Tal como se previa, o caso #iCloudHack com as fotos íntimas de diversas celebridades continua a dar que falar, e a Apple já veio anunciar publicamente que o ataque não foi feito através de nenhuma vulnerabilidade no iCloud ou no Find my iPhone, como algumas pessoas teriam suspeitado. Uma declaração que não irá satisfazer a todos...
A Apple veio dizer que se tratou de um ataque direccionado a contas específicas de determinados utilizadores e que não se tratou de nenhuma vulnerabilidade. Mas a verdade é que deverá ser difícil conseguir esquivar-se à questão de que existia de facto uma falha no iCloud que permitiu fazer um ataque brute-force e encontrar as passwords das respectivas contas.
O programa iBrute que está disponível publicamente, dava uso à API do Find My iPhone, onde a restrição do número de tentativas da password não estava implementada, permitindo que qualquer pessoa pudesse ir tentando milhões de combinações de passwords, até encontrar a correcta. Embora se argumente que este método só será efectivo contra passwords "fracas" (passwords populares, combinações recorrentes, poucos caracteres, etc.), a verdade é que se trata de uma falha grave, pois de outra forma seria impossível testar tal quantidade de passwords em tempo útil.
Descoberta a password com este iBrute, o passo seguinte não deixará de ser algo caricato... pois a forma mais "eficiente" de recuperar todos os dados de uma conta iCloud será usar um software que é destinado às forças da autoridade para espiar utilizadores "de interesse": o Elcomsoft Phone Password Breaker (EPPB).
Usando este programa, qualquer pessoa com acesso a uma conta iCloud poderá descarregar o backup completo do equipamento (assumindo que está a ser feito para lá e não para o computador local via iTunes). Isto significa que não só têm acesso às fotos, como também lista de contactos, emails, histórico da localização, redes WiFi a que se ligava e respectivas passwords, sites visitados, contas das redes sociais, mensagens, documentos... ou seja, praticamente tudo o que tiverem no vosso iPhone/iPad. (E ao contrário do que a Apple quer fazer tentar passar, este tipo de ataques está a ser feito continuamente, a todo o tipo de utilizadores, e dura há meses.)
Não deixará de ser curioso que por um lado a Apple diga que não houve qualquer vulnerabilidade no iCloud e dê a entender que se trataram de passwords "fracas" por culpa dos utilizadores - mas por outro lado se tenha apressado a corrigir a falha que permitia que o iBrute descobrisse as passwords dos utilizadores.
... E se por esta altura estão a pensar que isto é uma chamada de atenção para que se use um sistema de validação 2-step, que a Apple também disponibiliza, é verdade que será recomendável e aumentará a segurança. Mas... não impedirá que um hacker com a vossa password continue a ter acesso às vossas fotos sem necessitar do código adicional. Bastará instalar o iCloud Control Panel num computador Windows, introduzir o login e password da vítima, e lá começarão a chegar as fotos do iCloud sem que nunca seja pedido o "2-step". Um caricato caso que demonstra como o 2-step não serve de muito para trancarem as portas... se deixarem uma "janela" aberta por onde se poderá entrar. (E afinal, também os backups do iCloud escapam ao 2-step.)
Sabendo-se que nos EUA se processa tudo e todos por todo e qualquer motivo... não me parece que este caso vá ficar por aqui. (E sim... podem esperar que para breve, a par do "flash on/off" passe a existir nas câmaras uma definição para manter "fotos privadas on/off" - embora depois se vá ter que lidar com as reclamações de que os serviços não guardaram os backups destas fotos, etc. etc.)
Uma das atrizes já referiu que não colocou as fotos privadas na "nuvem". Só alguém muito anormal é que vai confiar nesses sistemas para colocar coisas assim por lá confiando que ninguém vê.
ResponderEliminarDe qualquer forma, o que elas ganham é publicidade gratuita, somente isso, porque toda a gente faz sexo, e já não é anormal estas situações.
Certamente também o farás (sexo, i mean). Mas diz-me: tu fazes (vamos assumir que sim), todos sabemos que fazes, tudo ok. Mas agora imagina que meto uma foto tua a faze-lo com a tua namorada/mulher/whatever no facebook.... não tinha mal, pois não? afinal, todos o fazemos... :)
Eliminar"Mas a verdade é que deverá ser difícil conseguir esquivar-se à questão de que existia de facto uma falha no iCloud que permitiu fazer um ataque brute-force e encontrar as passwords das respectivas contas."
ResponderEliminarNão percebi o permitiu. Quem escreveu e disponibilizou o código, creio que a 28 de Agosto e apresentou a vulnerabilidade no dia 30 de Agosto, corrigida pela Apple a 31, certamente fez o ataque e experimentou, o que por si só justificava o "existia" e o "permitiu". Sem relação com o que disse a Apple, porque foi dito antes, o próprio que escreveu o código disse que não sabia se o iBrute foi utilizado na questão das fotos.
Relativamente às fotos, a Apple diz que não houve nenhum ataque brute force, com iBrute ou outro. Da maneira como escreves parece pores isso em dúvida - e longe de mim querer interferir com as tuas dúvidas/certezas. Mas o que escreveste é feeling ou tens alguma coisa de concreto?
