Já por cá temos abordado repetidamente o potencial cenário de pesadelo, de um dia vermos as nossas contas nos variados serviços online de que "dependemos", serem apoderadas por um qualquer hacker ou outro indivíduo que - em poucos momentos - destrua toda a nossa identidade online e/ou os nossos dados.
E infelizmente, hoje trago-vos um caso bem real, que demonstra que este cenário apocalípticopode mesmo acontecer.
Na sexta feira, a conta de Twitter do popular site Gizmodo foi "hackada", mas rapidamente se descobriu que tal foi conseguido através da conta de Mat Honan, um ex-colaborador cuja conta de Twitter ainda estava associada à do Gizmodo. E é precisamente sobre Mat que este aterrador cenário de apocalipse digital se abateu.
A sua descrição dos acontecimentos é aterradora, e se não servir para que se leve a segurança digital bem a sério, não sei o que o que o poderá fazer:
Um atacante conseguiu acesso à conta do iCloud de Mat, fez reset à password, e de seguida apoderou-se da sua password da conta do Google, que tinha usava o email da iCloud como email de recuperação.
Logo de seguida, o atacante efectuou a limpeza remota de segurança do iPhone de Mat;
seguido da limpeza remota do iPad;
seguido da limpeza remota do MacBook Air.
Funcionalidades que todos gostarão de ter no caso de terem os seus equipamentos roubados, mas cujo poder destrutivo aqui foi usado contra o próprio dono.
Pouco depois, seguiu-se a sua conta do Twitter, e consequentemente a do site Gizmodo.
Com os seus equipamentos limpos e bloqueados, o processo de combate a este ataque não foi fácil (e na verdadade, mesmo com contactos privilegiados em várias das empresas, ainda não conseguiu recuperar todas as suas contas e/ou dados).
Agora, veio-se a descobrir que a faísca inicial que desencadeou todo este pesadelo não foi um ataque brute-force que permitiu descobrir a password e aceder à conta do iCloud, mas sim através de um telefonema para o suporte técnico da Apple, e que através de "manipulação social" permitiram que o atacante ganhasse acesso à conta sem ter respondido às habituais perguntas de segurança - um caso que certamente ainda irá fazer correr muitos bytes nos próximos tempos!
É o caso perfeito para ilustrar que mesmo com todos os sistemas de segurança que se criem... ninguém está livre de passar por situações idênticas. E à medida que a presença online de todos nós se vai tornando cada vez mais importante, temo que estas situações passarão a ser cada vez mais frequentes.
E por último, fica de novo a eterna questão dos backups... por muito confortável que seja confiar na "cloud" para manter os nossos dados seguros, ou se pensam que manter uma cópia local nos vossos dispositivos é suficiente, aqui se vê como em poucos segundos tudo isso pode desaparecer.
Nos dados realmente valiosos e irrecuperáveis, não abdiquem de ter um backup em suportes "offline" que não possam mesmo ser afectados por este tipo de ataques.
Seria interessante que a Apple disponibilizasse a transcrição da conversa do hacker com o serviço de suporte ao cliente, para sabermos como é que isto foi possível... e para servir também de lição para que não se voltasse a repetir.
[Actualização: mais desenvolvimentos sobre a forma como o hacker conseguiu a password telefonando para o suporte da Apple; e as suas consequências, com a Apple e Amazon a suspenderem estes protocolos. E dias mais tarde, Mat conseguiu finalmente recuperar os preciosos dados que poderiam estar perdidos para sempre.]
Bem, penso que se tivesse sido com outra gigante tecnológica seria bem mais grave pois estaríamos a falar de uma falha de segurança muito grave ou inaceitável...
ResponderEliminarComo se trata da marca que inventou o mundo, a maioria dos artigos que tenho lido parece indiciar que dar acesso à nossa conta através do suporte técnico e sem fornecer dados de segurança... Aparentemente é apenas algo que pode acontecer a qualquer um.
Assim sendo, não deve haver grande motivo para preocupação - principalmente para quem não esteja dependente do dito suporte técnico.
Portanto,
ResponderEliminara culpa é toda da apple. Se tivesse sido na microsoft era o fim do mundo.
A ser culpa da Apple (ou qualquer outra marca gigante) é um erro inaceitável, e a ver com o colaborador (e supervisor) como tal é possível. Em todo o caso parece-me tão absurdo ter sido possível...contornar a segurança. Ora bem, os responsáveis pela formação dos colaboradores, não sabem dizer "nem que chovam calhaus há que seguir 100% das perguntas" nem criam um sistema informático que só dá a pass quando as perguntas forem todas completadas? Inacreditavel...
