sprawa
plotkarskie wiadomości tego tygodnia to rzekomy hack Apple iCloud wielu gwiazd. W Internecie ujawniono setki nagich zdjęć rzekomo należących do ponad stu aktorów i piosenkarzy.
w niedzielę zdjęcia 101 gwiazd, w tym Ariana Grande, Jennifer Lawrence, Victoria Justice, Kate Upton, Kim Kardashian, Rihanna, Kirsten Dunst i Selena Gomez zostały opublikowane na internetowym forum udostępniania obrazów 4chan, a plotki mówią, że zdjęcia zostały uzyskane z kont gwiazd w usłudze Apple iCloud.
anonimowi użytkownicy na 4chan twierdzili, że pobrali je z serwisu i pomimo tego, że Apple nie skomentowało tego wydarzenia, analiza obrazu osadzonych metadanych EXIF potwierdza, że większość została pobrana za pomocą urządzeń Apple. Jednak aktorka Mary Elizabeth Winstead twierdziła, że jej wyciekły zdjęcia zostały zrobione „lata temu.”
szczegółowa analiza metadanych wyciekającego obrazu jest dostępna na Pastebin pod następującym adresem:
http://pastebin.com/rHSTg6i8
anonimowy użytkownik, który pierwszy opublikował zdjęcia gwiazd, twierdził, że ma inne zdjęcia i wyraźne filmy z Lawrence’ em i poprosił o darowizny za pośrednictwem PayPal i Bitcoin za ich opublikowanie.
incydent wywołał pytania dotyczące poziomu bezpieczeństwa oferowanego przez usługi online, takie jak Przechowywanie w chmurze. Usługa iCloud umożliwia użytkownikom Apple automatyczne przechowywanie danych online, w tym zdjęć, dokumentów i wiadomości e-mail. Użytkownicy mogą uzyskać dostęp do swoich dokumentów z dowolnego miejsca po uwierzytelnieniu w usłudze. Jest prawdopodobne, że napastnicy początkowo kompromitowali konto należące do jednego lub więcej celebrytów, a następnie poprzez” łańcuchowanie ” między kontami uzyskali dostęp do książki adresowej ofiary w celu zebrania danych do dalszych ataków.
użytkownik 4chan, który opublikował większość zdjęć, zabiegał o darowizny Bitcoina, aby opublikować więcej wyciekłych zdjęć i filmów.
analiza zapisów transakcji związanych z kontem Bitcoin (18pgun3bbbdnqjkg8zgedfvcovcsv1knwa) używanym jako zbieracz darowizn ujawnia, że otrzymało ono osiem darowizn na łączną kwotę 0,26 BTC.
rysunek – konto Bitcoin używane przez hakera, który wyciekł zdjęcia
jest mało prawdopodobne, że hakerzy skompromitowali całą usługę Apple iCloud i jej infrastrukturę. Domniemany napastnik najprawdopodobniej użył włamania, aby namierzyć określone konta.
już w przeszłości omawialiśmy, że istnieje wiele sposobów naruszania konta użytkownika. Atakujący może odgadnąć poświadczenia użytkownika, ukraść je za pomocą złośliwego oprogramowania lub po prostu zresetować konto ofiary, znajdując powiązany adres e-mail, a następnie odpowiadając na „pytania bezpieczeństwa”. Atakujący może zbierać niezbędne informacje o ofiarach poprzez różne formy ataków socjotechnicznych. Zebrane dane mogą pomóc mu w wykonaniu procedury awaryjnej (np. reset hasła, Reset kopii zapasowej) po prostu odpowiadając na serię pytań.
strona internetowa Następna strona, po opublikowaniu zdjęć, ujawniła istnienie kodu do hakowania iCloud, który został opublikowany na stronie open-source GitHub.
aplikacja wykorzystuje lukę, już naprawioną przez Apple, w usłudze „Znajdź mój iPhone”, aby odgadnąć hasła przy nieograniczonych próbach bez blokowania.
funkcja Znajdź mój iPhone pozwala użytkownikom zlokalizować i chronić swoje urządzenia Apple (iPhone, iPad, iPod touch lub Mac), jeśli zostaną zgubione lub skradzione. Atakujący może brutalnie wymusić konto ofiary, operację, którą można poprawić, wybierając hasła ze słownika słów i zwrotów. Wybór tych baz haseł może być podyktowany wiedzą ofiar, ich zwyczajami i preferencjami.
jedna z ofiar wycieku danych, Jennifer Lawrence, potwierdziła autentyczność swoich zdjęć. Jej rzecznik określił incydent jako „rażące naruszenie prywatności” i zagroził oskarżeniem każdego, kto udostępnił zdjęcia w Internecie.
