Il caso
La notizia gossip di questa settimana è il presunto hack di iCloud di Apple di molte celebrità. Centinaia di foto nude presumibilmente appartenenti a più di cento attori e cantanti sono stati divulgati on-line.
Domenica scorsa, le immagini di 101 celebrità, tra cui Ariana Grande, Jennifer Lawrence, Victoria Justice, Kate Upton, Kim Kardashian, Rihanna, Kirsten Dunst e Selena Gomez sono state pubblicate sul forum di condivisione di immagini online 4chan, e le voci riferiscono che le immagini sono state ottenute dagli account delle celebrità sul servizio iCloud di Apple.
Gli utenti anonimi su 4chan hanno affermato di averli presi dal servizio, e nonostante Apple non abbia commentato l’evento, l’analisi dei metadati EXIF incorporati nell’immagine conferma che la maggior parte sono stati presi utilizzando dispositivi Apple. Però, attrice Mary Elizabeth Winstead ha sostenuto che le sue foto trapelate sono state scattate “anni fa.”
Una dettagliata analisi dei metadati dell’immagine trapelata è disponibile su Pastebin, al seguente indirizzo:
http://pastebin.com/rHSTg6i8
L’utente anonimo che per primo ha pubblicato la celebrità foto affermato di avere altre foto e video espliciti di Lorenzo e ha chiesto donazioni via PayPal e Bitcoin per l’invio di loro.
L’incidente ha sollevato domande sul livello di sicurezza offerto dai servizi online come il cloud storage. Il servizio iCloud consente agli utenti Apple di archiviare automaticamente i propri dati online, tra cui foto, documenti ed e-mail. Gli utenti possono accedere ai propri documenti da qualsiasi luogo, una volta autenticati al servizio. È probabile che gli aggressori abbiano inizialmente compromessotheiCloudaccount appartenente a una o più celebrità, quindi “concatenando” tra account, ottenuto l’accesso alla rubrica della vittima per raccogliere dati per ulteriori attacchi.
L’utente 4chan che ha pubblicato la maggior parte delle foto stava sollecitando donazioni di Bitcoin per pubblicare più foto e video trapelati.
L’analisi dei record delle transazioni relativi al conto Bitcoin (18pgUn3BBBdnQjKG8ZGedFvcoVcsv1knWa) utilizzato come collettore per le donazioni rivela che ha ricevuto otto donazioni per un totale di 0.26 BTC.
Figura – Conto Bitcoin utilizzato dall’hacker che ha fatto trapelare le immagini
È improbabile che gli hacker abbiano compromesso l’intero servizio iCloud di Apple e la sua infrastruttura. Il presunto aggressore molto probabilmente ha usato alcuni hack per colpire account specifici.
Abbiamo già discusso in passato che ci sono molti modi per violare un account utente. Un utente malintenzionato potrebbe indovinare le credenziali dell’utente, rubarle con un malware o semplicemente reimpostare l’account della vittima trovando l’indirizzo email associato e rispondendo alle “domande di sicurezza”. Un utente malintenzionato potrebbe raccogliere le informazioni necessarie sulle vittime attraverso varie forme di attacchi di ingegneria sociale. I dati raccolti potrebbero aiutarlo a eseguire una procedura di emergenza (ad esempio reimpostazione della password, ripristino del backup) semplicemente rispondendo a una serie di domande.
Il sito web The Next Web, dopo la pubblicazione delle foto, ha rivelato l’esistenza di un codice per l’hacking di iCloud che è stato pubblicato sul sito web open-source GitHub.
L’applicazione sfrutta una vulnerabilità, già fissata da Apple, nel servizio ‘Trova il mio iPhone‘ per indovinare le password con tentativi illimitati senza essere bloccato.
La funzione Trova il mio iPhone consente agli utenti di individuare e proteggere i propri dispositivi Apple (iPhone, iPad, iPod touch o Mac) in caso di smarrimento o furto. L’attaccante può forzare bruta conto della vittima, un’operazione che potrebbe essere migliorata scegliendo le password da un dizionario di parole e frasi. La scelta di questi database di password potrebbe essere guidata dalla conoscenza delle vittime, delle loro abitudini e delle loro preferenze.
Una delle vittime celebrità della perdita di dati, Jennifer Lawrence, ha confermato l’autenticità delle sue foto. Il suo portavoce ha definito l’incidente come una “flagrante violazione della privacy” e ha minacciato di perseguire chiunque abbia condiviso le immagini online.
