A gyenge jelszavak átka: feltört iCloud fiókok és kiszivárgott képek

Ez a cikk legalább 1 éve frissült utoljára. A benne szereplő információk a megjelenés idején pontosak voltak, de mára elavultak lehetnek.

Nem lehet elégszer hangsúlyozni, hogy érdemes minden esetben bonyolult jelszavakat használni, mert egyrészt ami feltörhető, azt fel is törik, másrészt ha a jelszavunk nem egyedi, hanem a lehető legostobább módon mondjuk “jelszó123”, akkor nagyjából nem kell azon csodálkozni, ha azt valaki “kitalálja”, hiszen nem kell hozzá nagy tudomány, elég egy elrettentő lista a leggyakoribb jelszavakról. Ez esett meg a napokban pár celeb kapcsán is, hogy a túl egyszerű jelszavaikat valaki valamilyen módon kitalálta, majd letöltögette az iCloud fiókjukban tárolt adatokat, és közzétette a képeket.

trin_hack

A média persze azonnal felkapta a hírt, hiszen szerepelt benne, hogy Apple és hogy feltörés, arra meg azonnal kattintanak, így találgatásokra alapozva jelentek meg olyan cikkek, amiknek utólag már a fele sem igaz, mert kiderült, mi volt az eset hátterében, ráadásul az FBI is nyomozni kezdett az ügyben. A problémát az okozta, hogy a Find my iPhone szolgáltatás esetén az Apple nem korlátozta az egymás utáni jelszómegadási kísérletek számát, így még akár az úgynevezett brute-force módszerrel is végig lehetett zongorázni több száz gyakori jelszót egy adott ID esetén. Az esetből több tanulságot is le lehet vonni, lássuk ezeket egyenként, illetve az Apple közleményét.

A Find my iPhone esetén nem ez az első eset, hogy probléma merül fel, hiszen jusson eszünkbe az, amikor korábban az elveszett móddal “ejtettek foglyul” készülékeket váltságdíjért cserébe, de azt ott a jelkódzárral ki lehetett védeni: Elveszett móddal “foglyul ejtett” almás eszközök – avagy miért fontos a jelkódzár?

Abba most kár belemenni, hogy eleve miért készít valaki magáról adott esetben kompromittáló képeket, ezt hagyjuk az adott felhasználóra. Ellenben ha valaki a veszélyeztetett csoportba tartozik, tehát híresség, és így fennáll az esélye, hogy a média bármit elő akarjon ásni róla, akkor annak legalább egy erős jelszót érdemes használnia, hiszen tudhatja jól, hogy a bulvár firkászai bármit megtesznek a hírért és a kattintásokért. Ha valaki tudva azt, hogy ilyen szinten veszélyeztetett csoporthoz tartozik, mégis gyenge jelszót használ, az ellen szinte semmi biztonsági megoldás nem véd. A felhasználó legnagyobb ellensége ugyanis legtöbbször saját maga.

iBrute – a jelszavak feltörésének egy lehetséges módja

Az iBrute jelenleg az egyik lehetséges mód, amivel a Find my iPhone jelszópróbálgatását kihasználhatták automatizált módon a celebek fotóinak megszerzői – ugyanakkor semmi bizonyíték nincs arra, hogy valóban ezt használták volna, mindössze épp ez volt az a szoftver, ami a szivárogtatás előtti napokban került fel a githubra.

FMi_bruteforce

Az iBrute nem csinált mást, mint a leggyakoribb jelszavak 500-as listáját végigfuttatta a kiválasztott Apple ID-n. Mivel az Apple nem alkalmazott a Find my iPhone esetén brute-force védelmet, így nem volt korlátozva, hogy hányszor lehet próbálkozni, ezért akár mind az 500 lehetőségen végig lehetett menni az adott ID esetén, és ha annak tulajdonosa volt annyira elővigyázatlan, hogy olyan jelszót használ, ami túl egyszerű, akkor elesett az ID a harcban, és beengedte a támadót, mert stimmelt a jelszó.

Az iBrute forrása megtekinthető annak Github oldalán, de próbálkozni kár vele, mert az Apple időközben bekapcsolta a próbálkozások számának korlátozását:

iBrute_over

Így az eredmény az lehet, hogy magunkra vonjuk nem csak az Apple, de akár a nyomozásba bevont FBI figyelmét is, illetve az adott Apple ID-t az Apple felfüggeszti.

Apple_ID_letiltva

Az iBrute egyben arra figyelmeztet, hogy bármely olyan rendszer esetén, ahol nincs korlátozva a próbálkozások száma, az egyszerű jelszót használó fiókok viszonylag könnyen feltörhetőek, hiszen a szoftver addig próbálkozhat, ameddig el nem találja a jelszót. Akit a dolog technikai részletei is érdekelnek az iOS 7 és az iCloud biztonsága kapcsán, annak az itt linkelt prezentációt ajánljuk, amely igen tömény módon írja le a dolgokat, és elsősorban az iCloud Keychain az, amire koncentrál.

