E ai galera!
Provavelmente você deve ter visto as notícias e talvez as fotos das 100 celebridades (só vi vazar mesmo umas 10) que tiveram suas contas hackeadas e fotos intimas publicadas na net. Mas você sabe o quê e como isso aconteceu?
Bom, vamos separar o post em duas partes, a primeira sendo a obtenção do email, sendo ele erro humano ou vazamento de emails, e a segunda parte sendo uma prova de conceito e uma suposta falha da Apple.
Vamos então para a primeira parte, de onde saiu esses emails? Boa parte você vai ver que é similar ao post sobre Spam que escrevi a alguns dias.
Bom, celebridades no fim das contas são pessoas normais, e em muitas vezes para não dizer em todas, tem um conhecimento mínimo de tecnologia e consequentemente de segurança também, então são alvos suscetíveis aos ataques mais simples e erros comuns que os usuários mais básicos acabam cometendo. Vamos a elas:
Links recebidos de "amigos"
Sim, celebridades também tem amigos próximos e usam a tecnologia para se comunicar. Celebridades podem e são atacadas por spear phishing. Hoje em dia é comum spammers se passarem por amigos conhecidos em email e redes sociais para convencer as vítimas a baixar malwares ou fornecer informações pessoais, tanto por computadores quanto por smartphones. Pesquisas até indicam que em dispositivos móveis tem 3 vezes mais chances de um link ser clicado.
Usam sempre a mesma senha
Como comentei acima, celebridades são pessoas normais, e pessoas normais gostam de usar uma única senha para conseguir lembrar. Isso facilita muito a vida de atacantes. Toda hora estamos vendo notícias de vazamentos de dados. Se você usa uma única senha para tudo e seus dados de um serviço forem vazados, a primeira coisa que os criminosos fazem é testar o conjunto de credenciais em outros sites e serviços.
Usam redes WiFi públicas
Muitas pessoas usam redes públicas como shoppings, universidades, lojas e etc, mas poucos se preocupam de que se estão acessando livremente, outras pessoas também podem estar. Acredito que todos os leitores do blog sabem, mas seus amigos e conhecidos talvez não. A transmissão entre o AP e sua máquina é através ondas de rádio que são enviadas para todos os lugares, qualquer pessoa pode interceptar essas ondas e ver o que está sendo trafegado.
Usam smartphones ou aplicativos com vulnerabilidades já conhecidas
Esta é nova e está cada vez mais comum. Smartphones estão fazendo cada vez mais funções, o que leva em alguns casos a vulnerabilidades. Essas vulnerabilidades podem ser exploradas do mesmo modo que vulnerabilidades em servidores são exploradas, e assim podendo obter algum tipo de informação do aparelho.
Agora vamos a parte da Apple no problema.
Basicamente o que foi feito foi o seguinte: De posse de emails das vítimas, os "hackers" usaram um software de bruteforce para tentar todas as possibilidades de senhas, até encontrar combinações válidas.
O script desenvolvido por eles apenas conecta nos servidores da Apple e tenta uma combinação de email e senha e retorna se a resposta do servidor foi positiva ou negativa. Se negativa tenta com a próxima possiblidade da lista até encontrar ou acabar a lista.
Tá, mas e onde a Apple leva culpa nisso? Vamos lá, sistemas inteligentes (e seguros) normalmente bloqueiam o usuário após algumas tentativas sem sucesso de conexão. O que já mataria aí tudo ou boa parte dessa exposição. O que anda rolando nas interwebs é que uma API bugada permitia esse tipo de diversas conexões sem bloquear após muitas tentativas. Ainda não se sabe se é só isso ou se tem alguma falha maior, mas o que rola é que uma URL do Find My Phone que permite isso. O pessoal do hackapp criou um script em python que promete realizar esses testes, provavelmente do mesmo modo que foi usado para o vazamento.