“Le autorità sono state contattate e perseguiranno chiunque pubblichi le foto rubate di Jennifer Lawrence”, ha detto il portavoce.
Gli esperti di sicurezza ipotizzano che le foto potrebbero essere state rubate dagli account Dropbox delle vittime. Qualcuno ha ipotizzato che gli addetti ai lavori “con accesso ai dati da qualche parte hanno fatto una scorta privata” ed è stato successivamente violato dall’individuo che ha fatto trapelare le immagini online.
Escludo l’ipotesi di cui sopra perché i backup iCloud, comprese le foto, sono crittografati, e anche accedendo all’account non è possibile decifrare le informazioni memorizzate nel Cloud di Apple.
“Alcuni hanno anche indicato la presenza di un file tutorial Dropbox in un account violato come suggerendo che il servizio di cloud storage di terze parti era una fonte di alcune immagini”, afferma Il Guardian in un post sull’incidente.
Un’altra applicazione mobile popolare è stato menzionato in numerosi articoli pubblicati sulla perdita di dati è Snapchat. Diverse immagini avevano testo sovrapposto, il che indica che almeno alcune delle immagini sono state condivise con Snapchat. Anche se Snapchat è stato influenzato da importanti problemi di sicurezza negli ultimi mesi, è improbabile che la sua violazione sia la causa della violazione dei dati.
Al momento della stesura di questo documento, Apple ha risolto la vulnerabilità di sicurezza nel servizio iCloud di Apple che avrebbe potuto essere sfruttata dagli aggressori per violare gli account di celebrità e rubare le loro foto. La patch di sicurezza arriva poche ore dopo che gli hacker hanno pubblicato centinaia di foto di celebrità nude su 4chan.
Il difetto – Apple “Trova il mio iPhone” login vulnerabili agli attacchi di forza bruta
Gli hacker che trapelate le foto di celebrità private online potrebbero aver sfruttato un difetto nella funzione di Apple “Trova il mio iPhone”, che consente a un utente malintenzionato di forza bruta conto dell’utente.
Poche ore dopo la perdita di dati, sul repository online di GitHub è stato pubblicato uno script Python che potrebbe essere utilizzato per “forzare bruta” la password di un account iCloud di Apple, sfruttando la vulnerabilità nel servizio Trova il mio iPhone. L’utente malintenzionato potrebbe utilizzare lo script per indovinare ripetutamente le password nel tentativo di scoprire quella giusta.
Lo script era disponibile per chiunque, almeno per un paio di giorni, prima che Apple correggesse la vulnerabilità, bloccando gli account dopo cinque tentativi falliti.
Non è chiaro per quanto tempo questa vulnerabilità era presente nella funzione Trova il mio iPhone. L’unica certezza è che il difetto era sfruttabile dagli aggressori che erano a conoscenza dell’indirizzo email delle vittime.
Il proprietario dello strumento, Hackapp, ha riferito che la correzione è stata applicata 3:20am PT. Ad ogni modo, ha osservato che non ci sono prove che ibrute sia stato coinvolto in questo incidente.
” Non ho ancora visto alcuna prova, ma ammetto che qualcuno potrebbe usare questo strumento”, ha detto.
Figura – HackApp Tweet
Figura – GitHub PythonScript file Read me
Lo script è in grado di indovinare le password più volte, senza alcun blocco o l’avviso di destinazione. Una volta scoperta la password, potrebbe essere utilizzata per accedere all’account della vittima.
Figura – l’Esecuzione di script Python
Hackapp confermato che questo tipo di difetto è molto comune per il servizio di autenticazione interfacce:
“Questo errore è comune per tutti i servizi che sono molti di autenticazione interfacce” e che con “conoscenze di base di sniffing e retromarcia tecniche” è “banale” svelare”, ha detto l’esperto.
Hackapp ha anche pubblicato le diapositive che includevano dettagli sullo schema di attacco e un’analisi dei problemi di sicurezza relativi al portachiavi iCloud.
Figura di Diapositive pubblicato da Hackapp
Un interessante punto di vista è quello di Christopher Soghoian, preside della tecnologia presso l’American Civil Liberties Union, la falla nel sistema di Apple e il suo presunto sfruttamento:
“Se le celebrità’ account iCloud password sono state bruta forza, il problema sembra essere la mancanza di limitazione della velocità da parte di Apple, non la mancanza di crypto,” Soghoian ha commentato via Twitter.