„władze zostały powiadomione i będą ścigać każdego, kto opublikuje skradzione zdjęcia Jennifer Lawrence” – powiedział rzecznik.
eksperci od bezpieczeństwa spekulują, że zdjęcia mogły zostać skradzione z kont Dropbox ofiar. Ktoś postawił hipotezę, że wtajemniczeni „z dostępem do danych gdzieś zrobili prywatny Schowek”, a następnie został zhakowany przez osobę, która wyciekła do Internetu.
wykluczam powyższą hipotezę, ponieważ kopie zapasowe iCloud, w tym zdjęcia, są szyfrowane, a nawet dostęp do konta nie jest możliwy do odszyfrowania informacji przechowywanych w chmurze Apple.
„niektórzy wskazali również na obecność pliku samouczka Dropbox na jednym zhakowanym koncie, co sugeruje, że usługa przechowywania w chmurze innej firmy była źródłem niektórych zdjęć”, stwierdza The Guardian w poście na temat incydentu.
kolejna popularna aplikacja mobilna została wymieniona w licznych artykułach zamieszczonych na temat wycieku danych to Snapchat. Kilka zdjęć miało nałożony tekst, co wskazuje, że przynajmniej niektóre zdjęcia zostały udostępnione Snapchatowi. Chociaż Snapchat był dotknięty poważnymi problemami z bezpieczeństwem w ostatnich miesiącach, jest mało prawdopodobne, aby jego naruszenie było przyczyną naruszenia danych.
w momencie pisania tego tekstu Apple naprawiło lukę bezpieczeństwa w usłudze Apple iCloud, która mogła zostać wykorzystana przez napastników do naruszania kont celebrytów i kradzieży ich zdjęć. Łatka bezpieczeństwa pojawia się zaledwie kilka godzin po tym, jak hakerzy opublikowali setki nagich zdjęć gwiazd na 4chan.
wada – logowanie Apple „Find my iPhone” podatne na ataki brute force
hakerzy, którzy wyciekli do sieci prywatne zdjęcia celebrytów, mogli wykorzystać wadę funkcji Apple „Find my iPhone”, która pozwala atakującemu na brutalne wymuszenie konta użytkownika.
kilka godzin po wycieku danych, w repozytorium online GitHub został opublikowany skrypt Pythona, który może być użyty do „brutalnego wymuszenia” hasła konta Apple iCloud, wykorzystując lukę w usłudze Find my iPhone. Atakujący może użyć skryptu do wielokrotnego odgadywania haseł, próbując odkryć właściwy.
skrypt był dostępny dla każdego, przynajmniej na kilka dni, zanim Apple naprawiło lukę, blokując konta po pięciu nieudanych próbach.
nie jest jasne, jak długo ta luka była obecna w funkcji Znajdź mój iPhone. Jedyną pewnością jest to, że wada została wykorzystana przez napastników, którzy byli świadomi adresu e-mail ofiary.
właściciel narzędzia, Hackapp, poinformował, że poprawka została zastosowana 3:20 rano PT. W każdym razie, zauważył, że nie ma dowodów na to, że ibrute był zamieszany w ten incydent.
„nie widziałem jeszcze żadnych dowodów, ale przyznaję, że ktoś mógłby użyć tego narzędzia”
rysunek – Hackapp Tweet
rysunek – GitHub pythonscript read me file
skrypt może odgadnąć hasła wielokrotnie bez blokady lub alertu do celu. Po odkryciu hasła można go użyć do uzyskania dostępu do konta ofiary.
uruchamianie skryptu Pythona
Hackapp potwierdził, że tego rodzaju błąd jest bardzo powszechny w interfejsach usług uwierzytelniania:
„ten błąd jest wspólny dla wszystkich usług, które mają wiele interfejsów uwierzytelniania” i że dzięki „podstawowej wiedzy o technikach wąchania i cofania” odkrycie ich jest „trywialne” – powiedział ekspert.
Hackapp opublikował również slajdy, które zawierały szczegóły dotyczące schematu ataku i analizę kwestii bezpieczeństwa związanych z pękiem kluczy iCloud.
rysunek – slajdy opublikowane przez Hackapp
ciekawym punktem widzenia jest Christopher Soghoian, dyrektor ds. technologii w American Civil Liberties Union, na temat wady systemu Apple i jego rzekomego wykorzystywania:
„jeśli hasła do kont iCloud celebs zostały brutalnie wymuszone, problemem wydaje się być brak ograniczenia szybkości przez Apple, a nie brak krypto”, skomentował Soghoian za pośrednictwem Twittera.
