ケース
今週のゴシップニュースは、多くの有名人のAppleのiCloudの疑惑のハ 百人以上の俳優や歌手に属すると言われている何百もの裸の写真がオンラインで開示されています。
日曜日に、Ariana Grande、Jennifer Lawrence、Victoria Justice、Kate Upton、Kim Kardashian、Rihanna、Kirsten Dunst、Selena Gomezを含む101人の有名人の写真がオンライン画像共有フォーラム4chanに投稿され、噂によると、写真はapple iCloudサービスの有名人
4chanの匿名ユーザーは、サービスからそれらを取ったと主張し、Appleはイベントについてコメントしていないにもかかわらず、EXIFメタデータが埋め込まれた画像の分析は、大部分がAppleデバイスを使用して撮影されたことを確認している。 しかし、女優のメアリー-エリザベス-ウィンステッドは、彼女の流出した写真は”数年前に撮影されたと主張した。”
流出した画像のメタデータの詳細な分析は、次のアドレスでPastebinで利用可能です:
http://pastebin.com/rHSTg6i8
有名人の写真を最初に投稿した匿名ユーザーは、ローレンスの他の写真や明示的なビデオを持っていると主張し、それらを投稿するためにPayPalとBitcoinを介して寄付を要求した。
この事件は、クラウドストレージのようなオンラインサービスが提供するセキュリティのレベルについて疑問を提起しています。 ICloudサービスを使用すると、Appleユーザーは写真、文書、電子メールなどのデータをオンラインで自動的に保存できます。 ユーザーは、サービスに認証されると、どこからでもドキュメントにアクセスできます。 攻撃者が最初に1つ以上の有名人に属するcompromisedtheiCloudaccountをアカウント間で「連鎖」することで、被害者のアドレス帳にアクセスして、さらなる攻撃のためのデータを収集した可能性があります。
写真の大部分を投稿した4chanユーザーは、より多くの流出した写真やビデオを公開するためにBitcoinの寄付を募集していました。
寄付のコレクターとして使用されているBitcoinアカウント(18pgun3bbbdnqjkg8zgedfvcovcsv1knwa)に関連する取引記録の分析によると、合計0.26BTCの寄付を受けていることが明ら
図–写真を漏洩したハッカーが使用するビットコインアカウント
ハッカーがApple iCloudサービス全体とそのインフ 疑惑の攻撃者は、特定のアカウントを標的にするためにいくつかのハックを使用した可能性が最も高い。私たちはすでにユーザーアカウントに違反する多くの方法があることを、過去に議論しました。
私たちはすでにユーザーアカウントに違反する多くの方 攻撃者は、ユーザーの資格情報を推測したり、マルウェアで盗んだり、関連する電子メールアドレスを見つけて”セキュリティの質問”に答えることで、被害者のア 攻撃者は、さまざまな形態のソーシャルエンジニアリング攻撃を通じて、被害者に関する必要な情報を収集する可能性があります。 収集されたデータは、一連の質問に答えるだけで、緊急の手順(パスワードリセット、バックアップリセットなど)を実行するのに役立ちます。
ウェブサイト次のウェブは、写真の公開後、オープンソースのウェブサイトGitHubに掲載されたiCloudのハッキングのためのコードの存在を明らかにしました。
アプリケーションは、ロックアウトされることなく、無制限の試みでパスワードを推測するために、”私のiPhoneを探す”サービスで、すでにAppleによって修正された脆弱性を悪用します。
Iphoneを探す機能を使用すると、ユーザーはAppleデバイス(iPhone、iPad、iPod touch、またはMac)が紛失または盗難された場合に見つけて保護することができます。 攻撃者は被害者のアカウントを強制的に強制することができ、単語やフレーズの辞書からパスワードを選択することで改善することができます。 パスワードのこれらのデータベースの選択は、彼らの習慣や自分の好みの、被害者の知識によって駆動することができます。
データ漏洩の有名人の犠牲者の一人、ジェニファー-ローレンスは、彼女の写真の真正性を確認しました。 彼女の広報担当者は、この事件を「プライバシーの重大な違反」と定義し、画像をオンラインで共有した人を起訴することを脅迫した。
