the case
the gossip news of this week is the alleged hack of Apple iCloud of many celebrities. Centenas de fotos nuas supostamente pertencentes a mais de cem atores e cantores foram divulgadas online.
No domingo, as imagens de 101 celebridades, incluindo Ariana Grande, Jennifer Lawrence, Victoria Justice, Kate Upton, Kim Kardashian, Rihanna, Kirsten Dunst e Selena Gomez foram publicadas na partilha de imagens online fórum 4chan, e rumores relatam que as imagens foram obtidas a partir das celebridades contas no serviço iCloud da Apple.
usuários anônimos no 4chan alegaram tê-los tirado do serviço, e apesar de A Apple não ter comentado sobre o evento, a análise dos metadados do EXIF imagem incorporada confirma que a maioria foi tomada usando dispositivos Apple. No entanto, a atriz Mary Elizabeth Winstead afirmou que suas fotos vazaram foram tiradas “anos atrás.”
Uma análise detalhada dos metadados da imagem vazada está disponível no Pastebin, no seguinte endereço:
http://pastebin.com/rHSTg6i8
O usuário anônimo que primeiro postou as celebridades, fotos alegou ter outras imagens explícitas e vídeos de Lawrence e pediu doações via PayPal e Bitcoin para publicá-las.
O incidente levantou questões sobre o nível de segurança oferecido por serviços online como armazenamento em nuvem. O serviço iCloud permite aos usuários da Apple armazenar automaticamente seus dados online, incluindo fotos, documentos e E-mails. Os usuários podem acessar seus documentos a partir de qualquer lugar, uma vez autenticado ao serviço. É provável que os atacantes inicialmente comprometessem a conta simples de uma ou mais Celebridades, depois “acorrentando” entre as contas, obtenham acesso ao livro de endereços da vítima para recolher dados para novos ataques.
O usuário 4chan que postou a maioria das fotos estava solicitando doações da Bitcoin, a fim de publicar mais Fotos vazadas e vídeos.
a análise dos registos de transacções relacionados com a conta Bitcoin (18pgun3bbdnqjkg8zgedfvcovcsv1knwa) utilizada como colector para as doações revela que recebeu oito doações para um total de 0,26 BTC.
Figure – Bitcoin conta usada pelo hacker que vazou as imagens
é improvável que os hackers tenham comprometido todo o serviço Apple iCloud e a sua infra-estrutura. O alegado agressor provavelmente usou algum hack para atacar contas específicas.
já discutimos no passado que existem muitas maneiras de violar uma conta de usuário. Um atacante poderia adivinhar as credenciais do Usuário, roubá-los com um malware, ou simplesmente reiniciar a conta da vítima, encontrando o endereço de E-mail associado e, em seguida, responder às “perguntas de segurança”. Um atacante poderia coletar informações necessárias sobre as vítimas através de várias formas de ataques de engenharia social. Os dados coletados podem ajudá-lo a executar um procedimento de emergência (por exemplo, reset de senha, reset de backup) simplesmente respondendo uma série de perguntas.
o site a próxima Web, após a publicação das fotos, revelou a existência de um código para o hacking de iCloud que foi postado no site de código aberto GitHub.
a aplicação explora uma vulnerabilidade, já fixada pela Apple, no Serviço ‘encontrar o meu iPhone’ para adivinhar senhas com tentativas ilimitadas sem ser bloqueada.
a funcionalidade Find My iPhone permite que os usuários localizem e protejam seus dispositivos Apple (iPhone, iPad, iPod touch, ou Mac) se eles forem perdidos ou roubados. O atacante pode forçar a conta da vítima, uma operação que pode ser melhorada escolhendo as senhas de um dicionário de palavras e frases. A escolha destas bases de dados de senhas poderia ser impulsionada pelo conhecimento das vítimas, dos seus hábitos e das suas preferências.uma das vítimas da fuga de dados, Jennifer Lawrence, confirmou a autenticidade das suas fotografias. Seu porta-voz definiu o incidente como uma” violação flagrante da privacidade ” e ameaçou processar qualquer um que compartilhasse as imagens online.”as autoridades foram contatadas e processarão qualquer um que postar as fotos roubadas de Jennifer Lawrence”, disse o porta-voz.os peritos em segurança estão a especular que as fotos podem ter sido roubadas das contas das vítimas. Alguém sugeriu que “com acesso a dados em algum lugar fez um stash privado” e foi posteriormente hackeado pelo indivíduo que vazou as fotos on-line.
eu excluo a hipótese acima porque backups iCloud, incluindo fotos, são criptografados, e mesmo acessando a conta não é possível descriptografar a informação armazenada na nuvem da Apple.