„film” już widziany
w maju 2014 r.cyberprzestępcy zaatakowali dużą liczbę Australijskich użytkowników Apple iCloud za pomocą wyrafinowanego systemu wymuszeń.
użytkownicy Apple zostali zaatakowani przez atak typu ransomware, który zablokował iPhone ’ a, Maca i iPada za pośrednictwem iCloud i wiadomość pochodzącą z usługi Znajdź mój iPhone, która głosiła „urządzenie zhakowane przez Olega Pliss”.
rysunek – hack iCloud autorstwa Olega Pliss
„poszedłem sprawdzić mój telefon, a na ekranie pojawił się komunikat (nadal tam jest) mówiący, że moje urządzenia zostały zhakowane przez 'Oleg Pliss’ i zażądali $100 USD/EUR(wysłane przez paypal do lock404 (at) hotmail.com), aby mi je zwrócić ” – napisał ofiara nowego oprogramowania ransomware na forum Pomocy Technicznej Apple.
w rzeczywistości użytkownicy Apple nie stoją w obliczu klasycznej infekcji swoich urządzeń przez oprogramowanie ransomware; napastnicy rzekomo porwali funkcję Znajdź mojego iPhone ’ a Apple. W ten sposób przestępcy zdalnie blokują Urządzenia z systemem iOS i Mac i wysyłają wiadomości z żądaniem okupu.
cyberprzestępcy używali skompromitowanych kont iCloud, które prawdopodobnie nie korzystały z dwuetapowego procesu weryfikacji. W przypadku tych kont hakerzy mogą uzyskać dostęp do urządzenia po prostu za pomocą skradzionych poświadczeń.
w tym scenariuszu ataku jedyną możliwością odzyskania urządzenia dla właścicieli urządzeń Apple jest zresetowanie go w „trybie odzyskiwania”, ale ten proces usunie wszystkie dane przechowywane na urządzeniu i zainstalowanych aplikacjach.
kto jest sprawcą?
polowanie na winowajcę jest otwarte. Twórca Bryan Hamade jest jedną z głównych osób podejrzewanych o wyciek danych. Użytkownicy Reddit i 4chan spekulowali na temat możliwości, że Hamade jest sprawcą, ponieważ zrzut ekranu opublikowany w Internecie ukazał serię nazwisk związanych z firmą zajmującą się tworzeniem stron internetowych w Gruzji.
postać – Bryan Hamade podejrzewany jako sprawca włamania
mężczyzna odmówił oskarżenia i wyjaśnił mediom, że zgłosił tylko zdjęcia.
” opublikowałem tylko jedną rzecz, która została zamieszczona gdzie indziej i głupio było, że moje foldery sieciowe były widoczne.”
” nie jestem oryginalnym przeciekaczem. Prawdziwy facet jest na 4chan delegowania sporadycznie, „” to najprawdopodobniej jeden za nim, ale wydaje się, że zdjęcia przekazywane do wielu osób przed wyciekiem, więc może to być po prostu ktoś, kto je ma i nie włamać się, aby je dostać. Nigdy bym nie wiedział, jak włamać się do żadnego z wymienionych kont. 4chan po prostu mnie zaatakował, bo lubią atakować każdego w takich sytuacjach” – powiedział.
Hamade ujawnił, że otrzymuje ciągłe groźby od osób badających domniemany hack iCloud:
” To był koszmar i nie spałem od 34 godzin, teraz. Użytkownicy 4chan nękają mnie nieustannymi telefonami i e-mailami. Ciągle piszą do mnie, pisząc, że zhakują moje osobiste strony i będą dzwonić na mój telefon, nazywając mnie pedałem, a potem się rozłączają. Powiedzieli też, że zhakują stronę mojej mamy, więc usunąłem ją … tak bardzo tego żałuję … że nawet nie wyciągnąłem z niej bitcoina. To najgłupsza rzecz, jaką zrobiłem i mam nadzieję, że nie zrujnuje mi to życia, choć pewnie tak będzie, bo to tylko największy News.”
jak zabezpieczyć swoją osobistą chmurę
usługi przechowywania w chmurze są bardzo popularne. Użytkownicy i przedsiębiorstwa przechowują imponującą ilość danych w chmurze i ważne jest, aby zrozumieć, jak poprawić ich ochronę. Przede wszystkim proponuję aktywować uwierzytelnianie dwuskładnikowe dla usług, które go wdrażają, i wybrać silne hasło, zwłaszcza gdy jest to jedyna ochrona, która zachowuje nasze dane.
