Artykuły dotyczące tematu: iCloud

dodany: 23.03.2013 | tagi: , ,

Kolejna wpadka Apple

0

Apple ostatnio robi sobie czarny PR – co chwilę słyszy się o kolejnych wpadkach firmy…  Ledwo przedwczoraj Apple wprowadziło dwuetapowe uwierzytelnianie do usługi iCloud, a już wczoraj wykryto poważną lukę w ich systemie chmury, która pozwalała na  zresetowanie hasła do konta. Wystarczyło znać adres e-mail ofiary oraz jego datę urodzin – informuje Chris Welch z The Verge.

Słabość tkwiła na stronie resetu hasła iforgot.apple.com/iForgot/iForgot.html – wystarczyło odpowiednio zmodyfikować URL podczas zapytania o datę urodzin. Niestety ze względów bezpieczeństwa modyfikacja adresu nie została opisana.

Przejście do etapu resetu hasła (źródło the Verge)

Przejście do etapu resetu hasła (źródło: The Verge).

Na pocieszenie zostaje fakt, że dwuetapowe uwierzytelnianie chroni przed tym eksploitem – pozostaje jednak pytanie, ile kont w ten sposób zostało przejętych? – a należy mieć świadomość, że w usłudze iCloud może być przechowywany nasz kalendarz, kontakty, dokumenty, zdjęcia – czy może mniej ważne – utwory muzyczne.

 

iNotSecure

Niestety póki co nie wszyscy na świecie mogą skorzystać z ulepszonego mechanizmu logowania, gdyż usługa ta jest dostępna tylko dla niektórych krajów świata, tj: U.S.A. Wielkiej Brytanii, Irlandii, Australii i Nowa Zelandii.

Apple poważa tylko te kraje, gdzie sprzedaż ich produktów jest na zadowalającym dla nich poziomie?

Wiele osób, dla których usługa dwuetapowego uwierzytelniania jest dostępna i tak musi poczekać 3 dni na aktywowanie takiego uwierzytelniania!

 

Próba włączenia dwu-etapowego uwierzytelniania w iCloud (źródło The Verge)

Próba włączenia dwuetapowego uwierzytelniania w iCloud (źródło: The Verge).

 

Nie dziwi chyba fakt, że Polska jest tą gorszą częścią świata dla Apple, dlatego jedyną metodą na utrudnienie przejęcia konta, była zmiana daty urodzenia. Na szczęście Apple naprawiło problem. Po tym jak potwierdziło usterkę, wyłączyło usługę resetu hasła.

 

dodany: 01.03.2013 | tagi: , , ,

Apple cenzuruje e-maile do swoich użytkowników

0

Najwyraźniej Apple chce mieć najbezpieczniejszą z bezpiecznych usług pocztowych. Dzięki filtrowania poczty w iCloud część z nich nie dociera do odbiorców. Wg Macworld e-maile, które zawierały określone frazy, nawet w skompresowanym dokumencie PDF, były automatycznie wychwytywane i nie docierały do odbiorcy. Żadnego znaczenia nie miało tu nawet oznaczenie nadawcy jako zaufanego, co wskazuje, że Apple wie lepiej, komu użytkownik może zaufać.

Problem wyszedł na jaw, gdy użytkownicy zauważyli, że e-maile od zewnętrznych nadawców ze słowami barely legal teen miały problem z dotarciem do odpowiedniej skrzynki odbiorczej w iCloud. Ta sama sytuacja dotyczyła zarówno wiadomości posiadających dane słowa w zawartości, jak i załączonym pliku PDF i jego skompresowanej wersji. Problem w tym, że po ich wysłaniu ślad po nich zaginął. Żadnego powiadomienia czy odesłania do nadawcy.

Co ciekawe, gdy identyczne e-maile wysłane zostały z kont iCloud, wszystko działało bez problemu i trafiały one do skrzynki odbiorczej adresata.

Apple powiedziało Macworld, że wiedzą o takim działaniu filtra:

Czasami zautomatyzowane filtry antyspamowe mogą niepoprawnie blokować legalne e-maile. Jeśli klient uważa, że wiadomość została zablokowana bez przyczyny zachęcamy do zgłaszania tego do AppleCare.

Moje pytanie brzmi: jak klienci mogą zgłosić takie rzeczy, jeśli nie mają zielonego, ani żadnego innego pojęcia, że taki e-mail nie dotarł? Przecież po wysłaniu przez nadawcę e-mail znika. Wiem, że zostaje w wysłanych u nadawcy, ale dość łatwo to przeoczyć. Nie mówiąc już o nieprzyjemnościach, jakie mogą spotkać nadawcę i odbiorcę.