“当局は連絡を受けており、ジェニファー-ローレンスの盗まれた写真を投稿した人は誰でも起訴する”と広報担当者は語った。
セキュリティ専門家は、写真が被害者のDropboxアカウントから盗まれた可能性があると推測しています。 誰かが、インサイダーが「どこかのデータにアクセスして私的な隠し場所を作った」と仮定し、その後、写真をオンラインで漏洩した個人によってハッキングされたと仮定しています。写真を含むiCloudバックアップは暗号化されており、アカウントにアクセスしてもApple Cloudに保存されている情報を復号化することはできないため、上記の仮説を除外します。
“一部はまた、サードパーティのクラウドストレージサービスは、いくつかの写真のソースであったことを示唆しているとして、ハッキングされたアカウント
別の人気のあるモバイルアプリケーションは、データ漏洩に掲載された多数の記事で言及されたSnapchatです。 いくつかの写真にはテキストが重なっていましたが、これは少なくともいくつかの写真がSnapchatと共有されたことを示しています。 Snapchatはここ数カ月の間に主要なセキュリティ問題の影響を受けましたが、その違反がデータ侵害の原因である可能性は低いです。
この記事の執筆時点で、Appleは有名人のアカウントに違反し、自分の写真を盗むために攻撃者によって悪用された可能性のあるApple iCloudサービスのセキュリ セキュリティパッチは、ハッカーが4chanで何百ものヌード有名人の写真を公開したわずか数時間後に提供されます。
欠陥–appleの”Find My iPhone”ログインブルートフォース攻撃に対して脆弱
プライベートセレブの写真をオンラインで漏洩したハッカーは、Appleの”Find my iPhone”機能の欠陥を悪用している可能性があり、攻撃者はユーザーのアカウントをブルートフォースすることができます。
データ漏洩の数時間後、GitHubのオンラインリポジトリには、Find My iPhoneサービスの脆弱性を悪用して、Apple iCloudアカウントのパスワードを”ブルートフォース”するために使 攻撃者は、スクリプトを使用してパスワードを繰り返し推測し、正しいパスワードを発見する可能性があります。
このスクリプトは、Appleが脆弱性を修正する前に、少なくとも数日間は誰でも利用でき、五回の試行が失敗した後にアカウントをブロックしました。この脆弱性がIphoneを探す機能にどれくらいの期間存在したかは不明です。
唯一の確実性は、この欠陥が被害者の電子メールアドレスを認識していた攻撃者によって悪用されたことです。
ツールの所有者であるHackappは、修正が3:20AM PTに適用されたと報告しました。 とにかく、彼はibruteがこの事件に関与していたという証拠はないと述べた。”私はまだ証拠を見ていませんが、誰かがこのツールを使用できることを認めています”と彼は言いました。
“私はまだ証拠を見ていませんが、私は誰かがこP>
図–github pythonscript read me file
スクリプトは、ターゲットへのロックアウトや警告なしにパスワードを繰り返し推測することができます。 パスワードが発見されると、それは被害者のアカウントにアクセスするために使用することができます。
図–Pythonスクリプトを実行している
Hackappは、この種の欠陥が認証サービスインターフェイスに非常に共通していることを確認しました。
“このバグは、多くの認証インターフェイスを持つすべてのサービスに共通しています”。”スニッフィングと反転技術の基本的な知識”それらを明らかにすることは”些細な”ことです”と専門家は言いました。
Hackappはまた、攻撃スキームの詳細とiCloudキーチェーンに関連するセキュリティ問題の分析を含むスライドを投稿しました。
Hackappによって公開された図–スライド
興味深い視点は、Appleシステムの欠陥とその悪用の疑惑に、アメリカ市民自由連合の技術の校長であるChristopher Soghoianのことである。
“有名人のicloudアカウントのパスワードが強制的に強制された場合、問題はappleによるレート制限の欠如であり、暗号の欠如ではないようだ”とsoghoianはtwitter経由でコメントした。
すでに見られる”映画”
月に2014,サイバー犯罪者は、洗練された恐喝スキームでAppleのiCloudのオーストラリアのユーザーの多数をターゲットにしました.