Jak wybrać mocne hasło?
aby skomponować trudne do odgadnięcia hasła, polecam:
- używaj długich haseł (minimalna długość siedmiu znaków, najlepiej więcej, aby zwiększyć siłę)
- używaj szerokiego zakresu znaków, w tym A-Z, A-z, 0-9, interpunkcji i symboli, takich jak#$@, jeśli to możliwe
- z reguły staraj się używać co najmniej jednego małego i jednego dużego znaku oraz co najmniej jednej cyfry. Jeśli jest to technicznie możliwe, należy również użyć znaku interpunkcyjnego. Pomaga to zwiększyć całkowitą przestrzeń wyszukiwania.
- w niektórych przypadkach zamiast liter używa się cyfr. Zmień „i” na „1”, „E” na „3”, „A” na „4” (lub @), „S” na „5”, „G” na „6”, „O” na „0”. Ponownie pomaga to zwiększyć przestrzeń wyszukiwania.
unikaj trywialnych haseł, ponieważ są one zawsze zawarte w słowniku haseł. Hasła nie powinny zawierać Twojego imienia i nazwiska ani loginu/identyfikatora użytkownika. Ważne jest, aby tworzyć złożone, ale łatwe do zapamiętania hasła. Na przykład, załóżmy, że jesteś wielkim fanem Simpsonów. Dobrym hasłem do twojego e-maila może być coś w stylu: Ih4teM0ntg0m3ry#Burn5 (jeśli go nie rozumiesz, oznacza to „nienawidzę Montgomery ’ ego Burnsa”). A na Facebooku możesz użyć B4rT#i5#MY#Fr13nD („Bart is my friend”, z cyframi zamiast liter i każdym słowem zaczynającym się i kończącym wielką literą). Nie są one tak łatwe do odgadnięcia przez ataki brute force ze względu na długość, zakres znaków (duże i małe litery, liczby i symbole), a ponieważ wiedząc, że lubisz The Simpsons nie oznacza, że jest to łatwe do wyprowadzenia, co myślisz o postaciach Simpsonów.
Kiedy używasz długich wyrażeń lub zwrotów jako hasła, spróbuj użyć prostej techniki, aby zastąpić jedną literę inną literą: na przykład zastąpienie każdej litery ” a „symbolem ” procent”. Pomaga to zapobiegać atakom słownikowym, jednocześnie zachowując łatwe do zapamiętania zdanie.
inną możliwością dla użytkowników jest przyjęcie menedżerów haseł, które pozwalają użytkownikom również korzystać ze złożonych haseł.
Włącz uwierzytelnianie dwuskładnikowe dla usługi Apple iCloud
przede wszystkim Zaloguj się na swoje konto Apple za pomocą Apple ID.
- wybierz „Zarządzaj swoim Apple ID i zaloguj się”
- Wybierz „hasło i bezpieczeństwo”
- w sekcji „Weryfikacja dwuetapowa” wybierz „Rozpocznij” i postępuj zgodnie z instrukcjami.
wnioski
należy pamiętać, ponieważ nie tylko gwiazdy są narażone na takie ryzyko. Niezależnie od tego, czy jesteś menedżerem, czy zwykłą osobą, Twoje dane są cennym towarem w ekosystemie cyberprzestępczości. Z tego powodu ważne jest, aby znać główne zagrożenia cybernetyczne i główne praktyki łagodzenia. To może być dopiero początek. W tej chwili jest dużo zamieszania na temat imprezy, ale Taylor Swift z InfoSec ostrzegł, że inne gwiazdy mogą mieć wpływ:
” _to jest dopiero początek. Pokazano foldery zdjęć z widocznymi miniaturami, wiele celebrytów nie zostało jeszcze dotkniętych, kto to zrobi.”
Apple powiedział Recode w poniedziałek badał incydent, aby dowiedzieć się, czy te konta iCloud zostały naprawdę zhakowane i jak.
„bardzo poważnie traktujemy prywatność użytkowników i aktywnie badamy ten raport” – powiedziała rzeczniczka Apple Natalie Kerris.
czekamy na więcej informacji.
http://www.businessinsider.com/4chan-nude-photo-leak-2014-8
http://www.businessinsider.com/icloud-naked-celebrity-photo-leak-2014-9
http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/
http://www.independent.co.uk/life-style/gadgets-and-tech/is-apples-icloud-safe-after-leak-of-jennifer-lawrence-and-other-celebrities-nude-photos-9703142.html
http://www.businessinsider.com/man-accused-of-leaking-naked-celebrity-icloud-photos-denies-everything-2014-9
http://www.zdnet.com/after-alleged-icloud-breach-heres-how-to-secure-your-personal-cloud-7000033177/
http://www.businessinsider.com/apple-fixes-security-flaw-in-find-my-iphone-software-2014-9
Extortion scheme based on ransom request hit Australian Apple Users
http://www.theguardian.com/technology/2014/sep/01/naked-celebrity-hack-icloud-backup-jennifer-lawrence
http://pastebin.com/rHSTg6i8