Poza tym, jeśli filtry przychodzącej poczty Apple odrzucają maile po frazie barely legal teen to, ciekawi mnie co jeszcze tkwi w czeluściach apple’owych centrów danych.

dodany: 08.08.2012 | tagi: , , ,

Jak trzymać hakerów zdala od Twojej chmury

1

Wszyscy już znamy opowieść o cyfrowej niedoli Mata Honana. Może, a nawet powinna ona służyć jako przykład dla innych, którzy przechowują wiele, jeśli nie wszystkie, danych osobowych w Internecie. Istnieje wiele praktyk, które uniemożliwią cyfrowym szpiegom zbieranie informacji z włamania do jednego konta, a które umożliwią na dalszą penetrację naszych danych.

Haker atakujący wykorzystał doświadczenie w technologii oraz inżynierii społecznej. Wykorzystajego publiczną stronę na LinkedIn, aby uzyskać jego adres Gmail. Następnie użyli Gmaila do wyświetlenia strony odzyskiwania konta. Wtedy znaleźli garnuszek pełny złota na końcu tęczy.

Strona odzyskiwania zawiera adres e-mail – usiany gwiazdkami – gdzie informacje dostępu do konta zostają wysłane w sytuacji, gdy zgubisz lub zapomnisz hasła. Pomimo gwiazdek, adres był stosunkowo łatwy do odszyfrowania. Było to tym łatwiejsze, że był to adres Apple.

Hakerzy dobrze wiedzieli, że potrzebują 3 informacji w celu uzyskania nieautoryzowanego dostępu do konta Apple Honana:

  1. adresu pocztowego,
  2. adresu e-mail,
  3. 4 ostatnich cyfr numeru karty kredytowej przypisanej do konta.

Mieli już adres e-mail. Hakerzy odkryli także, że Honan ma zarejestrowaną domenę i używał jej w celu uzyskania adresu pocztowego z WHOIS, internetowego katalogu abonentów domen.

Wreszcie, z pomysłowym wykorzystaniem inżynierii społecznej, byli w stanie włamać się do konta Honana na Amazonie i uzyskać jego numer karty kredytowej, którego potrzebowali.

Od kiedy wiadomo, co się stało Honanowi, Amazon i Apple postanowiły zamknąć usługi, które ułatwiły hakerom atak. Amazon nie pozwala już zmienić ustawień swojego konta przez telefon. Apple zamroził rozdawanie Apple ID na telefon.

Choć Amazon i Apple zamknęły dwa z trzech głównych wektorów ataków w sprawie Honana, można powiedzieć o szeregu środków bezpieczeństwa rekomendowanych przez ekspertów ds. bezpieczeństwa, które podejmują konsumenci, aby zapobiec, lub – w najgorszym przypadku – ograniczyć szkody wyrządzone  przez podobne ataki w przyszłości.

Można je podzielić na 5 przykazań:
1. Twórz kopię zapasową swoich danych
Przechowując wszystkie dane w chmurze Honan sam ukręcił na siebie bata. Dlatego dobrze jest mieć co najmniej jedną kopię zapasową danych magazynowanych w chmurze. Chmura jest wygodna, ale – jak widać  – wypadki chodzą po ludziach.

2. Nie łącz kont
Wiążąc ze sobą kilka kont internetowych Honan ułatwił hakerowi złamanie do nich dostępu i bezpośredni wjazd do jednego z nich bez większych problemów.

3. Zastosuj dwustopniowe uwierzytelnianie
Haker był w stanie wykorzystać konto Gmail Honana, ponieważ dziennikarz nie aktywował dwuskładnikowego uwierzytelniania. Te dwa składniki to nazwa użytkownika i hasło oraz coś, co posiada każdy z nas – telefon komórkowy. Z włączoną usługą dwuskładnikowego uwierzytelniania przy próbie odzyskiwania konta, Google wyśle kod do Twojego telefonu komórkowego, który został wskazany jako składnik uwierzytelniania.

4. Poświęć jedno konto e-mail na odzyskiwanie konta
Kiedy hakerzy zobaczyli, jakiego Honan użył adresu e-mail do odzyskania poświadczeń do jego kont ucieszyli się. Nie chodziło tylko o to, że było to konto Apple, ale o to, że dało się łatwo do niego dostać i było to dziecinnie proste.
I pamiętaj: nazwa konta odzyskiwania nie powinna być prosta do wykombinowania.

5. Sprywatyzuj informacje o sobie na WHOIS
Jeśli jesteś właścicielem domeny, musisz użyć kontroli prywatności WHOIS do maskowania Twojego adresu. Jest to dobre rozwiązanie do ukrycia swojego adresu gdziekolwiek pojawiasz się w Internecie, np. Facebook czy właśnie LinkedIn.

