de zaak
het roddelnieuws van deze week is de vermeende hack van Apple’ s iCloud van vele beroemdheden. Honderden naaktfoto ‘ s die naar verluidt behoren tot meer dan honderd acteurs en zangers zijn online bekendgemaakt.op zondag werden de foto’ s van 101 Beroemdheden, waaronder Ariana Grande, Jennifer Lawrence, Victoria Justice, Kate Upton, Kim Kardashian, Rihanna, Kirsten Dunst en Selena Gomez gepost op het online image sharing forum 4chan.
anonieme gebruikers op 4chan claimden ze van de service te hebben genomen, en ondanks dat Apple geen commentaar heeft gegeven op het evenement, bevestigt de analyse van de ingesloten EXIF-metadata van de afbeelding dat de meerderheid werd genomen met behulp van Apple-apparaten. Echter, actrice Mary Elizabeth Winstead beweerde dat haar gelekte foto ‘ s werden genomen “jaren geleden.”
een gedetailleerde analyse van de metagegevens van de gelekte afbeelding is beschikbaar op Pastebin op het volgende adres:
http://pastebin.com/rHSTg6i8
de anonieme gebruiker die de foto’ s van beroemdheden voor het eerst plaatste, beweerde andere foto ’s en expliciete video’ s van Lawrence te hebben en vroeg donaties via PayPal en Bitcoin om ze te posten.
het incident heeft vragen opgeroepen over het beveiligingsniveau dat wordt geboden door online diensten zoals cloudopslag. Met de iCloud-service kunnen Apple-gebruikers hun gegevens automatisch online opslaan, waaronder foto ‘ s, documenten en e-mails. Gebruikers hebben toegang tot hun documenten vanaf elke locatie zodra ze bij de service zijn geverifieerd. Het is waarschijnlijk dat de aanvallers in eerste instantie compromissedtheicloudaccount die behoren tot een of meer Beroemdheden, vervolgens door “chaining” tussen accounts, verkregen toegang tot het adresboek van het slachtoffer om gegevens te verzamelen voor verdere aanvallen.
De 4chan-gebruiker die het merendeel van de foto ’s plaatste, vroeg om Bitcoindonaties om meer gelekte foto’ s en video ‘ s te publiceren.
de analyse van de transactie records met betrekking tot de Bitcoin rekening (18pgUn3BBBdnQjKG8ZGedFvcoVcsv1knwa) gebruikt als de verzamelaar voor de donaties blijkt dat het acht donaties heeft ontvangen voor een totaal van 0,26 BTC.
Figure – Bitcoin account gebruikt door de hacker die de foto ‘ s lekte
Het is onwaarschijnlijk dat hackers de volledige Apple iCloud-service en de infrastructuur hebben gecompromitteerd. De vermeende aanvaller heeft waarschijnlijk een hack gebruikt om specifieke accounts aan te pakken.
we hebben in het verleden al besproken dat er veel manieren zijn om een gebruikersaccount te schenden. Een aanvaller kan de referenties van de gebruiker raden, stelen ze met een malware, of gewoon reset account van het slachtoffer door het vinden van de bijbehorende e-mailadres en vervolgens het beantwoorden van de ‘security questions’. Een aanvaller kan de nodige informatie over de slachtoffers te verzamelen door middel van verschillende vormen van social engineering aanvallen. De verzamelde gegevens kunnen hem helpen om een noodprocedure (bijvoorbeeld wachtwoord reset, back-up reset) gewoon het beantwoorden van een reeks vragen uit te voeren.
de website The Next Web, na de publicatie van de foto ‘ s, heeft het bestaan van een code voor het hacken van iCloud onthuld die werd gepost op de open-source website GitHub.
De applicatie maakt gebruik van een kwetsbaarheid, al vastgesteld door Apple, in de ‘Find my iPhone’ service om wachtwoorden te raden met onbeperkte pogingen zonder te worden buitengesloten.
met de functie Mijn iPhone zoeken kunnen gebruikers hun Apple-apparaten (iPhone, iPad, iPod touch of Mac) lokaliseren en beschermen als ze verloren of gestolen zijn. De aanvaller kan brute force account van het slachtoffer, een operatie die kan worden verbeterd door het kiezen van de wachtwoorden uit een woordenboek van woorden en zinnen. De keuze van deze databases van wachtwoorden kan worden gedreven door de kennis van de slachtoffers, van hun gewoonten en hun voorkeuren.een van de beroemdste slachtoffers van het lekken van gegevens, Jennifer Lawrence, heeft de authenticiteit van haar foto ‘ s bevestigd. Haar woordvoerder definieerde het incident als een “flagrante schending van de privacy” en dreigde iedereen die de beelden online deelde te vervolgen.”de autoriteiten zijn gecontacteerd en zullen iedereen vervolgen die de gestolen foto’ s van Jennifer Lawrence post, ” zei de woordvoerder.
beveiligingsexperts speculeren dat foto’ s mogelijk gestolen zijn uit de Dropbox-accounts van slachtoffers. Iemand heeft verondersteld dat insiders “met toegang tot gegevens ergens een privé stash” en vervolgens werd gehackt door de persoon die de foto ‘ s online gelekt.