Também parece que apesar da vulnerabilidade ter sido corrigida, achas que que o iBrute pode continuar a ser utilizado. É assim?
P.S. Na minha modesta opinião, o título sugere uma relação de causa-efeito entre as fotos e a vulnerabilidade explorada pelo iBrute ("que a Apple se apressou a corrigir"). Por mim, a partir do momento em que a vulnerabilidade foi exposta, tinha mais é que a corrigir, ainda mais numa situação destas :)
Nos fóruns do "assunto", a existência de tal ferramenta era falada há meses, embora seja certo que eles não tenham problemas em usar qualquer método/ferramenta que lhes dê acesso aos dados.
EliminarDe qualquer forma, a existência de tal falha, a par das lacunas do 2-step que não evitam que qualquer hacker aceda a todos os dados, são erros flagrantes que não se podem admitir numa empresa com a dimensão da Apple. (Não ter limitação de tentativas de passwords erradas?... Que desculpa pode haver para isso?)
Para além do mais tens que concordar que o comunicado da Apple foi feito à "moda de advogado", onde dá a entender umas coisas mas sem descartar outras hipóteses... de modo a que aquilo não possa ser usado contra eles caso se venha a demonstrar que não foi bem assim.
Se a Apple estivesse completamente segura... acho que teria usado linguagem bem mais clara. Mas pronto... isso agora ficará ao critério de cada um achar se sim/não/talvez... sendo que a grande coisa positiva é isto ter servido para alertar as pessoas dos riscos que a "cloud" apresenta (como em tudo... também tem vantagens - é questão de pesar os prós e contrar - eu por mim continuarei satisfeito por ter as minhas fotos no iCloud, Google+, Dropbox, etc. :)
So Wrong, "Dos Passos"
EliminarA vunenabilidade em causa é antiga, bem conhecida, está documentada, incluindo no dito software, desde 2013, a apple foi notificada na altura. Resolveu ignorar.
Esteve mais ocupada com coisas importantes tipo ser uma pattent troll e cultivar o ego dos iSheeps.
Agora dizem que não tinham vunerabilidade... mas patcharam... é mesmo atirar areia aos olhos.
Falharam em grande estilo. Shit hit the fan.
Mas claro que os iSheeps vão achar que a culpa é dos "acaros" e a Apple é perfeita. Nothing new.
Quando tiveres tempo faz um post sobre o 2-steps do iCloud. Convém o pessoal saber do que está e do que não está protegido.
EliminarTanto quanto eu tenha percebido, no caso das fotos foi usado ataque por tentativas (considerando email básicos ou já conhecidos e passwords básicas), phishing, e reset de passwords usando as perguntas de segurança [Concordo que não foi tudo explicado do que foi feito e do que não foi. Quando prenderem os gajos e fizerem a acusação certamente fica claro]. O dois passos evita o terceiro caso - reset das passwords usando as perguntas de segurança, porque exige a confirmação por código recebido por SMS.
Agora, a partir daí, quem pensa que se lhe caçarem (digo caçarem, pode ser de várias maneiras) o nome e password está protegido pelo 2-step está muito mal enganado.
Como isto é um problema, de segurança, que tem mais a ver com a arquitectura do sistema do que com vulnerabilidades, uma comparação com os sistemas usados no Android/Google (e outros) é que vinha a calhar.
Não. O Icloud até tem 2-step. Mas não está activado por default. mas o problema principal aqui não foi esse. é não terem protecção contra brute force. ou seja, a partir de, digamos, 3 tentativas erradas seguidas, o sistema bloquear e obrigar a outra medida (envio de link por mail, codigo por sms, etc), ou seja, em caso de tentativa de brute force, activar um esquema de autenticação dupla.
EliminarA desgraçada da microsoft foi massacrada, ha anos, por o XP não fazer isso (proteção de brute force)... mas pronto
Não deve haver nenhum site, dos grandes, online que nao tenha proteção contra brute force. Basta ir a qq serviço (desde dropbox, a google, passando por todos os outros, e fazer uma serie de tentativas consecutivas erradas.. dá logo lock à conta.
Mesmo com o iBrute uma pw com 8 dígitos entre os quais tem de ter uma maiúscula e um nº demoraria bastante tempo a "descobrir". O "problema" está é nas pw escolhidas. Há relatos que foram utilizadas a listagem das 500+ famosas pw e que resultou. Ora quem "escolhe" pw dessas......... e ainda por cima coloca lá fotos/videos privados......
ResponderEliminaraté ai.. todos os serviços estão sujeitos a pws dessas.. mas isso, com as medidas *BASICAS* de segurança, não tem grande problema.
EliminarQQ sistema decente, à 3ª ou perto tentativa, bloqueia. E assim já não testas 500 pws de rajada...
A apple falhou. big time. e sabia. e ignorou.
Mas vão usar vidro safira. e tem leitor de impressões no botao. Isso é que são coisas importantes. Segurança dos dados? No so.
EliminarAgora é falado que se tratou de Phishing. Será? http://blitz.sapo.pt/hacker-que-revelou-fotos-de-celebridades-nuas-pode-ter-usado-um-dos-truques-mais-antigos-da-internet=f93580
ResponderEliminar