“alguns também apontaram para a presença de um arquivo tutorial Dropbox em uma conta hackeada como sugerindo que o serviço de armazenamento em nuvem de terceiros era uma fonte de algumas imagens”, afirma O Guardião em um post sobre o incidente.
outra aplicação móvel popular foi mencionada em vários artigos publicados sobre a fuga de dados é Snapchat. Várias imagens tinham texto sobreposto, o que indica que pelo menos algumas das fotos foram compartilhadas com o Snapchat. Embora o Snapchat tenha sido afetado por grandes problemas de segurança nos últimos meses, é improvável que sua violação seja a causa da quebra de dados.
no momento desta escrita, a Apple corrigiu a vulnerabilidade de segurança no serviço Apple iCloud que poderia ter sido explorado por atacantes para violar as contas de celebridades e roubar suas fotos. O adesivo de segurança chega algumas horas depois dos hackers terem publicado centenas de fotos de celebridades nuas no 4chan.
o login ” Find My iPhone “da Apple é vulnerável a ataques de Força bruta
os hackers que vazaram as fotos de celebridades privadas online podem ter explorado uma falha no recurso “Find my iPhone” da Apple, que permite que um atacante force a conta do Usuário.
algumas horas após o vazamento de dados, no repositório online GitHub foi publicado um script Python que poderia ser usado para “Força bruta” uma senha da conta Apple iCloud, explorando a vulnerabilidade no serviço Find My iPhone. O atacante poderia usar o script para adivinhar repetidamente senhas em uma tentativa de descobrir a correta.
O script estava disponível para qualquer um, pelo menos por alguns dias, antes da Apple corrigir a vulnerabilidade, bloqueando as contas após cinco tentativas falhadas.
não está claro quanto tempo esta vulnerabilidade estava presente na funcionalidade do Find meu iPhone. A única certeza é que a falha foi explorável por atacantes que estavam cientes do endereço de E-mail das vítimas.
O proprietário da ferramenta, Hackapp, relatou que a correção foi aplicada 3: 20am PT. De qualquer forma, ele observou que não há nenhuma evidência de que ibrute estava envolvido neste incidente.
“eu ainda não vi nenhuma evidência, mas eu admito que alguém poderia usar esta ferramenta”, disse ele.
Figura – HackApp Tweet
Figura – GitHub PythonScript arquivo Leia-me
O script pode adivinhar senhas repetidas vezes, sem qualquer travamento ou alerta para o alvo. Assim que a senha for descoberta, pode ser usada para aceder à conta da vítima.
Figura – Executar o script de Python
Hackapp confirmou que esse tipo de falha é muito comum para autenticação de interfaces de serviço:
“Este erro é comum para todos os serviços que temos muitos autenticação de interfaces” e que com “conhecimentos básicos de intercepção e de reversão de técnicas” é “trivial” para descobri-los”, disse o especialista.
Hackapp também postou os slides que incluíam detalhes sobre o esquema de ataque e uma análise de questões de segurança relacionadas com o chaveiro iCloud.
Figura – Slides publicados por Hackapp
Um interessante ponto de vista é o de Christopher Soghoian, diretor de tecnologia da União Americana de Liberdades Civis, sobre a falha no sistema da Apple e de sua suposta exploração:
“Se as celebridades’ conta iCloud senhas eram ataque de força bruta, o problema parece ser a falta de limitação da taxa pela Apple, e não a falta de criptografia”, comentou Soghoian via Twitter.
um “filme” já visto
Em maio de 2014, criminosos cibernéticos visavam um grande número de usuários australianos da Apple iCloud com um sofisticado esquema de extorsão.
os usuários da Apple foram alvo pelo ataque do tipo ransomware que trancou iPhone, Mac e iPads através de iCloud e uma mensagem originando no serviço de busca do iPhone Da Apple que afirmou “dispositivo hackeado por Oleg Pliss”.