ResponderEliminarPor isso é que digo que seria interessante revelarem a transcrição do que se passou. A norma será mesmo essa, de seguir à letra o "protocolo" - e bem sabemos o quanto isso é "eficaz" (por exemplo, quando os assistentes da Zon tanto nos perguntam as "luzinhas" do modem, para desligar e ligar o equipamento, etc. etc. - mesmo quando o problema não tem nada a ver com isso. ;P)
EliminarMas daí a conseguir fazer um reset da password, sem que tenham sido dadas as garantias de identidade exigidas... é muito estranho.
Uma outra possibilidade que poderá ser mais lógica é que alguma das perguntas de segurança fosse algo que estivesse publicamente disponível.
Por exemplo, se alguém mete como pergunta de segurança o nome da sua primeira professora, e depois tem um post no Facebook a dizer "ah, a minha primeira professora, a Maria, deu-me muitas reguadas!"... ou o nome do primeiro animal de estimação, que está igualmente disponível no seu album de fotos publicas, com um comentário visível para todos... a coisa explicar-se-ia facilmente.
Ou então, as perguntas ainda mais ridículas das "cores preferidas"... sendo que é bem provável que um atacante acerte em 3, ou 5 ou 10 tentativas (mesmo que tivesse que telefonar repetidas vezes, para diferentes assistentes).
Por algum motivo tenho amigos que têm por hábito preencher essas respostas com "lixo", tipo "lkajsd6==IJSHDKFJHS54,,MN&%#/&%"", para que seja de todo impossível alguém poder usar essa técnica para recuperar a conta.
Descartando-se a hipótese de uma pergunta de segurança deduzível, levantada pelo Carlos e supondo que o colaborador tenha "vacilado" na aplicação do protocolo. Ainda assim a culpa seria do colaborador a responsabilidade é que seria da Apple.
ResponderEliminarDo que li, estamos a falar de alguém minimamente instruído a nível tecnológico... Não é nenhum atestado de inteligência mas o "rapaz" colaborou na Gizmodo, não estamos a falar de nenhum merceeiro (com todo o respeito) para ser credível que tivesse as questões de segurança tão descuradas.
ResponderEliminarPessoalmente, no que toca a questões de segurança, opto por usar um "algoritmo" e é o que aconselho os meus amigos a fazerem.
Por exemplo no "lixo" que o Carlos Martins escreveu, a resposta poderia ser "a6i54" - representando vogais e números, por ordem, na questão.
"Veio-se a descobrir" ... bem, o lesado é que diz que descobriu, segundo ele afirma, "falando com o hacker e com a Apple".
ResponderEliminarÉ provável que se venha a conhecer mais pormenores. Penso que a Apple também terá interesse em que se esclareça.
Como já dizia o Kevin Mitnick "it is much easier to trick someone into giving a password for a system than to spend the effort to crack into the system".
ResponderEliminarHá algum tempo li o livro "The Art of Deception" sobre o social engineering e é alarmante como se consegue dar a volta às pessoas e ter acesso a dados confidenciais.
Completamente de acordo. Eu bato muito nessa tecla, da Engenharia Social. As pessoas acham que eu lunático..
EliminarPor outro lado, conheco montes de empresas, com sistemas ligados à net, com passwords tipo 123456 ou com variações disto muito básicas.
O "povo" só aprende quando lhes tocar a eles. O meu medo é que a alguns isso só vai acontecer tarde demais, quando já estiverem 100% dependentes do on-line, com tudo na cloud. Ai é que vão ser elas.
Força bruta para descobrir a password de uma conta de email certamente não foi. Ao fim de um número, limitado, de tentativas é cancelada a possibilidade de tentar novas passwords. Crackar o sistema pelos vistos também não foi. Terá sido assim ?
ResponderEliminarUm(a) velhinho(a) telefonou para os serviços da Apple e, em voz trémula disse: "Minha menina, tenho mais de 80 anos, tive um AVC e esqueci-me da password da minha conta do iCloud onde tenho as fotografias dos meus netinhos, o que é que eu tenho que fazer ?". Resposta:"Vá à página do iCloud, faça reset da password e vai receber no email alternativo que deu ou no seu smartphone uma mensagem com as instruções". Velhinho(a): "Mas eu não tenho mais nenhuma conta nem tenho telemóvel." Resposta: "Então eu faço reset da password da sua conta e você vai lá entrar com esta que lhe vou dar".
É esta parte que - até confirmação - me custa a acreditar. Por muita lábia (engenharia social) que tenha sido empregue não consigo perceber como é que os sistemas de segurança permitiriam uma coisa dessas.
