Fornecer um Helpdesk segura e eficiente
Apple planeja lançar novos alertas de segurança do iCloud, bem como ampliando sua tecnologia de autenticação de dois passos na esteira da aba privacidade desta semana sobre selfies nuas de Jennifer Lawrence, Kate Upton e outras celebridades.
Fotos privadas de celebridades pelados (feminino), incluindo o ganhador do Oscar Lawrence e modelo swimwear Upton surgiu no 4chan e tábua de imagem anônimo AnonIB no fim de semana. Parece que em muitos casos os meliantes desviados snaps nus armazenados no iCloud contas das vítimas, entre outros locais.
Metadados nas fotos sugerem que muitas das fotos que vazaram foram tiradas com iPhones e recurso de backup da Apple tem sido, portanto, implicado no vazamento, que veio de uma coleção de imagens reunidas por várias pessoas que podem ter negociados los entre si.
A Apple reconheceu que um "ataque direcionado" em "nomes de usuário, senhas e perguntas de segurança" tivesse ocorrido no início desta semana, aconselhando os usuários "sempre usar uma senha forte e permitir a verificação em duas etapas" como uma defesa.
No entanto, como relatado anteriormente , voltando-se na tecnologia de autenticação de dois fatores da Apple não teria bloqueado o ataque aparentemente atrás celebridade selfie nu vazamento desta semana. 2FA da Apple é necessário (quando ativado) para fazer compras no iTunes ou para obter o apoio da Apple.
Mas backups do iCloud pode ser instalado em novos dispositivos com apenas um ID da Apple e senha - dois códigos de verificação passo não são necessários, como estão as coisas . Polícia usando ferramentas forenses móveis da ElcomSoft são capazes de recuperar dados iCloud usando apenas o iTunes token de autenticação obtidos a partir de dispositivos apreendidos.
Uma teoria popular é que as celebridades iPhone hackers pode ter usado ilicitamente cópias não licenciadas de ferramenta disjuntor telefone Senha de Elcomsoft rasgar dados privados do iCloud contas com base nos endereços de e-mail e senhas de alvos.
"A assinatura em iCloud para acessar digamos, suas fotos de backup, não necessita de autenticação de dois fatores", empresa de segurança móvel Lookout explica em um post no blog . "Neste caso, permitindo a autenticação de dois fatores não teria ajudado a todos os envolvidos neste último vazamento."
Contusão da Apple, um esporte preferido entre os geeks infosec
Hackers podem ter obtido as senhas de celebridades através de adivinhação questões de segurança, phishing ou ataques baseados em malware. Especialistas em segurança criticado a Apple por não ter taxa de senha limite redefinir tentativas de adivinhação, uma defesa contra as táticas de força bruta hackers aparentemente em jogo, entre outros fatores. Este é um problema particular para celebridades porque as suas respostas às perguntas de redefinição de senha (por exemplo, o nome do animal de estimação, onde você se formou) são o material de trivia.
Fundamentalmente, há boas razões para pensar que as deficiências de segurança tão graficamente expostos pelo vazamento celebridade nudie foram anteriormente abusado antes. Por exemplo, no ano passado, a Noruega teve um iPhone indecente incidente roubo pic , em que um suspeito invadiu as contas do iCloud de adolescentes.
A questão vai além de apenas imagens, como graves e tão perturbadoras que isso possa ser para as vítimas. Se as fotos estão expostas, é assim informações de contato, mensagens SMS e outros dados de backup no iCloud.
Observadores de segurança têm-se ocupado durante toda a semana apontando falhas de segurança da Apple. Especialista em segurança Dan Kaminsky observou ainda fez uma aparição no The Daily Show, em um segmento intitulado Estrela Hack: a Geração Nude. Toda a questão foi mainstream como nada em segurança da informação desde o início palhaçadas do Anonymous e LulzSec há vários anos.