Figura – iCloud hack por Oleg Pliss
a Implementação de um consolidado esquema de extorsão, os criminosos pedido para desbloquear o dispositivo através do envio de até us $100 resgate para uma determinada conta de Paypal.
” eu fui verificar o meu telefone e havia uma mensagem no ecrã (ainda está lá) dizendo que o(S) Meu (s)Dispositivo(s) tinha sido hackeado por ‘Oleg Pliss’ e ele/ela/ela exigiu $100 USD/EUR (enviado pelo paypal para lock404 (at) hotmail.com) para devolvê-los para mim,” escreveu uma vítima do novo ransomware no fórum de suporte à Apple.
na realidade, os usuários da Apple não estão enfrentando uma infecção clássica de seus dispositivos por ransomware; os atacantes supostamente sequestraram o recurso da Apple para o iPhone. Desta forma, os criminosos bloqueiam remotamente os dispositivos iOS e Mac e enviam mensagens exigindo dinheiro de resgate.
os criminosos cibernéticos estavam usando contas comprometidas do iCloud que provavelmente não estavam usando um processo de verificação em duas etapas. Para estas contas, os hackers são capazes de obter acesso ao dispositivo simplesmente usando credenciais roubadas.
neste cenário de ataque, a única possibilidade de recuperar o dispositivo para proprietários de dispositivos da Apple é para repô-lo em “modo de recuperação”, mas este processo irá apagar todos os dados armazenados no dispositivo e aplicativos instalados.quem é o culpado?
a caça ao culpado está aberta. O desenvolvedor Bryan Hamade é um dos principais indivíduos suspeitos de vazamento de dados. Os usuários Reddit e 4chan especularam sobre a possibilidade de Hamade ser o culpado porque uma imagem postada online parecia mostrar uma série de nomes conectados com uma empresa de desenvolvimento web na Geórgia.
Figura – Bryan Hamade suspeito como culpado do hack
O homem se recusou a acusação e explicou para a imprensa de que ele apenas relatou as imagens.
” Eu só repositei uma coisa que foi postada em outro lugar e estupidamente tinha minhas pastas de rede visíveis.”
” I am not the original leaker. O cara real está no 4chan postando intermitentemente, “” ele é o mais provável por trás disso, mas parece que as fotos passaram para várias pessoas antes de ser vazado, então pode ser apenas alguém que os tem e não hackeou para obtê-los. Nunca, num milhão de anos, saberia hackear as contas listadas. 4chan acabou de me atacar porque eles gostam de atacar qualquer um em situações como esta”, disse ele.Hamade revelou que ele recebia ameaças contínuas de pessoas que investigavam a alegada invasão do iCloud.:tem sido um pesadelo e não durmo há 34 horas. Os utilizadores do 4chan estão a assediar-me com telefonemas e E-mails sem parar. Mandam-me e-mails constantemente, a dizer que vão hackear os meus sites pessoais e continuar a ligar para o meu telemóvel, a chamar-me maricas e a desligar. Também disseram que iam invadir o site da minha mãe, por isso tirei-o, Arrependo-me tanto, que nem sequer tirei bitcoin dele. É a coisa mais estúpida que fiz e espero que não arruíne a minha vida, embora provavelmente arruíne, já que é só a maior notícia.”
como proteger a sua nuvem pessoal
os Serviços de armazenamento na nuvem são muito populares. Usuários e empresas armazenam uma quantidade impressionante de dados na nuvem, e é importante entender como melhorar sua proteção. Em primeiro lugar, deixe-me sugerir para ativar dois fatores de autenticação para os serviços que o implementam, e escolher uma senha forte, especialmente quando é a única proteção que preserva os nossos dados.
como escolher uma senha forte?
para compor senhas difíceis de adivinhar, deixe-me recomendar:
- Utilização de senhas longas (comprimento mínimo de sete caracteres, de preferência mais para aumentar a força)
- Usar uma ampla gama de personagens, incluindo A-Z, A-z, 0-9, pontuação e símbolos como # $ @, se possível
- Como regra tente usar pelo menos uma inferior e uma superior-o caso de caracteres e pelo menos um dígito. Se for tecnicamente possível, Utilize também uma marca de pontuação. Isso ajuda a aumentar o espaço total de busca.