Appleユーザーは、iCloudを介してiPhone、Mac、iPadをロックしたランサムウェアのような攻撃と、AppleのFind my iPhoneサービスに発信された「Oleg Plissによってハッキングされたデバ
図–Oleg PlissによるiCloudハック
統合恐喝スキームを実装すると、犯罪者は特定のPaypalアカウントに最大100ドルの身代金を送
“私は自分の携帯電話をチェックするために行って、私のデバイスが’Oleg Pliss’によってハッキングされ、彼/彼女/彼らはpaypal100USD/EUR(lock404(at)hotmailにpaypalによって送信された)を要求したというメッセージが画面に表示された(まだそこにある)。com)私にそれらを返すために、”Appleサポートフォーラムで新しいランサムウェアの犠牲者を書いた。
実際には、Appleユーザーはランサムウェアによるデバイスの古典的な感染に直面していません。 このようにして、犯罪者はiosとMacのデバイスをリモートでロックし、身代金を要求するメッセージを送信します。
サイバー犯罪者は、二段階の検証プロセスを使用していなかった可能性が高い侵害されたiCloudアカウントを使用していました。 これらのアカウントでは、ハッカーは盗まれた資格情報を使用するだけでデバイスへのアクセスを得ることができます。
この攻撃シナリオでは、Appleデバイスの所有者のためにデバイスを回復する唯一の可能性は、”回復モード”でリセットすることですが、このプロセスでは、犯人は誰ですか?
開発者のBryan Hamadeは、データ漏洩の疑いがある主要な個人の一人です。 Redditと4chanのユーザーは、オンラインで投稿されたスクリーンショットがジョージア州のweb開発会社に関連する一連の名前を示すように見えたため、Hamadeが犯人
図–ブライアンHamadeは、ハックの犯人として疑わ
男は告発を拒否し、彼は唯一の画像を報告していることをメディ
“私は他の場所に投稿された一つのことを再投稿し、愚かに私のネットワークフォルダが表示されていました。”
“私は元のleakerではありません。 本当の男は断続的に投稿4chanにある、”彼は最も可能性の高いその背後にあるものだが、それは漏れている前に、複数の人に渡された写真を思わないので、 私は百万年後に記載されているアカウントのいずれかに侵入する方法を知っていることはないだろう。 彼らはこのような状況で誰を攻撃するのが好きなので、4chanはちょうど私を攻撃した”と彼は言った。
Hamadeは、彼が疑惑のiCloudハックを調査している人々からの継続的な脅威を受けていることを明らかにしました:”それは悪夢だったし、私は今、34時間で寝ていない。 4chanユーザーは、ノンストップの電話や電子メールで私に嫌がらせをしています。 彼らは常に私に電子メールを送り、彼らは私の個人的なウェブサイトをハックし、私の携帯電話を呼び出し、私にたばこを呼び出してからハングアップ 彼らはまた、彼らは私のお母さんのサイトをハックすると言ったので、私はそれを取った…私はそれをそんなに後悔しています…私はそれからビットコインを取得していませんでした。 それは私がやった愚かなことだと私はそれが私の人生を台無しにしないことを願っています,それはちょうど最大のニュース記事だから、それはおそら”
あなたの個人的なクラウドを保護する方法
クラウドストレージサービスは非常に人気があります。 ユーザーと企業はクラウド上に膨大な量のデータを保存しており、保護を改善する方法を理解することが重要です。 まず第一に、私はそれを実装するサービスのための二要素認証を有効にし、それが私たちのデータを保持する唯一の保護である場合は特に、強力なパスワー
どのように強力なパスワードを選択するには?推測しにくいパスワードを作成するには、次のことをお勧めします。
:
- 長いパスワードを使用します(少なくとも七文字の長さ、好ましくはより多くの強度を高めるために)
- a-Z、a-z、0-9、句読点や記号を含む広い範囲の文字を使用してください。#@@のように、可能であれば
- 原則として、少なくとも一つの小文字と一つの大文字、および少なくとも一つの数字を使用してください。 技術的に可能な場合は、句読点も使用してください。 これは、検索領域の合計を増やすのに役立ちます。
- 場合によっては、文字の代わりに数字を使用します。 “I”を”1″、”E”を”3″、”A”を”4″(または@)、”S”を”5″、”G”を”6″、”O”を”0″に変更します。 ここでも、これは検索スペースを増やすのに役立ちます。