Un “film” già visto
Nel maggio 2014, i criminali informatici hanno preso di mira un gran numero di utenti australiani di iCloud di Apple con un sofisticato schema di estorsione.
Gli utenti Apple sono stati presi di mira dall’attacco simile al ransomware che ha bloccato iPhone, Mac e iPad tramite iCloud e un messaggio proveniente dal servizio Trova il mio iPhone di Apple che dichiarava “Dispositivo violato da Oleg Pliss”.
Figura – iCloud hack di Oleg Pliss
Implementando uno schema di estorsione consolidato, i criminali chiedono di sbloccare il dispositivo inviando fino a ransom 100 riscatto a uno specifico conto Paypal.
” Sono andato a controllare il mio telefono e c’era un messaggio sullo schermo (è ancora lì) che diceva che il mio dispositivo era stato violato da ‘Oleg Pliss’ e lui/lei/hanno chiesto $100 USD/EUR(inviato da paypal a lock404 (at) hotmail.com) per restituirli a me”, ha scritto una vittima del nuovo ransomware sul forum di supporto Apple.
In realtà, gli utenti Apple non si trovano ad affrontare una classica infezione dei loro dispositivi da ransomware; gli aggressori avrebbero dirottato la funzione Trova il mio iPhone di Apple. In questo modo i criminali bloccano in remoto i dispositivi iOS e Mac e inviano messaggi che richiedono il riscatto.
I criminali informatici utilizzavano account iCloud compromessi che probabilmente non utilizzavano un processo di verifica in due passaggi. Per questi account, gli hacker sono in grado di ottenere l’accesso al dispositivo semplicemente utilizzando le credenziali rubate.
In questo scenario di attacco, l’unica possibilità di recuperare il dispositivo per i possessori di dispositivi Apple è ripristinarlo in “modalità di ripristino”, ma questo processo cancellerà tutti i dati memorizzati sul dispositivo e le applicazioni installate.
Chi è il colpevole?
La caccia al colpevole è aperta. Lo sviluppatore Bryan Hamade è uno dei principali individui sospettati per la perdita di dati. Gli utenti di Reddit e 4chan hanno speculato sulla possibilità che Hamade sia il colpevole perché uno screenshot pubblicato online sembrava mostrare una serie di nomi collegati a una società di sviluppo web in Georgia.
Figura – Bryan Hamade sospettato come colpevole dell’hack
L’uomo ha rifiutato l’accusa e ha spiegato ai media di aver riportato solo le immagini.
” Ho ripubblicato solo una cosa che è stata pubblicata altrove e stupidamente avevo le mie cartelle di rete visibili.”
” Non sono il leaker originale. Il vero ragazzo è su 4chan distacco a intermittenza, ” E ‘ più probabile che quello dietro di esso, ma sembra che le foto passati intorno a più persone prima di essere trapelato, quindi potrebbe essere solo qualcuno che li ha e non ha hack per farli. Non saprei mai in un milione di anni come hackerare nessuno dei conti elencati. 4chan mi ha appena attaccato perché a loro piace attaccare chiunque in situazioni come questa”, ha detto.
Hamade ha rivelato che ha ricevuto continue minacce da parte di persone che indagano sul presunto hack di iCloud:
“È stato un incubo e non dormo da 34 ore, ora. gli utenti di 4chan mi stanno molestando con telefonate ed e-mail non-stop. Mi email costantemente, e-mail dicendo che faranno incidere i miei siti personali e continuare a chiamare il mio telefono, mi chiama un frocio e poi riagganciare. Hanno anche detto che hackereranno il sito di mia madre, quindi l’ho tolto down me ne pento così tanto.non ne ho nemmeno ricavato alcun bitcoin. È la cosa più stupida che ho fatto e spero che non rovinerà la mia vita, anche se probabilmente lo farà dato che è solo la più grande notizia.”
Come proteggere il tuo cloud personale
I servizi di cloud storage sono molto popolari. Gli utenti e le aziende memorizzano una quantità impressionante di dati sul cloud ed è importante capire come migliorare la loro protezione. Prima di tutto, mi permetta di suggerire di attivare l’autenticazione a due fattori per i servizi che lo implementano, e scegliere una password complessa, soprattutto quando è l’unica protezione che conserva i nostri dati.
Come scegliere una password complessa?
