E ai galera!
Provavelmente você deve ter visto as notícias e talvez as fotos das 100 celebridades (só vi vazar mesmo umas 10) que tiveram suas contas hackeadas e fotos intimas publicadas na net. Mas você sabe o quê e como isso aconteceu?
Bom, vamos separar o post em duas partes, a primeira sendo a obtenção do email, sendo ele erro humano ou vazamento de emails, e a segunda parte sendo uma prova de conceito e uma suposta falha da Apple.
Vamos então para a primeira parte, de onde saiu esses emails? Boa parte você vai ver que é similar ao post sobre Spam que escrevi a alguns dias.
Bom, celebridades no fim das contas são pessoas normais, e em muitas vezes para não dizer em todas, tem um conhecimento mínimo de tecnologia e consequentemente de segurança também, então são alvos suscetíveis aos ataques mais simples e erros comuns que os usuários mais básicos acabam cometendo. Vamos a elas:
Links recebidos de "amigos"
Sim, celebridades também tem amigos próximos e usam a tecnologia para se comunicar. Celebridades podem e são atacadas por spear phishing. Hoje em dia é comum spammers se passarem por amigos conhecidos em email e redes sociais para convencer as vítimas a baixar malwares ou fornecer informações pessoais, tanto por computadores quanto por smartphones. Pesquisas até indicam que em dispositivos móveis tem 3 vezes mais chances de um link ser clicado.
Usam sempre a mesma senha
Como comentei acima, celebridades são pessoas normais, e pessoas normais gostam de usar uma única senha para conseguir lembrar. Isso facilita muito a vida de atacantes. Toda hora estamos vendo notícias de vazamentos de dados. Se você usa uma única senha para tudo e seus dados de um serviço forem vazados, a primeira coisa que os criminosos fazem é testar o conjunto de credenciais em outros sites e serviços.
Usam redes WiFi públicas
Muitas pessoas usam redes públicas como shoppings, universidades, lojas e etc, mas poucos se preocupam de que se estão acessando livremente, outras pessoas também podem estar. Acredito que todos os leitores do blog sabem, mas seus amigos e conhecidos talvez não. A transmissão entre o AP e sua máquina é através ondas de rádio que são enviadas para todos os lugares, qualquer pessoa pode interceptar essas ondas e ver o que está sendo trafegado.
Usam smartphones ou aplicativos com vulnerabilidades já conhecidas
Esta é nova e está cada vez mais comum. Smartphones estão fazendo cada vez mais funções, o que leva em alguns casos a vulnerabilidades. Essas vulnerabilidades podem ser exploradas do mesmo modo que vulnerabilidades em servidores são exploradas, e assim podendo obter algum tipo de informação do aparelho.
Agora vamos a parte da Apple no problema.
Basicamente o que foi feito foi o seguinte: De posse de emails das vítimas, os "hackers" usaram um software de bruteforce para tentar todas as possibilidades de senhas, até encontrar combinações válidas.
O script desenvolvido por eles apenas conecta nos servidores da Apple e tenta uma combinação de email e senha e retorna se a resposta do servidor foi positiva ou negativa. Se negativa tenta com a próxima possiblidade da lista até encontrar ou acabar a lista.
Tá, mas e onde a Apple leva culpa nisso? Vamos lá, sistemas inteligentes (e seguros) normalmente bloqueiam o usuário após algumas tentativas sem sucesso de conexão. O que já mataria aí tudo ou boa parte dessa exposição. O que anda rolando nas interwebs é que uma API bugada permitia esse tipo de diversas conexões sem bloquear após muitas tentativas. Ainda não se sabe se é só isso ou se tem alguma falha maior, mas o que rola é que uma URL do Find My Phone que permite isso. O pessoal do hackapp criou um script em python que promete realizar esses testes, provavelmente do mesmo modo que foi usado para o vazamento.
Agora, o que podemos fazer para nos proteger? Simples, mantenha uma senha única e forte. E por segurança desabilite o envio de fotos automático para o iCloud por um tempo. :)
Provavelmente você deve ter visto as notícias e talvez as fotos das 100 celebridades (só vi vazar mesmo umas 10) que tiveram suas contas hackeadas e fotos intimas publicadas na net. Mas você sabe o quê e como isso aconteceu?
Bom, vamos separar o post em duas partes, a primeira sendo a obtenção do email, sendo ele erro humano ou vazamento de emails, e a segunda parte sendo uma prova de conceito e uma suposta falha da Apple.