パスワードは常にパスワード辞書に含まれているため、些細なパスワードは避けてください。 パスワードには、あなたの名前やログイン/ユーザー IDを含めるべきではありません。 複雑だが覚えやすいパスワードを作成することが重要です。 たとえば、あなたがThe Simpsonsの大ファンであるとします。 あなたの電子メールのためのよいパスワードはラインに沿う何かのかもしれない:Ih4Tem0Ntg0M3Ry#Burn5(それを得なければ、”私はMontgomeryの焼跡を憎む”意味する)。 また、Facebookでは、B4Rt#I5#MY#Fr13Nd(「Bartは私の友人です」、文字の代わりに数字、すべての単語の始まりと終わりを大文字で)を使用できます。facebookでは、B4Rt#I5#MY#Fr13Nd これらは、長さ、文字範囲(大文字と小文字、数字、記号)のためにブルートフォース攻撃によって推測するのは簡単ではなく、シンプソンズが好きであることを知
長い表現やフレーズをパスワードとして使用する場合は、いくつかの簡単な手法を使用して、別の文字の代わりに一つの文字を使用してみてくださ: たとえば、すべての文字’a’を記号’percent’に置き換えます。 これは、あなたのパスフレーズを覚えやすく保ちながら、辞書の攻撃を防ぐのに役立ちます。
ユーザーのための別の可能性は、ユーザーが複雑なパスワードを使用することも可能にするパスワードマネージャを採用することです。
Apple iCloudサービスの二要素認証を有効にする
まず、Apple IDでAppleアカウントにログインします。
- “Apple IDの管理とサインイン”を選択します
- “パスワードとセキュリティ”を選択します
- “ツーステップ認証”の下で”はじめに”を選択し、指示に従います。
結論
有名人だけでなく、そのようなリスクにさらされているので、注意してください。 あなたがマネージャーであろうと一般的な個人であろうと、あなたのデータはサイバー犯罪エコシステムの貴重な商品です。 このため、主要なサイバー脅威と主要な緩和策を知ることが重要です。 これはほんの始まりに過ぎないかもしれません。 現時点では、イベントには多くの混乱がありますが、InfoSecのTaylor Swiftは、他の有名人が影響を受けた可能性があると警告しています。
“_これはほんの始まり_サムネイルが表示された画像のフォルダが表示されていますが、多くの有名人はまだ誰が影響を受けることになります。”
Appleは、これらのiCloudアカウントが本当にハッキングされていたかどうかを発見するために事件を調査していた月曜日にRecodeに語りました。
“私たちは非常に真剣にユーザーのプライバシーを取り、積極的にこのレポートを調査している、”Appleの広報担当者ナタリー*ケリスは述べています。詳細についてはお楽しみに。
詳細についてはお楽しみに。
http://www.businessinsider.com/4chan-nude-photo-leak-2014-8
http://www.businessinsider.com/icloud-naked-celebrity-photo-leak-2014-9
http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/
http://www.independent.co.uk/life-style/gadgets-and-tech/is-apples-icloud-safe-after-leak-of-jennifer-lawrence-and-other-celebrities-nude-photos-9703142.html
http://www.businessinsider.com/man-accused-of-leaking-naked-celebrity-icloud-photos-denies-everything-2014-9
http://www.zdnet.com/after-alleged-icloud-breach-heres-how-to-secure-your-personal-cloud-7000033177/
http://www.businessinsider.com/apple-fixes-security-flaw-in-find-my-iphone-software-2014-9
Extortion scheme based on ransom request hit Australian Apple Users
http://www.theguardian.com/technology/2014/sep/01/naked-celebrity-hack-icloud-backup-jennifer-lawrence
http://pastebin.com/rHSTg6i8