Passei por cima das autenticações (nome, morada, data de nascimento, etc) que o hacker tenha tido conhecimento e tenha usado para se fazer passar pelo titular da conta. Porque no caso, não é o mais importante. O importante é o procedimento/segurança que está instituído nestas situações em que alguém diz que não consegue aceder a uma sua conta.
"Ah, mas tem que haver um mecanismo que salvaguarde que quem se esquece da password de acesso à conta possa aceder a ela ! Basta telefonar para os serviços técnicos da Apple, responder a umas perguntas de autenticação - e está feito".
Pois, mas eu já vi muitas "notícias" extraordinárias na blogosfera. Esta é das mais extraordinárias. Pago para ver.
Hum... assumo que estas a questionar a veracidade da coisa.. Tens esse direito, sendo que estás a por, também, em causa o "aberto até de madrugada".
EliminarSe calhar abrindo o google, e com uma pesquisa simples, e dado que estão "major" sites envolvidos a coisa, consegues atestar a veracidade, ou não. E não punhas em causa toda a gente.
Por exemplo, podias, sei lá, ir parar ao Site da Forbes (http://www.forbes.com/sites/adriankingsleyhughes/2012/08/04/the-dangerous-side-of-apples-icloud/ ) [será que é credivel??] (essa é a primeira parte; a parte de terem descoberto que a entrada foi via suporte da Apple está noutro post do Matt) ) ou outro do género.
E pronto, evitava-se duvidar apenas por duvidar...
Não é assim que se lida com a blogosfera ... não se vai aos repetidores, Forbes ou outro - vai-se à fonte. Quem conta um conto acrescenta um ponto - às vezes tem interesse o que diz, mas quanto a factos falam de ouvir dizer.
EliminarEu tinha lido a fonte - Mat Honan, o lesado - até à actualização 3. Onde diz que falou com o hacker. A minha reacção foi "F*da-se, o gajo apagou-lhe até o que tinha no Mac e ainda acredita nele !"
Com isto, voltei lá para pôr aqui o link e já tem uma 4ª actualização: "I have an email in to Tim Cook and Apple PR, and want to give them a chance to respond (...)So far, I haven’t received any acknowledgement from Apple corporate".
Quanto ao Abertoatédemadrugada, tenho muita consideração e respeito pelo trabalho. Eu cá penso pela minha cabeça e escrevo sem ofender ninguém. Mas basta dizerem-me "É, pá, o que tu dizes não tem piléria nenhuma, que eu não digo mais nada".
http://www.emptyage.com/post/28679875595/yes-i-was-hacked-hard
Não há necessidade de se chatearem... no artigo tenho o link para o post original, e onde se podia ler:
Eliminar"Confirmed with both the hacker and Apple. It wasn’t password related. They got in via Apple tech support and some clever social engineering that let them bypass security questions."
Portanto, ou ele está a mentir, ou a Apple já terá confirmado que realmente foi por essa via que o hacker conseguiu entrar.
Vamos esperar mais esclarecimentos - que sem dúvida terão que ser dados.
Já agora. Este, da PCWorld, também se esqueceu da password e está muito admirado com esta história. Fartou-se de contactar os serviços técnicos da Apple, por telefone e email mas acesso à conta ... não lha deram.
ResponderEliminarhttp://www.pcworld.com/businesscenter/article/260414/how_did_apple_allow_hackers_to_access_icloud_account.html
Como disse, isso é algo que vai fazer correr muita tinta, e que - espero eu - a Apple vai ter que esclarecer.
EliminarO mais caricato é se se vier a confirmar que o hacker na realidade não "contornou" nada, mas simplesmente respondeu às perguntas de segurança, com dados que poderiam ser encontrados na net ou através de alguma investigação "mais profunda" (não faltam serviços de "background check" que por meia dúzia de euros oferecem N informação sobre qualquer pessoa.
A mim, o que me chateia, é que se fosse uma pessoa "normal" nunca mais recuperava a conta. Mas como tem "amigos" nos serviços basta um telefonema para ter as coisas resolvidas.
ResponderEliminarAproveito também para relembrar que este(s) episódio(s) seriam inevitáveis - e serão infelizmente cada vez mais frequentes.
ResponderEliminarLogo desde a primeira vez que ouvi falar do remote wipe que me saltou logo à cabeça: isto é muito bonito mas... e quando se tratar de alguém que consegue aceder à conta de outra pessoa?...
Claro que - pessoalmente - acho que estas seguranças fazem todo o sentido, mas... penso que mais serviços deveriam implementar uma segurança 2-step que não dependesse apenas de 1 password. Por exemplo, a tentativa de fazer um remote wipe numa conta iCloud deveria obrigatoriamente exigir uma forma de validação extra.