Ez a prezentáció röviden összefoglalva azt mutatja be, miért érdemes az egyszerű jelkód helyett is bonyolultabbat használni, illetve hogy az iCloud Keychain esetén pláne érdemes az alapértelmezett egyszerű jelszót is bonyolultabbra cserélni.

Az Apple közleménye

Az Apple közleményéből kiderül, hogy ha az érintett felhasználók bonyolult, erős jelszót használtak volna, akkor sokkal kisebb esélye lett volna annak, hogy a támadó kitalálja a jelszavukat, és hozzáférjen az adataikhoz.

We wanted to provide an update to our investigation into the theft of photos of certain celebrities. When we learned of the theft, we were outraged and immediately mobilized Apple’s engineers to discover the source. Our customers’ privacy and security are of utmost importance to us. After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.

To protect against this type of attack, we advise all users to always use a strong password and enable two-step verification. Both of these are addressed on our website at http://support.apple.com/kb/ht4232.

Az alábbiakban az egyes hírességek fotóinak ellopása kapcsán indított nyomozásról szeretnénk tájékoztatni a médiát. Amikor értesültünk a képek ellopásának tényéről, az Apple mérnökei azonnal nekiláttak megkeresni a dolog forrását. A felhasználóink személyiségi jogai és biztonsága az egyik legfontosabb a számunkra. Több mint 40 órás nyomozást követően kiderült, hogy az egyes hírességek fiókjait egy célzott támadás érte, amely a felhasználóneveket, jelszavakat és biztonsági kérdéseket érintette, és amely már meglehetősen gyakori módszer az interneten. Egyetlen vizsgált esetben sem találtunk arra utaló nyomokat, hogy magát az Apple rendszereit, beleértve az iCloud és Find my iPhone szolgáltatásokat érte volna a támadás. Továbbra is együttműködünk a hatóságokkal, hogy kiderüljön, ki vagy kik voltak az elkövetők.

Az ilyen támadással szembeni védekezéshez pedig minden felhasználónknak azt javasoljuk, hogy használjanak erős jelszót, és kapcsolják be a kétlépcsős azonosítást. Erről bővebben itt tájékozódhatnak: http://support.apple.com/kb/ht4232.

Használjunk erős jelszót!

A fentiekhez hozzá kell tennünk, hogy Magyarországon jelenleg egyelőre nem érhető el a kétlépcsős azonosítás (néhány magyar Apple ID esetén ugyanakkor mégis bekapcsolható lehet, de hivatalosan nem támogatott), így azt a magyar felhasználók nem tudják használni. Az erős jelszó használata ugyanakkor nagyban megnehezíti az ilyen támadások sikerességét, tehát minden esetben használjunk valóban erős jelszót.

HT4232_01-appleid-security-hu.010-hu

Ha valaki nem tud önmaga erős jelszót kitalálni, azt generáltathat több alkalmazással vagy weboldallal is. Az így generált jelszót azonban nehéz megjegyezni, hiszen egy V8RfP3,]7Amzd& jellegű jelszót elég kevesen tudnak megjegyezni. Ráadásul ami szintén fontos szabály, hogy ugyanazt a jelszót ne használjuk másutt. Így ha történetesen a Gmail fiókunk jelszava megegyezik az Apple ID-nk jelszavával (ahol az Apple ID ráadásul a Gmail-címünk), akkor az egyik fiók veszélyezteti a másikat is. A jelszavaink ilyen szintű menedzselésére több alkalmazás is lehetőséget kínál, amelyek természetesen az így összegyűjtött jelszavainkat titkosított formában, egy mesterjelszó védelme alatt tárolja, a jelszavak internetes beillesztéséhez meg böngésző-bővítménnyel rendelkezik, illetve iOS-es alkalmazással is. Mi a 1Password alkalmazását használjuk, amiről itt olvashat bővebben az érdeklődő: 1Password: tárold könnyedén a jelszavaidat és érd el őket az iPhone-on is!

  • Méret: 0 MB | Verzió:
  • Ár: | Értékelés:

1Password - Password Manager
  • 1Password - Password Manager
  • Méret: 126.23 MB | Verzió: 7.4.2
  • Ár: Ingyenes | Értékelés:

Ez természetesen csak egy opció, több más lehetőség is van erre, például a magyar fejlesztésű Locko, ami ráadásul az iOS-es párja megjelenéséig jelenleg ingyenesen elérhető a Mac App Store-ból.

  • Méret: 0 MB | Verzió:
  • Ár: | Értékelés:

De ott van még az amúgy ingyenes LastPass is, amihez most egy éves prémium is szerezhető, ha valaki most regisztrál, és az így mobil eszközön is használható. Bővebben: LastPass Premium 1 évig ingyen.

LastPass Password Manager
  • LastPass Password Manager
  • Méret: 172.42 MB | Verzió: 4.7.8
  • Ár: Ingyenes | Értékelés:

Persze ezen felül is lehet alternatívát találni, most csak a legkézenfekvőbbeket soroltuk fel.