Este nível de ridículo é grave para a Apple, que tem ambições para empurrar para a empresa. O momento, poucos dias antes do esperado iPhone 6 lançamento na próxima semana (09 de setembro) dificilmente ajuda também.
A gigante de eletrônicos de consumo tem rodado as suas maiores armas para defender seu registro de segurança e negar que a atitude negligente em relação à segurança haviam permitido meliantes para reboco, os cantos mais escuros da web com celebridades roubado fotos de nudez. A Apple exec chefe Tim Cook disse ao Wall Street Journal que mesmo que ele não foi o culpado, seria tomar medidas adicionais para manter os hackers de contas de usuário. Isto, como se vê, em grande parte gira em torno de mais notificações de alteração de senha.
Para fazer com que essas fugas menos provável, Cook disse que a Apple irá alertar os usuários via e-mail e notificações push quando alguém tenta alterar uma senha de conta, restaurar os dados do iCloud para um novo dispositivo, ou quando um dispositivo registros em uma conta pela primeira vez.Até agora, os usuários tem um e-mail quando alguém tentou mudar a senha ou login pela primeira vez a partir de um dispositivo da Apple desconhecido; não houve notificações de restauração de dados do iCloud.
2FA Doce
Cozinhe acrescentou que a Apple irá estender a sua "autenticação de dois fatores", como parte da próxima versão do seu sistema móvel operacional iOS sem entrar em detalhes. Gizmodo, no entanto, relata que 2FA será estendido para cobrir o acesso às contas do iCloud a partir de um dispositivo móvel.
"Como parte do iOS 8, a próxima versão do seu sistema operacional móvel que deve sair no final deste mês, a autenticação de dois fatores também irá cobrir o acesso ao iCloud contas a partir de um dispositivo móvel", ele relata. "A Apple disse que a maioria dos usuários não usam autenticação de dois fatores, por isso pretende incentivar as pessoas de forma mais agressiva para ligá-lo na nova versão do iOS."
Essa autenticação de dois fatores, uma vez ativado, significa que os códigos podem ser enviados para um endereço de e-mail pré-cadastrado ou back-up do telefone móvel. Rik Ferguson, segurança VP de pesquisa da Trend Micro, disse El Reg que a tecnologia também permite também para chamadas para telefones fixos registrados. O acesso a endereços de e-mail usado para enviar os códigos de acesso mesmos poderiam ser protegidos por terceiros de dois fatores tecnologia de autenticação sem relação com a Apple, acrescentou.
Estendendo a aplicação da tecnologia 2FA desta forma iria ficar em torno dos obstáculos de envio de códigos para o iPhone ou iPad dispositivo perdido ou roubado em si - como descrito por ElcomSoft chefe executivo Vladimir Katalov em nossa história antes.
Ferguson explicou: "A Apple poderia facilmente estender 2FA para cobrir a restauração de backups do iCloud, enviando o segundo Fator para um endereço de e-mail registrado O processo seria algo como:.?. Você quer restaurar Sim, por favor selecione o endereço de e-mail para receber o seu código de autorização selecione Insira o código. Graças a sua restauração está em andamento.
"Como um processo, é realmente diferente para o 2FA actual via SMS, é apenas um canal alternativo e que é ideal se você está restaurando no caso de um dispositivo perdido. Ele tem o benefício adicional de curso que espero que o seu endereço de e-mail também é protegida por sua própria 2FA, por isso representa um canal teoricamente mais seguro do que o SMS simples ", acrescentou. ®
Leaknote
Um bom resumo do ângulo infosec a vazamentos de fotos de celebridades desta semana pode ser encontrado em um post no blog de megaflaw DNS descobridor virou Daily Star Mostrar convidado Kaminsky aqui . Uma análise sobre o metdata Hacked celebridades Contas do iCloud por Jonathan Zdziarski pode ser encontrada aqui .
E uma boa opinião sobre a sub-cultura que gerou o vazamento, e as circunstâncias em torno dele, por Nik Cubrilovic, pode ser encontrada aqui .
Nenhum comentário:
Postar um comentário