Claro que ainda está por apurar realmente este caso, que se tiver mesmo conseguido ultrapassar a password... então deita por terra toda a segurança que uma password hiper-complexa poderia fazer crer ter.
Mas... é assustador pensar que a uma única password de distância se pode ter tal poder destructivo.
... Bastaria uma coisa tão simples como uma confirmação enviada para o telemóvel do cliente, a dizer: estão a tentar recuperar a sua conta - aqui está o codigo de reset enviado por ter respondido correctamente às perguntas de recuperação.
Agora... dar directamente por telefone uma password... parece-me mesmo muito grave.
Hoje liguei à minha irmã e pedi o número da minha sobrinha. Ela deu-me! Sou um engenheiro familiar! Ou um "hacker" familiar, não sei bem. Em mais de 30 anos ligado à informática, ainda há conversas que me surpreendem, principalmente a desculpar o indesculpável. Não me refiro ao energúmeno que deu um acesso indevido, mas ao facto de alguém que, supostamente, é uma espécie de guru, ter TODA a vida digital entregue a um serviço de merda como é o da Apple.
ResponderEliminarUm caso típico de ter todos os ovos no mesmo cesto, nem é uma questão de segurança informática, é mesmo uma questão de bom senso. Como se vê
Hoje é a Apple, amanhã será com qualquer outro. Quanto a mim, *ninguém* está livre de que lhe possa acontecer algo do género: e eu já por várias vezes disse que até me arrepio de pensar se algum dia alguém conseguir fazer tal coisa à minha conta do Google - que neste momento utilizo como "hub central" de 99.99% das minhas coisas online (praticamente todo e qualquer outro serviço que uso na net está ligada ao email do gmail, ou que o usa como "email de recuperação".
EliminarPortanto, muitas graças dou ao 2-step validation, e a uma password paranóica e única que nem sequer me atrevo a teclar em computadores desconhecidos (keyloggers beware).
Portanto... isso do bom senso por vezes pode ser bem mais complicado de concretizar na prática.
Já agora e por pura curiosidade... de que forma é que tu dependes/ou não dos serviços online? (E para que não haja margens para más-interpretações, estou a fazer e pergunta genuinamente por interesse e curiosidade, e que poderá igualmente ajudar todos os que por cá passam - eu incluido! :)
Eu uso o Gmail, tenho uma dropbox e uma box.net com algumas coisas que uso no dia-a-dia e que preciso ter acesso no telemóvel, no tab e nos portátil. São algumas fotos, músicas e até alguns docs sem grande importância.
ResponderEliminarSe alguém conseguir acesso a esses serviços vai se surpreender com a perda de tempo. As coisas realmente importantes tenho ali, à minha frente, num NAS que está dentro da lan mas muito longe da wan. :-)
Mas, para a box.net e dropbox, não os usas com a conta do gmail (e possivelmente outros serviços, tipo Twitter/Facebook/etc.)?
EliminarPelo que, mantém-se o risco de - quem apanhar o acesso ao Google/gmail, potencialmente terá acesso a tudo.
E então se começar a chegar a coisas tipo LogMeIn, Teamviewer, e demais acessos remotos... a coisa começa a ficar bastante perigosa.
Não corro esse risco. Tenho diversas contas de email e só uso mesmo o Gmail para "brincar" com a internet (perguntaste como dependia dos serviços online, por isso só falei do Gmail). Para trabalho e coisas mais sérias uso outros serviços de email, quase todos com servidor próprio, as in, meus ou geridos por mim. E como referi não tenho nada de importante na cloud.
EliminarQuanto ao resto, eu não uso nenhuma rede social: a minha vida privada é isso mesmo, privada, não tenho nada para vender e as redes sociais são uma bolha que vai rebentar, acredita. Uso Skype e email para comunicar com algumas pessoas que estão longe e, acredites ou não, ainda uso preferencialmente o IRC para falar com colegas da minha área (em equipa que ganha não se mexe!).
Quando, acerca deste caso, se diz que pode acontecer a qualquer um ou a qualquer empresa... Acho que se está a misturar a utopia de um sistema infalível com o ridículo que é a possibilidade do sistema cair com uma simples chamada telefónica.
ResponderEliminarA Google usa o 2-step que para mim é dos melhores métodos que conheço. Não me protege de ser assaltado e ficar sem o telemóvel, nem de algum "carolas", nem (muito menos) me protege dos meus eventuais "descuidos".
Ainda que esteja por confirmar a história completa, não vejo o que isso tem a ver com estar em casa e ver a vida digital ir pelos ares, porque a empresa deu acesso via telefone. Assim como também é escusado inventar "fancy names" para isso, como engenharia social...
Este comentário foi removido por um gestor do blogue.
ResponderEliminar