Ik sluit de bovenstaande hypothese uit omdat iCloud-back-ups, inclusief foto ‘ s, versleuteld zijn, en zelfs door toegang te krijgen tot het account is het niet mogelijk om de informatie die is opgeslagen in de Apple Cloud te decoderen.
“sommigen hebben ook gewezen op de aanwezigheid van een Dropbox-tutorial-bestand in één gehackt account, wat suggereert dat de cloudopslag-service van derden een bron was van enkele foto’ s,” zegt The Guardian in een bericht over het incident.
een andere populaire mobiele applicatie werd genoemd in tal van artikelen gepost op de data lekkage is Snapchat. Verschillende foto ’s hadden tekst overlay, wat aangeeft dat ten minste een deel van de foto’ s werden gedeeld met Snapchat. Hoewel Snapchat werd beïnvloed door belangrijke beveiligingsproblemen in de afgelopen maanden, het is onwaarschijnlijk dat de schending is de oorzaak van de inbreuk op de gegevens.
op het moment van dit schrijven heeft Apple het beveiligingsprobleem in de Apple iCloud-service opgelost die door aanvallers had kunnen worden uitgebuit om celebrity-accounts te schenden en hun foto ‘ s te stelen. De security patch komt slechts een paar uur na hackers gepubliceerd honderden naakt celebrity foto ‘ s op 4chan.
de fout-Apple ‘s” Find My iPhone “login kwetsbaar voor brute force aanvallen
de hackers die de privé celebrity foto’ s online gelekt kunnen hebben uitgebuit een fout in de Apple ‘s” Find my iPhone ” functie, die het mogelijk maakt een aanvaller brute force de gebruikersaccount.
een paar uur na het lekken van de gegevens, op de GitHub online repository werd gepubliceerd een Python script dat kan worden gebruikt om “brute force” een Apple iCloud-account wachtwoord, het benutten van de kwetsbaarheid in de Find My iPhone service. De aanvaller kan het script gebruiken om herhaaldelijk wachtwoorden te raden in een poging om de juiste te ontdekken.
het script was beschikbaar voor iedereen, ten minste voor een paar dagen, voordat Apple de kwetsbaarheid vast, het blokkeren van de accounts na vijf mislukte pogingen.
Het is onduidelijk hoe lang deze kwetsbaarheid aanwezig was in de Find my iPhone functie. De enige zekerheid is dat de fout was exploiteerbaar door aanvallers die zich bewust waren van het e-mailadres van de slachtoffers.
de eigenaar van de tool, Hackapp, meldde dat de fix werd toegepast 3: 20am PT. Hoe dan ook, hij merkte op dat er geen bewijs is dat ibrute betrokken was bij dit incident.
“Ik heb nog geen bewijs gezien, maar ik geef toe dat iemand deze tool kan gebruiken,” zei hij.
figuur – HackApp Tweet
figuur – GitHub pythonscript read me file
het script kan wachtwoorden herhaaldelijk raden zonder enige lock-out of waarschuwing voor het doel. Zodra het wachtwoord is ontdekt, het kan worden gebruikt om toegang te krijgen tot de account van het slachtoffer.
Figure – Running Python script
Hackapp bevestigde dat dit soort fout zeer gebruikelijk is voor authentication service interfaces:
“deze bug is gebruikelijk voor alle services die veel authentication interfaces hebben” en dat met “basic kennis van snuiven en omkeren technieken” het is “triviaal” om ze te ontdekken,” zei de expert.
Hackapp plaatste ook de dia ‘ s die details bevatten over het aanvalsplan en een analyse van beveiligingsproblemen met betrekking tot de iCloud-sleutelhanger.
Figuur – Dia ‘ s gepubliceerd door Hackapp
Een interessante invalshoek is die van Christopher Soghoian, president van technologie bij de American Civil Liberties Union, op de fout in het Apple-systeem en zijn vermeende exploitatie:
“Als de celebs’ iCloud-account wachtwoorden werden brute gedwongen, het probleem lijkt te zijn gebrek aan snelheid te beperken door Apple, niet het gebrek aan crypto,” zei Soghoian via Twitter.
een” film “die
in mei 2014 al werd gezien, richtten cybercriminelen zich op een groot aantal Australische gebruikers van Apple’ s iCloud met een geavanceerde afpersing regeling.