Vamos então para a primeira parte, de onde saiu esses emails? Boa parte você vai ver que é similar ao post sobre Spam que escrevi a alguns dias.
Bom, celebridades no fim das contas são pessoas normais, e em muitas vezes para não dizer em todas, tem um conhecimento mínimo de tecnologia e consequentemente de segurança também, então são alvos suscetíveis aos ataques mais simples e erros comuns que os usuários mais básicos acabam cometendo. Vamos a elas:
Links recebidos de "amigos"
Sim, celebridades também tem amigos próximos e usam a tecnologia para se comunicar. Celebridades podem e são atacadas por spear phishing. Hoje em dia é comum spammers se passarem por amigos conhecidos em email e redes sociais para convencer as vítimas a baixar malwares ou fornecer informações pessoais, tanto por computadores quanto por smartphones. Pesquisas até indicam que em dispositivos móveis tem 3 vezes mais chances de um link ser clicado.
Usam sempre a mesma senha
Como comentei acima, celebridades são pessoas normais, e pessoas normais gostam de usar uma única senha para conseguir lembrar. Isso facilita muito a vida de atacantes. Toda hora estamos vendo notícias de vazamentos de dados. Se você usa uma única senha para tudo e seus dados de um serviço forem vazados, a primeira coisa que os criminosos fazem é testar o conjunto de credenciais em outros sites e serviços.
Usam redes WiFi públicas
Muitas pessoas usam redes públicas como shoppings, universidades, lojas e etc, mas poucos se preocupam de que se estão acessando livremente, outras pessoas também podem estar. Acredito que todos os leitores do blog sabem, mas seus amigos e conhecidos talvez não. A transmissão entre o AP e sua máquina é através ondas de rádio que são enviadas para todos os lugares, qualquer pessoa pode interceptar essas ondas e ver o que está sendo trafegado.
Usam smartphones ou aplicativos com vulnerabilidades já conhecidas
Esta é nova e está cada vez mais comum. Smartphones estão fazendo cada vez mais funções, o que leva em alguns casos a vulnerabilidades. Essas vulnerabilidades podem ser exploradas do mesmo modo que vulnerabilidades em servidores são exploradas, e assim podendo obter algum tipo de informação do aparelho.
Agora vamos a parte da Apple no problema.
Basicamente o que foi feito foi o seguinte: De posse de emails das vítimas, os "hackers" usaram um software de bruteforce para tentar todas as possibilidades de senhas, até encontrar combinações válidas.
O script desenvolvido por eles apenas conecta nos servidores da Apple e tenta uma combinação de email e senha e retorna se a resposta do servidor foi positiva ou negativa. Se negativa tenta com a próxima possiblidade da lista até encontrar ou acabar a lista.
Tá, mas e onde a Apple leva culpa nisso? Vamos lá, sistemas inteligentes (e seguros) normalmente bloqueiam o usuário após algumas tentativas sem sucesso de conexão. O que já mataria aí tudo ou boa parte dessa exposição. O que anda rolando nas interwebs é que uma API bugada permitia esse tipo de diversas conexões sem bloquear após muitas tentativas. Ainda não se sabe se é só isso ou se tem alguma falha maior, mas o que rola é que uma URL do Find My Phone que permite isso. O pessoal do hackapp criou um script em python que promete realizar esses testes, provavelmente do mesmo modo que foi usado para o vazamento.
Agora, o que podemos fazer para nos proteger? Simples, mantenha uma senha única e forte. E por segurança desabilite o envio de fotos automático para o iCloud por um tempo. :)
Blogueiro, parabéns pelo trabalho.
ResponderExcluirVocê como conhecedor do assunto, queria saber uma coisa. Percebi no log de atividades do meu hotmail, tentativas de conexões com senha incorretas provenientes da China, depois de um tempo passou a ser algo proxy vindo de várias cidades do mundo, de forma repetida. Logo mudei a senha kkkk fiz uma bem cabulosa mesmo. O que os chineses querem ?
Não são necessariamente chineses. Qualquer pessoa pode usar uma ferramenta que esconda sua localização. Existem muitas delas por ai. O objetivo talvez seja roubar informações valiosas, não só fotos intimas, ou usar seu email para algum outro objetivo. Provavelmente não é nada focado em você e sim um ataque a uma lista gigante de emails que conseguiram.
ExcluirEspero ter respondido, e obrigado pelo feedback :)