Per comporre password difficili da indovinare, mi raccomando:
- Usa password lunghe (lunghezza minima di sette caratteri, preferibilmente di più per aumentare la forza)
- Usa una vasta gamma di caratteri tra cui A-Z, a-z, 0-9, punteggiatura e simboli, come#@@, se possibile
- Di norma prova ad usare almeno un carattere minuscolo e uno maiuscolo e almeno una cifra. Se è tecnicamente possibile, utilizzare anche un segno di punteggiatura. Questo aiuta ad aumentare lo spazio di ricerca totale.
- Usa i numeri al posto delle lettere in alcuni casi. Cambia ” i” per “1”, “E” per “3”, “A” per “4” (o@), “S” per “5”, “G” per “6”, “O”per “0”. Ancora una volta, questo aiuta ad aumentare lo spazio di ricerca.
Evita le password banali perché sono sempre incluse in un dizionario delle password. Le password non devono includere il tuo nome o Login / ID utente. È importante creare password complesse ma facili da ricordare. Ad esempio, supponiamo che tu sia un grande fan dei Simpson. Una buona password per la tua e-mail potrebbe essere qualcosa sulla falsariga di: Ih4teM0ntg0m3ry#Burn5 (se non lo capisci, significa “Odio Montgomery Burns”). E per Facebook forse puoi usare B4rT # I5 # MY # Fr13nD (”Bart è mio amico”, con numeri al posto delle lettere e ogni parola che inizia e finisce in maiuscolo). Questi non sono così facili da indovinare con attacchi di forza bruta a causa della lunghezza, dell’intervallo di caratteri (maiuscole e minuscole, numeri e simboli) e perché sapere che ti piacciono I Simpson non significa che sia facile ricavare ciò che pensi dei personaggi dei Simpson.
Quando usi espressioni o frasi lunghe come password, prova a usare una semplice tecnica per sostituire una lettera con una lettera diversa: ad esempio, sostituendo ogni lettera ‘a’ con il simbolo ‘per cento’. Questo aiuta a prevenire contro gli attacchi del dizionario, mantenendo facile ricordare la tua passphrase.
Un’altra possibilità per gli utenti è quella di adottare gestori di password che consentono agli utenti anche di utilizzare password complesse.
Abilita l’autenticazione a due fattori per il servizio Apple iCloud
Prima di tutto, accedi al tuo account Apple con il tuo ID Apple.
- Seleziona “Gestisci il tuo ID Apple e accedi”
- Seleziona “Password e sicurezza”
- In “Verifica in due passaggi”, seleziona “Inizia” e segui le istruzioni.
Conclusioni
Sii consapevole, perché non solo le celebrità sono esposte a tali rischi. Non importa se sei un manager o un individuo comune, i tuoi dati sono un bene prezioso nell’ecosistema della criminalità informatica. Per questo motivo, è importante conoscere le principali minacce informatiche e le principali pratiche di mitigazione. Questo potrebbe essere solo l’inizio. In questo momento c’è molta confusione sull’evento, ma Taylor Swift di InfoSec ha avvertito che altre celebrità potrebbero essere state influenzate:
“_questo è solo l’inizio._ Cartelle di immagini con miniature visibili sono stati mostrati, molte celebrità ancora essere influenzato che sarà.”
Apple ha detto a Recode lunedì che stava indagando sull’incidente per scoprire se questi account iCloud erano stati davvero violati e come.
“Prendiamo molto sul serio la privacy degli utenti e stiamo attivamente indagando su questo rapporto”, ha dichiarato la portavoce di Apple Natalie Kerris.
Restate sintonizzati per ulteriori informazioni.
http://www.businessinsider.com/4chan-nude-photo-leak-2014-8
http://www.businessinsider.com/icloud-naked-celebrity-photo-leak-2014-9
http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/
http://www.independent.co.uk/life-style/gadgets-and-tech/is-apples-icloud-safe-after-leak-of-jennifer-lawrence-and-other-celebrities-nude-photos-9703142.html
http://www.businessinsider.com/man-accused-of-leaking-naked-celebrity-icloud-photos-denies-everything-2014-9
http://www.zdnet.com/after-alleged-icloud-breach-heres-how-to-secure-your-personal-cloud-7000033177/
http://www.businessinsider.com/apple-fixes-security-flaw-in-find-my-iphone-software-2014-9
Extortion scheme based on ransom request hit Australian Apple Users
http://www.theguardian.com/technology/2014/sep/01/naked-celebrity-hack-icloud-backup-jennifer-lawrence
http://pastebin.com/rHSTg6i8