Agora, o que podemos fazer para nos proteger? Simples, mantenha uma senha única e forte. E por segurança desabilite o envio de fotos automático para o iCloud por um tempo. :)
Provavelmente você deve ter visto as notícias e talvez as fotos das 100 celebridades (só vi vazar mesmo umas 10) que tiveram suas contas hackeadas e fotos intimas publicadas na net. Mas você sabe o quê e como isso aconteceu?
Bom, vamos separar o post em duas partes, a primeira sendo a obtenção do email, sendo ele erro humano ou vazamento de emails, e a segunda parte sendo uma prova de conceito e uma suposta falha da Apple.
Vamos então para a primeira parte, de onde saiu esses emails? Boa parte você vai ver que é similar ao post sobre Spam que escrevi a alguns dias.
Bom, celebridades no fim das contas são pessoas normais, e em muitas vezes para não dizer em todas, tem um conhecimento mínimo de tecnologia e consequentemente de segurança também, então são alvos suscetíveis aos ataques mais simples e erros comuns que os usuários mais básicos acabam cometendo. Vamos a elas:
Links recebidos de "amigos"
Sim, celebridades também tem amigos próximos e usam a tecnologia para se comunicar. Celebridades podem e são atacadas por spear phishing. Hoje em dia é comum spammers se passarem por amigos conhecidos em email e redes sociais para convencer as vítimas a baixar malwares ou fornecer informações pessoais, tanto por computadores quanto por smartphones. Pesquisas até indicam que em dispositivos móveis tem 3 vezes mais chances de um link ser clicado.
Usam sempre a mesma senha
Como comentei acima, celebridades são pessoas normais, e pessoas normais gostam de usar uma única senha para conseguir lembrar. Isso facilita muito a vida de atacantes. Toda hora estamos vendo notícias de vazamentos de dados. Se você usa uma única senha para tudo e seus dados de um serviço forem vazados, a primeira coisa que os criminosos fazem é testar o conjunto de credenciais em outros sites e serviços.
Usam redes WiFi públicas
Muitas pessoas usam redes públicas como shoppings, universidades, lojas e etc, mas poucos se preocupam de que se estão acessando livremente, outras pessoas também podem estar. Acredito que todos os leitores do blog sabem, mas seus amigos e conhecidos talvez não. A transmissão entre o AP e sua máquina é através ondas de rádio que são enviadas para todos os lugares, qualquer pessoa pode interceptar essas ondas e ver o que está sendo trafegado.
Usam smartphones ou aplicativos com vulnerabilidades já conhecidas
Esta é nova e está cada vez mais comum. Smartphones estão fazendo cada vez mais funções, o que leva em alguns casos a vulnerabilidades. Essas vulnerabilidades podem ser exploradas do mesmo modo que vulnerabilidades em servidores são exploradas, e assim podendo obter algum tipo de informação do aparelho.
Agora vamos a parte da Apple no problema.
Basicamente o que foi feito foi o seguinte: De posse de emails das vítimas, os "hackers" usaram um software de bruteforce para tentar todas as possibilidades de senhas, até encontrar combinações válidas.
O script desenvolvido por eles apenas conecta nos servidores da Apple e tenta uma combinação de email e senha e retorna se a resposta do servidor foi positiva ou negativa. Se negativa tenta com a próxima possiblidade da lista até encontrar ou acabar a lista.
Tá, mas e onde a Apple leva culpa nisso? Vamos lá, sistemas inteligentes (e seguros) normalmente bloqueiam o usuário após algumas tentativas sem sucesso de conexão. O que já mataria aí tudo ou boa parte dessa exposição. O que anda rolando nas interwebs é que uma API bugada permitia esse tipo de diversas conexões sem bloquear após muitas tentativas. Ainda não se sabe se é só isso ou se tem alguma falha maior, mas o que rola é que uma URL do Find My Phone que permite isso. O pessoal do hackapp criou um script em python que promete realizar esses testes, provavelmente do mesmo modo que foi usado para o vazamento.
Agora, o que podemos fazer para nos proteger? Simples, mantenha uma senha única e forte. E por segurança desabilite o envio de fotos automático para o iCloud por um tempo. :)
