Olvas-e az Apple IT security blogokat?

2014. szeptember 18. 09:56 - Csizmazia Darab István [Rambo]

A rövid válasz szerint: nem tudjuk. A hosszú válasz szerint pedig talán igen, valószínűleg olvasnak ilyeneket, de jól titkolják ;-) Mindez annak kapcsán került most terítékre, hogy augusztus végén számtalan híresség - például Jennifer Lawrence, Kate Upton, Kirsten Dunst, Avril Lavigne - meztelen képe jelent meg váratlanul a Reddit és a 4chan oldalain.

Mint arról sok helyen olvashattunk, nagyjából száz ismert ember privát fényképei, videói kerültek ki a nyilvánosság elé. A történteket az is érdekesebbé tette, hogy sok híresség azt állította, ezeket a képeket állítólag már rég törölte a telefonjáról és az iCloudból is. Az Apple első reakciója is beszédes, vizsgálatot indítottak az ügyben, és úgy nyilatkoztak, hogy "nem az iCloud rendszer hibája vezetett a fotók jogtalan megszerzéséhez", pedig azért ehhez a biztonsági szakértőknek is volt egy-két szava. A NakedSecurity oldalán pedig elindult egy szavazás az iCloud kétfaktoros azonosításáról.

A támadásnál valószínűsíthetően a Find My iPhone szolgáltatásban rejlő gyenge-pontot használták ki, és ennek segítségével tudtak hozzáférni a fiókokhoz. Az úgynevezett brute-force támadás lényege ugyanis az, hogy folyamatos ismétléssel addig próbálgatják a valószínű jelszavakat, amíg egyszer csak nem járnak sikerrel. Az ilyen támadások ellen csak az nyújt védelmet, ha korlátos a lehetséges próbálkozások száma - meg persze ha nem "abc123" a jelszó, de erről majd később.

Míg ez a limit például az iCloud rendszerben már korábban is be volt állítva, sajnos a támadás idején a Find My iPhone funkcióra viszont nem. Persze utóbb aztán az Apple aktiválta a brute-force védelmet a Find My iPhone szolgáltatásra is, csak hát ugye későn. Végül aztán - vége jó, minden jó - kétlépcsős azonosítást kaptak az iCloud backupok is, valamint e-mail értesítést is bevezettek, melyben a felhasználóknak azonnal jelzik, ha valaki megpróbálja megváltoztatni az Apple ID jelszavukat, vissza akarja állítani az iCloud adataikat vagy amikor éppen először jelentkeznek be egy új eszközön a felhasználói fiókjukba.

Az érdekesség kedvéért érdemes vissza idézni Vladimir Katalov 2013. május 30-i blogposztját az iCloud biztonságával kapcsolatban. Láthatóan ez sem szerepelt a kedvenc olvasmányok között, ugyanis itt éppen az Elcomsoft Phone Password Breaker segítségével férnek hozzá a felhasználók személyes adataihoz, mint például a korábbi mentés, vagy hogy a bekapcsolt kétfaktoros autentikáció ellenére a biztonságos ellenőrző kód a lezárt készülék képernyőn is olvasható formában érkezik.

Jól láthatóan a biztonság egy olyan bonyolult struktúra, ahol nem elég egyszer beledobálni a buzzwordoket, majd hátradőlni a karosszékben, hanem folyamatosan oda kell figyelni arra, hogy a védelem minden lehetséges szintre terjedjen ki. Kiegészítve mindezt azzal, hogy az újonnan felfedezett támadási formák miatt állandóan javítani, fejleszteni is szükséges, hiszen a támadók felkészültek, és láthatóan roppant leleményesek.

Itt egyébként még egy dologgal érdemes előhozakodni. Minden nagyobb adatlopási incidens esetén a média, és a bulvárlapok hajlamosak azonnal a számítógépes rendszereket, és a technológiát szidni, hibáztatni. Ebben persze részben - ahogy a fentiek is mutatják - van is némi igazság, ám ez mindenképpen csak az érem egyik oldala. Ugyanis legtöbbször emberi hiba, felhasználói mulasztás is okozza az ilyen incidensek jelentős részét.

Sok esetben - például Google, Facebook - rendelkezésre áll ugyan a 2FA lehetőség, sokan mégsem élnek vele. De emellett ha valaki gyenge és primitív jelszót használ, ráadásul ugyanazt több helyen is, vagy pillanatok alatt kitalálható biztonsági kérdéseket alkalmaz, akkor ő is vastagon felelős a kialakult helyzetért. Vagyis minden hibázó félnek, mulasztó szereplőnek le kell vonnia a tanulságot az ilyen esetekből.

Zárásképpen említsük meg, hogy volt már korábban is olyan NakedSecurity szavazás, ahol a mi legyen az alapértelmezett megosztás a Facebookon kérdésre egyértelmű túlsúllyal jelezték a válaszadók, hogy az lenne a jó, hogy defaultból legyen minden privát, és majd a felhasználó megosztja, amit éppen akar. Ennek ellenére ismert, hogy ennek pont az ellenkezője igaz, és csak győzze az ember visszavenni a publikus információkat szolgáló pipákat. Vagyis viccesen mondva a Facebooknál viszont szemlátomást azóta sem olvasnak IT security blogokat ;-)


3 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

antyg (törölt) 2014.09.18. 11:22:53

Ez egy nagyon jó, és érdekes Cikk! Mindenkinek javasolnám az elolvasását! :):):)
TETSZIK!!! :)

dr. trafik nomac 2014.09.19. 10:57:37

Jo cikk, de ez egy irto amator hiba, ehhez nem kell IT security szakertonek lenni, sajna az apple (is) kb. ennyire alapos minden masban.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2017.01.25. 11:17:57

Néha kivételesen van egyes történeteknek vége is, meg leleplezett elkövetője. Ez a fappening utóélete, letöltendő szabivesztés:
edition.cnn.com/2017/01/25/entertainment/celebrity-photo-hacking-scandal-man-sentenced/index.html
süti beállítások módosítása