárkit megtámadni ilyen helyzetekben” – mondta.
Hamade kiderítette, hogy folyamatos fenyegetéseket kap az állítólagos iCloud hack-ot vizsgáló emberektől:
” rémálom volt, és 34 órája nem aludtam. 4chan felhasználók zaklatnak engem non-stop telefonhívások, e-mailek. Folyamatosan e-mailt küldenek nekem, e-mailt küldve, hogy feltörik a személyes webhelyeimet, folyamatosan felhívják a telefonomat, buzinak hívnak, majd leteszik. Azt is mondták, hogy feltörik anyám oldalát, ezért levettem , annyira sajnálom, hogy még bitcoint sem kaptam belőle. Ez a leghülyébb dolog, amit tettem, és remélem, nem fogja tönkretenni az életem, bár valószínűleg így lesz, mivel ez csak a legnagyobb hír.”
A személyes felhő biztosítása
a felhőalapú tárolási szolgáltatások nagyon népszerűek. A felhasználók és a vállalkozások lenyűgöző mennyiségű adatot tárolnak a felhőben, ezért fontos megérteni, hogyan lehet javítani a védelmüket. Először is, hadd javasoljam, hogy aktiváljam a kéttényezős hitelesítést az azt megvalósító szolgáltatások számára, és válasszak egy erős jelszót, különösen akkor, ha ez az egyetlen védelem, amely megőrzi adatainkat.
Hogyan válasszunk erős jelszót?
a nehezen kitalálható jelszavak összeállításához hadd javasoljam:
- használjon hosszú jelszavakat (minimális hossza hét karakter, lehetőleg több, hogy növelje erejét)
- használjon széles karaktertartományt, beleértve az A-Z, A-z, 0-9, írásjelek és szimbólumok, mint a#$@, ha lehetséges
- általában próbálja meg használni legalább egy alsó és egy felső eset karakter, és legalább egy számjegy. Ha technikailag lehetséges, használjon írásjelet is. Ez segít növelni a teljes keresési helyet.
- bizonyos esetekben betűk helyett használjon számokat. Változtassa meg az “i” – T “1”, “E” – vel “3”, “A” – vel “4” (vagy @), “S” – vel “5”, “G” – vel “6”, “O” – val “0” – vel. Ez ismét növeli a keresési helyet.
kerülje a triviális jelszavakat, mert mindig szerepelnek egy jelszó szótárban. A jelszavak nem tartalmazhatják a nevét vagy a bejelentkezési / felhasználói azonosítót. Fontos, hogy összetett, de könnyen megjegyezhető jelszavakat hozzon létre. Tegyük fel például, hogy nagy rajongója vagy a Simpson családoknak. Egy jó jelszó az e-mail lehet valami mentén: Ih4teM0ntg0m3ry#Burn5 (ha nem kap ez azt jelenti, “utálom Montgomery Burns”). És a Facebook-on talán használhatod a B4rT # I5 # MY # Fr13nD-t (“Bart a barátom”, számokkal betűk helyett, minden szóval nagybetűvel kezdve). Ezek nem olyan könnyű kitalálni a nyers erő támadások, mert a hossza, karaktertartomány (felső-és alsó-case, számok, szimbólumok), és mert tudva, hogy tetszik a Simpsons nem jelenti azt, hogy könnyű levezetni, hogy mit gondol a Simpsons karakter.
ha hosszú kifejezéseket vagy kifejezéseket használ jelszóként, próbáljon meg néhány egyszerű technikát használni egy betű helyettesítésére egy másik betűre: például minden ” a “betű helyett a “százalék” szimbólummal. Ez segít megelőzni a szótár támadások, miközben könnyen megjegyezhető a pass kifejezést.
a felhasználók számára egy másik lehetőség a jelszókezelők elfogadása, amelyek lehetővé teszik a felhasználók számára összetett jelszavak használatát is.
engedélyezze a kéttényezős hitelesítést az Apple iCloud szolgáltatáshoz
először jelentkezzen be Apple-fiókjába az Apple ID azonosítójával.
- válassza az “Apple ID kezelése és bejelentkezés”lehetőséget
- válassza a “Jelszó és Biztonság”lehetőséget
- a “kétlépcsős ellenőrzés” alatt válassza a “Kezdés” lehetőséget, majd kövesse az utasításokat.
következtetések
ne feledje, mert nem csak a hírességek vannak kitéve ilyen kockázatoknak. Nem számít, ha Ön menedzser vagy közös személy, adatai értékes árucikkek a számítógépes bűnözés ökoszisztémájában. Ezért fontos megismerni a legfontosabb kiberfenyegetéseket és a fő kockázatcsökkentő gyakorlatokat. Ez lehet csak a kezdet. Ebben a pillanatban sok zavart okoz az esemény, de az InfoSec Taylor Swift figyelmeztette, hogy más hírességekre is hatással lehet:
” _ez csak a kezdet._ Mappák képek miniatűrök látható már látható, sok híresség még nem befolyásolja, aki.”
Az Apple hétfőn azt mondta a Recode-nak, hogy vizsgálja az eseményt, hogy kiderítse, valóban feltörték-e ezeket az iCloud-fiókokat, és hogyan.
“nagyon komolyan vesszük a felhasználói adatvédelmet, és aktívan vizsgáljuk ezt a jelentést” – mondta Natalie Kerris, az Apple szóvivője.
maradjon velünk további információkért.
http://www.businessinsider.com/4chan-nude-photo-leak-2014-8
http://www.businessinsider.com/icloud-naked-celebrity-photo-leak-2014-9
http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/
http://www.independent.co.uk/life-style/gadgets-and-tech/is-apples-icloud-safe-after-leak-of-jennifer-lawrence-and-other-celebrities-nude-photos-9703142.html
http://www.businessinsider.com/man-accused-of-leaking-naked-celebrity-icloud-photos-denies-everything-2014-9
http://www.zdnet.com/after-alleged-icloud-breach-heres-how-to-secure-your-personal-cloud-7000033177/
http://www.businessinsider.com/apple-fixes-security-flaw-in-find-my-iphone-software-2014-9
Extortion scheme based on ransom request hit Australian Apple Users
http://www.theguardian.com/technology/2014/sep/01/naked-celebrity-hack-icloud-backup-jennifer-lawrence
http://pastebin.com/rHSTg6i8