Apple gebruikers werden het doelwit van de ransomware-achtige aanval die vergrendelde iPhone, Mac en iPads via iCloud en een bericht afkomstig uit Apple ‘ s Find my iPhone-service die verklaarde “apparaat gehackt door Oleg Pliss”.
Figure – iCloud hack by Oleg Pliss
implementatie van een geconsolideerde afpersing regeling, Verzoeken de criminelen om het apparaat te ontgrendelen door tot $100 losgeld te sturen naar een specifieke Paypal-rekening.
” Ik ging naar mijn telefoon te controleren en er was een bericht op het scherm (het is er nog steeds) zeggen dat mijn apparaat(s) was gehackt door ‘Oleg Pliss’ en hij/zij/ze eisten $100 USD/EUR (verzonden door paypal naar lock404(at)hotmail.com) om ze terug te keren naar mij, ” schreef een slachtoffer van de nieuwe ransomware op de Apple Support Forum.
in werkelijkheid worden Apple-gebruikers niet geconfronteerd met een klassieke infectie van hun apparaten door ransomware; de aanvallers naar verluidt gekaapt Apple ‘ s Find My iPhone-functie. Op deze manier criminelen op afstand vergrendelen iOS en Mac-apparaten en stuur berichten eisen losgeld.
de cybercriminelen gebruikten gecompromitteerde iCloud-accounts die waarschijnlijk geen verificatie in twee stappen gebruikten. Voor deze accounts, hackers zijn in staat om het apparaat toegang te krijgen gewoon met behulp van gestolen referenties.
in dit aanvalsscenario is de enige mogelijkheid om het apparaat te herstellen voor eigenaren van Apple-apparaten om het in “recovery mode” te resetten, maar dit proces zal alle gegevens wissen die zijn opgeslagen op het apparaat en de geïnstalleerde toepassingen.
Wie is de boosdoener?
De jacht op de dader is open. De Ontwikkelaar Bryan Hamade is een van de belangrijkste personen verdacht van het lekken van gegevens. Reddit en 4chan gebruikers speculeerden over de mogelijkheid dat Hamade is de boosdoener, omdat een screenshot geplaatst online bleek een reeks namen in verband met een web development bedrijf in Georgië te tonen.
Figure – Bryan Hamade verdacht als dader van de hack
De man weigerde de beschuldiging en legde aan de media uit dat hij alleen de beelden had gemeld.
“Ik heb maar één ding gepost dat elders gepost werd en domweg had mijn netwerkmappen zichtbaar.”
” Ik ben niet de oorspronkelijke leker. De echte man is op 4chan posting met tussenpozen, “”hij is waarschijnlijk degene achter het, maar het lijkt erop dat de foto’ s doorgegeven aan meerdere mensen voordat wordt gelekt, dus het kan gewoon iemand die ze heeft en niet hack om ze te krijgen. Ik zou in geen miljoen jaar weten hoe ik een van de genoemde accounts moet hacken. 4chan viel me gewoon aan omdat ze graag iedereen aanvallen in situaties zoals deze, ” zei hij.
Hamade onthulde dat hij voortdurend bedreigingen ontving van mensen die de vermeende iCloud hack onderzoeken:”It’ s been a nightmare and I have not Sied in 34 hours, now. 4chan-gebruikers vallen me lastig met non-stop telefoongesprekken en e-mails. Ze mailen me constant, e-mailen dat ze mijn persoonlijke websites hacken en mijn telefoon blijven bellen, me een flikker noemen en dan ophangen. Ze zeiden ook dat ze mijn moeder ‘ s site te hacken, dus ik haalde het naar beneden … Ik heb er zoveel spijt van … Ik heb niet eens een bitcoin uit het. Het is het stomste wat ik heb gedaan en ik hoop dat het mijn leven niet zal ruïneren, hoewel het waarschijnlijk zal omdat het gewoon het grootste nieuws verhaal.”
hoe uw persoonlijke cloud te beveiligen
cloudopslag services zijn erg populair. Gebruikers en bedrijven slaan een indrukwekkende hoeveelheid gegevens op in de cloud en het is belangrijk om te begrijpen hoe ze hun bescherming kunnen verbeteren. Allereerst, laat me voorstellen om twee factor authenticatie te activeren voor de diensten die het implementeren, en kies een sterk wachtwoord, vooral wanneer het de enige bescherming die onze gegevens bewaart.de Apple Media Advisory
hoe kies ik een sterk wachtwoord?
om moeilijk te raden wachtwoorden samen te stellen, raad ik u aan:
- gebruik lange wachtwoorden (minimumlengte van zeven tekens, bij voorkeur meer om de sterkte te verhogen)
- gebruik een breed scala aan tekens, waaronder A-Z, A-z, 0-9, interpunctie en symbolen, zoals#$@, indien mogelijk
- probeer in de regel ten minste één kleine letters en één hoofdletterteken te gebruiken, en ten minste één cijfer. Als het technisch mogelijk is, gebruik dan ook een leesteken. Dit helpt bij het verhogen van de totale zoekruimte.