Kapcsoljuk ki a Saját fotóstream funkciót!

A Saját fotóstream szolgáltatás segítségével a készülékünk a fotóinkat feltölti az iCloud fiókunkba abban az esetben, ha a készülék Wi-Fi hálózatra csatlakozik. Ugyanakkor az ide feltöltődött képek csak 30 napig maradnak meg, utána törlődnek a felhőből. Ez a szolgáltatás ráadásul alapból nincs bekapcsolva, így ha mi magunk nem kattintottuk át bekapcsolt állapotúra, akkor a képeink sem fognak maguktól, az előzetes engedélyünk nélkül feltöltődni a felhőbe. A Saját fotóstream ráadásul csak képekkel működik, videókkal nem.

A kikapcsoláshoz menjünk a Beállítások (Settings) appban az iCloud menüpontba, azon belül válasszuk a Fotók opciót, és kapcsoljuk ki a Fotóstream lehetőséget – ezzel a készülékünkről törlésre kerülnek a Saját fotóstream képei, magából a felhőből pedig 30 nap elteltével tűnnek el, vagy törölhetjük őket manuálisan is.

Fotostream_01 Fotostream_02

Kapcsoljuk ki a képek iCloud backupba való mentését!

A Saját fotóstream mellett az iCloud backup az, ahol még mentésre kerülhetnek a fotóink, a Fimtekercs mentése miatt. Ha tehát ezt is szeretnénk kikapcsolni, akkor nincs más teendőnk, mint az iCloud menüpont alatt kikapcsolni a filmtekercs mentését. Ehhez menjünk az iCloud alatt a Tárolás és biztonsági mentés opciónál a Tárhely kezelése lehetőséghez, és azon belül válasszuk ki az iOS készülékünket (ha több van), és kapcsoljuk ki a Filmtekercs mentését:

iCloud_backup_filmtekercs

Ezzel a képeink nem kerülnek majd bele a backupba, így onnan sem lehet megszerezni őket.

Persze a legbiztosabb továbbra is az, ha eleve nem készítünk olyan képeket, amelyek miatt kínos helyzetbe kerülhetünk, vagy ha ezt mégis megtettük, és vannak ilyen képek a készülékünkön, legalább használjunk erős jelszavakat, ráadásul minden fiókunknál különbözőt, ezzel is megnehezítve azt, hogy valaki az egyiket feltörve könnyen átvehesse az uralmat egy másik fiókunk felett. Emellett minden iOS-frissítés után ellenőrizzük a beállításainkat, hogy azok esetleg nem változtak-e meg, és állítsuk vissza a kívánt értékekre őket, ha esetleg változtak volna.

Ezek még érdekelhetnek:


  1. Mért nem vezetik be azt ezek a nagyobb szolgáltatók, hogy vagy egy ilyen “kis és nagybetű számok speciális karakterek” jellegű jelszót kell megadni, vagy pedig egy legalább 20-25 karakter hosszú, tetszőleges tartalmú szöveget? A “Laci te, hallod-e, jer ide, jer ha mondom rontom bontom ülj meg itten az ölembe” jelszó kb tízcsilliószor többet ér, mint az xC78/ŁK5 jellegűek, amit amúgy sem tudsz megjegyezni, így valószínűleg egy plain text fájlban fogod tárolni, mind a 28 oldalhoz amin regisztrált vagy 😀

  2. @Bucoka: ott van a cikkben a kép, hogy milyen feltételeknek kell megfelelnie egy ilyen jelszónak. az ellen semmi sem véd, ha mindenütt ugyanazt a jelszót használod, ez a te felelősséged. az szintén rajtad múlik, hogy a jelszavaidat hol és hogyan tárolod, a plaintext legalább akkora hülyeség, mint mindenütt ugyanazt használni, ami pláne egyszerű, gyenge jelszó.

  3. Ember legyen a talpan aki az en jelszavaimat kitalalja. Ahany regisztracio annyi jelszo. Kulon tablazatom van erre a celra :). Ja es nem beszelve arrol hogy kicsi nagy betuk es szamok kombinacioja es 12 karakter. Okosan csinaljatok es ne butan.

    CSOKI!

  4. @f.istvan: hiába mindez, ha a kollekciódat egy táblázatban tárolod, titkosítás nélkül. Ha az illetéktelen kezébe kerül, buktál mindent.:)

  5. @Jadeye Van lehetosegetek az 1Password mukodeset bemutatni, esetleg egy kis videot csinalni, mint az mostanaban teszitek 1-2 dologgal…
    Mindenhol rakerestem, de csak angolul van (azzal meg hadilabon allok), foleg hogy most jon az iOS 8, es ahhoz is kapcsolodik…
    Sokmindenkinek a hasznara valna, hiszen a jelszavakat VEDI MINDENKI!!!
    Elore is koszonom!

Írd le a véleményedet! (Moderációs elveinket ide kattintva olvashatod.)

Hozzászólás írásához be kell jelentkezned!