Jeśli Honan trzymałby się tych prostych 5 zasad nie straciłby danych z chmury, albo straciłby ich tylko część. Z resztą sam przyznał się, że jako dziennikarz zajmujący się taką, a nie inną tematyką powinien wiedzieć lepiej i być zabezpieczony. No cóż, nie od dziś wiadomo, że szewc bez butów chodzi… do pierwszego odmrożenia.

dodany: 06.08.2012 | tagi: , , ,

iPowódź z iCloud

5

To jeden z najgorszych scenariuszy, który może przytrafić się użytkownikowi iCloud. Mat Honan, dziennikarz Wired’s Gadget Lab, jak wielu użytkowników produktów Apple’a trzymał całą zawartość swojego iPhone’a, iPad’a i MacBooka Air w jabłkowej chmurze.

W ciągu 15 minut stracił kontrolę nad swoim kontem na Gmailu, Twitterze, a  jego dane w chmurze zostały wymazane. Najgorsze jest to, że miał mocne, siedmioznakowe alfanumeryczne hasło. Apple potwierdził Honanowi, że to jego personel ds. pomocy technicznej zapewnił hakerowi dostęp do jego danych, dzięki sprytnej inżynierii społecznej.

Dziennikarz nie jest jedyną ofiarą takiego działania, ale z pewnością najsławniejszą. Eksperci ds. bezpieczeństwa twierdzą, że  „bardzo niepokojące” jest to, że pracowników Apple’a można tak łatwo oszukać, kiedy nawet sam współzałożyciel firmy, Steve Wozniak uważa, że przejście do cloud computing będzie powodować ogromne problemy w ciągu najbliższych 5 lat.

Wszystko potoczyło się szybciej niż lawina w momencie uzyskania przez hakera dostępu do konta iCloud, którego właścicielem był Honan i które poza magazynowaniem danych potrafi też wyśledzić zdalnie urządzenia Apple’a, gdy znajdą się w niepowołanych rękach. Gdy haker uzyskał dostęp do konta na iCloud, był w stanie zresetować hasło Honana przed wysłaniem potwierdzającego reset maila do kosza. Ponieważ konto gmailowe dziennikarza było powiązane z jego adresem .mac, haker mógł również zresetować hasło w usłudze Gmail, wysyłając maila odzyskującego hasło na jego adres .mac.

Kilka minut później pirat komputerowy za pomocą iCloud wymazał wszystkie dane z jego iPhone’a, iPad’a i MacBook’a. Kiedy uzyskał dostęp do konta Gmail Honana, uzyskał łatwy dostęp również do innych kont w takich miejscach, jak np. Twitter. Wykorzystał tę możliwość do wysłania kliku postów o rasistowskiej i homofobicznej treści.

Na swoim blogu Honan napisał, że w momencie, w którym padł mu iPhone zirytował się, ale nie podejrzewał ataku hakerskiego. Nie zrobił się też bardziej podejrzliwy w chwili, gdy nie mógł zalogować się do iCloud’a. Gdy odpalił swojego MacBook’a w celu przywrócenia danych z kopii zapasowej i zobaczył na czarnym tle komunikat mówiący, że informacje o jego koncie Gmail się nie zgadzają i ma wpisać czterocyfrowy PIN wiedział już, że coś nie gra. Jego iPad również został zresetowany. Honan został kompletnie odcięty od telefonu i komputera.

Obsługa techniczna Apple’a nie mogła zrobić praktycznie nic, żeby pomóc Honanowi. Utwierdziła go jedynie w przekonaniu, że   jego dane zostały bezpowrotnie stracone. Ostatecznie Honanowi udało  się wskrzesić iPhone’a, ale ponieważ używa Google Voice, a całe jego konto Google zostało usunięte, nie mógł wysyłać i odbierać SMS-ów czy też dzwonić gdziekolwiek. Wszystko, co mógł zrobić, to grzecznie czekać na decyzję Google’a o przywróceniu jego konta. Na Twitterze Honan napisał, że choć użył narzędzia do zarządzania hasłami o nazwie 1Password, to nie zapewniło mu to żadnej ochrony w momencie włamania na jego konto.

Bycie znanym dziennikarzem w tej branży ma swoje dobre strony. Zarówno Google, jak i Twitter postanowiły przywrócić Honanowi jego konta. Honan odebrał także telefon od hakera, który rozpętał ten koszmar i który powiedział, że dostęp do jego konta nastąpił za pośrednictwem wsparcia technicznego firmy Apple i sprytnej inżynierii społecznej, która pozwala na omijanie pytań o bezpieczeństwo.

Apple poinformował dziś Honana, że został oszukany przez hakera i zapewnił, że od teraz tylko jedna osoba będzie mogła wprowadzić zmiany do jego konta. Dodatkowo zobowiązał się do próby odzyskania danych zapisanych na MacBook’u dziennikarza. Na swoim blogu Honan nie obwinia tylko hakera czy Apple’a, ale także siebie. W artykule wymienia wszystkie błędy, jakie popełnił: nie zdecydował się na dwustopniowe uwierzytelnianie i nie zapisał ważnych danych na więcej niż jednym nośniku danych. Za błąd uważa także to, że jego konta były powiązane ze sobą.