- gebruik in sommige gevallen cijfers in plaats van letters. Verander ” i “door ” 1″, “E” door “3”, “A” door “4” (of@), “S” door “5”, “G” door “6”, “O”door ” 0″. Nogmaals, dit helpt de zoekruimte te vergroten.
vermijd triviale wachtwoorden omdat ze altijd in een wachtwoord woordenboek staan. Wachtwoorden mogen uw naam of Login/Gebruikersnaam niet bevatten. Het is belangrijk om complexe maar gemakkelijk te onthouden wachtwoorden te maken. Stel dat je een grote fan bent van The Simpsons. Een goed wachtwoord voor uw e-mail zou iets kunnen zijn in de trant van: Ih4teM0ntg0m3ry#Burn5 (als u het niet krijgt, betekent het “Ik haat Montgomery Burns”). En voor Facebook kun je misschien B4rT#I5#MY#Fr13nD gebruiken (“Bart is mijn vriend”, met cijfers in plaats van letters en elk woord dat begint en eindigt in hoofdletters). Deze zijn niet zo gemakkelijk te raden door brute kracht aanvallen vanwege de lengte, karakter bereik (hoofdletters en kleine letters, cijfers en symbolen), en omdat weten dat je van de Simpsons niet betekent dat is gemakkelijk af te leiden wat je denkt over de Simpsons karakters.
wanneer u lange uitdrukkingen of zinnen als wachtwoord gebruikt, probeer dan een eenvoudige techniek te gebruiken om een letter te vervangen door een andere letter: bijvoorbeeld het vervangen van elke letter ” a “door het symbool “procent”. Dit helpt voorkomen tegen woordenboek aanvallen terwijl het houden van het gemakkelijk om uw wachtwoordzin te onthouden.
een andere mogelijkheid voor gebruikers is om wachtwoordbeheerders aan te nemen die gebruikers ook toestaan om complexe wachtwoorden te gebruiken.
tweefactorverificatie inschakelen voor de Apple iCloud-service
log eerst in op uw Apple-account met uw Apple ID.
- selecteer “Manage your Apple ID and sign in”
- Selecteer “Password and Security”
- onder “Two-Step Verificatie “selecteer” Aan de slag” en volg de instructies.
conclusies
let op, omdat niet alleen Beroemdheden aan dergelijke risico ‘ s worden blootgesteld. Het maakt niet uit of u een manager of een gemeenschappelijk individu bent, uw gegevens zijn een kostbaar goed in het ecosysteem van cybercriminaliteit. Daarom is het belangrijk om de belangrijkste cyberdreigingen en de belangrijkste mitigatiepraktijken te kennen. Dit kan nog maar het begin zijn. Op dit moment is er veel verwarring over het evenement, maar Taylor Swift van InfoSec waarschuwde dat andere beroemdheden beïnvloed kunnen zijn:
“_dit is nog maar het begin._ Mappen van afbeeldingen met miniaturen zichtbaar zijn getoond, veel celebs nog te worden beà nvloed wie zal.”
Apple vertelde Recode op maandag was het onderzoeken van het incident om te ontdekken of deze iCloud-accounts echt was gehackt en hoe.
” We nemen de privacy van gebruikers zeer serieus en onderzoeken actief dit rapport,” zei Apple woordvoerster Natalie Kerris.
Stay tuned voor meer informatie.
http://www.businessinsider.com/4chan-nude-photo-leak-2014-8
http://www.businessinsider.com/icloud-naked-celebrity-photo-leak-2014-9
http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/
http://www.independent.co.uk/life-style/gadgets-and-tech/is-apples-icloud-safe-after-leak-of-jennifer-lawrence-and-other-celebrities-nude-photos-9703142.html
http://www.businessinsider.com/man-accused-of-leaking-naked-celebrity-icloud-photos-denies-everything-2014-9
http://www.zdnet.com/after-alleged-icloud-breach-heres-how-to-secure-your-personal-cloud-7000033177/
http://www.businessinsider.com/apple-fixes-security-flaw-in-find-my-iphone-software-2014-9
Extortion scheme based on ransom request hit Australian Apple Users
http://www.theguardian.com/technology/2014/sep/01/naked-celebrity-hack-icloud-backup-jennifer-lawrence
http://pastebin.com/rHSTg6i8