- Usar números no lugar das letras em alguns casos. Alterar o “eu” por “1”, “E” por “3”, “Uma” por “4” (ou @), “S” por “5”, “G” por “6”, “O” por “0”. Mais uma vez, isso ajuda a aumentar o espaço de busca.
evite senhas triviais porque elas são sempre incluídas num dicionário de senhas. As senhas não devem incluir o seu nome ou identificação de utilizador/utilizador. É importante criar senhas complexas, mas fáceis de lembrar. Por exemplo, suponha que você é um grande fã dos Simpsons. Uma boa senha para o seu e-mail pode ser algo como: Ih4teM0ntg0m3ry#Burn5 (se você não conseguir, significa “eu odeio Montgomery Burns”). E para o Facebook talvez você possa usar B4rT#I5#MY#Fr13nD (“Bart is my friend”, com números em lugar de letras e cada palavra começando e terminando em maiúsculas). Estes não são tão fáceis de adivinhar por ataques de força bruta, por causa do tamanho, intervalo de caracteres (letras maiúsculas e minúsculas, números e símbolos), e porque sabendo que você gosta de Os Simpsons não significa que é fácil derivar o que você pensa sobre Os personagens dos Simpsons.
Quando você usa expressões longas ou frases como uma senha, tente usar alguma técnica simples para substituir uma letra por uma letra diferente: por exemplo, a substituição de cada letra ” a “pelo símbolo”%”. Isto ajuda a prevenir ataques de dicionário, mantendo-se fácil de lembrar a sua frase passe.
outra possibilidade para os usuários é adotar Gerenciadores de senha que permitem que os usuários também usem senhas complexas.
active a autenticação de dois factores para o serviço da Apple iCloud
em primeiro lugar, ligue-se à sua conta da Apple com o seu ID da Apple.
- seleccione “Gerir o seu ID da Apple e assinar em”
- seleccione ” senha e segurança “
- em” Verificação em duas fases “seleccione” Iniciar ” e siga as instruções.
conclusões
esteja ciente, porque não só celebridades estão expostas a tais riscos. Não importa se você é um gerente ou um indivíduo comum, seus dados são uma mercadoria preciosa no ecossistema da cibercriminalidade. Por esta razão, é importante conhecer as principais ameaças cibernéticas e as principais práticas de mitigação. Isto pode ser apenas o começo. Neste momento há muita confusão sobre o evento, mas Taylor Swift do InfoSec advertiu que outras celebridades podem ter sido impactadas:
” _ This is just the beginning._ Pastas de imagens com miniaturas visíveis foram mostradas, muitas celebridades ainda por impactar quem irá.”
Apple disse a Recode na segunda-feira que estava investigando o incidente para descobrir se essas contas iCloud tinham realmente sido hackeadas e como.”levamos a privacidade do usuário muito a sério e estamos investigando ativamente este relatório”, disse a porta-voz da Apple Natalie Kerris.
fique sintonizado para mais informações.
http://www.businessinsider.com/4chan-nude-photo-leak-2014-8
http://www.businessinsider.com/icloud-naked-celebrity-photo-leak-2014-9
http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/
http://www.independent.co.uk/life-style/gadgets-and-tech/is-apples-icloud-safe-after-leak-of-jennifer-lawrence-and-other-celebrities-nude-photos-9703142.html
http://www.businessinsider.com/man-accused-of-leaking-naked-celebrity-icloud-photos-denies-everything-2014-9
http://www.zdnet.com/after-alleged-icloud-breach-heres-how-to-secure-your-personal-cloud-7000033177/
http://www.businessinsider.com/apple-fixes-security-flaw-in-find-my-iphone-software-2014-9
Extortion scheme based on ransom request hit Australian Apple Users
http://www.theguardian.com/technology/2014/sep/01/naked-celebrity-hack-icloud-backup-jennifer-lawrence
http://pastebin.com/rHSTg6i8