Jak widać, nie tylko Polak jest mądry po szkodzie.

dodany: 06.08.2012 | tagi: ,

Współzałożyciel firmy Apple: „Cloud computing to problemy”

0

W waszyngtońskim teatrze Woolly Mammoth, Mike Daisey – znany, kontrowersyjny aktor – przedstawił dwugodzinny monolog pt. „Agonia i ekstaza Steve’a Jobsa”, który porusza temat siły roboczej pracującej w Chinach dla Apple’a.

Po swoim wystąpieniu monologista wdał się w dyskusję ze Stevem Woźniakiem, amerykańskim wynalazcą polskiego pochodzenia, współzałożycielem firmy Apple. Przyłączyła się do nich widownia.

Steve Woźniak – 61-letni, brodaty mężczyzna, w sportowych butach do biegania i z masywnym zegarkiem na ręku – mówił bardzo szybko. Poruszał wiele różnych tematów, takich jak np. edukacja publiczna (w swoim życiorysie ma epizod nauczycielski) czy program rozrywkowy (pojawił się w amerykańskiej edycji „Tańca z gwiazdami”). Jednak zdecydowanie najwięcej miejsca w rozmowie poświęcił cloud computing, czyli wykorzystywaniu przez przedsiębiorstwa usług dostarczanych przez zewnętrzne organizacje.

„Bardzo martwię się o wszystko, co wiąże się z cloud computing. Myślę, że w ciągu następnych 5 lat pojawi się wiele straszliwych problemów [z tym związanych]”

– powiedział. Dodał też:

„Jeśli korzystasz z chmury, niczego nie posiadasz. [Ja] chcę czuć, że rzeczy do mnie należą”.

Wyraził obawę, że im więcej korzystamy z usług w chmurze, tym mniejszą mamy kontrolę nad własnym biznesem.

„Wszystko, co zaprojektowałem, powstało w mojej głowie, nie na podstawie książki”

– wspominał Woźniak. Odszedł z Apple’a w 1987 roku, po 12 latach pracy. Następnie uczył piątoklasistów, podróżował i wykładał oraz wydał trochę fortuny na cele dobroczynne.

Steve Woźniak i Mike Daisey spotkali się już wcześniej – miało to miejsce w 2011 roku w Kalifornii. Monologista przedstawił wtedy oryginalną wersję „Agonii i ekstazy Steve’a Jobsa”. Tekst dotyczył trudnej sytuacji robotników pracujących w fabryce Foxconn, produkujących iPhone’y i iPad’y dla Apple’a. Po przedstawieniu panowie zaczęli ze sobą rozmawiać. Woźniak był ponoć bardzo wzruszony.

Jednak później okazało się, że Daisey przekłamał wiele fragmentów w swoim dziele. Performer, chcąc dodać dramatyzmu swojej historii, zmyślił wiele faktów.

Wiele osób dało się nabrać. Nawet Public Radio International, które wyemitowało fragment wystąpienia pt. „Mr. Daisey and the Apple Factory” w bardzo popularnej audycji radiowej „This American Life”. Sam Daisey nie przejmował się zarzutami mówiąc, że nie jest dziennikarzem, ale aktorem. W międzyczasie przerobił scenariusz przedstawienia, aczkolwiek nie złagodził jego wymowy.

Wiele osób, które przyszło na spotkanie wynalazcy komputera Apple I z autorem przedstawienia, zabrało głos w dyskusji. Wypowiedzi dotyczyły głównie tematu siły roboczej Foxconn’a. Woźniak skomentował sprawę mówiąc, że warunki pracy w Chinach ewoluują, kiedy państwo stanie się bogatsze. Ponad to pochwalił Apple’a za uważne nadzorowanie swoich fabryk.

„My (mieszkańcy i konsumenci) wiemy, że mamy głos. Możemy mówić (o warunkach pracy siły roboczej), ale nie możemy mówić, że Foxconn czy Apple jest zły”.

Daisey miał inne zdanie:

„Ewolucja nie byłaby naturalna”,

powiedział.

Podczas gdy Apple projektuje swoje produkty w Stanach Zjednoczonych, wytwarza je w Chinach. Zlecanie produkcji chińskim fabrykom powoduje bezrobocie i długotrwałą ucieczkę kapitału zagranicę. To na pewno będzie temat niejednej kampanii wyborczej w tym roku.

dodany: 06.08.2012 | tagi: , ,

Dziennikarz obwinia Apple za atak na iCloud

1

Były reporter Gizmodo Mat Honan obwinia AppleCare za to, że pozwolił na zhakowanie jego prywatnego konta e-mailowego oraz konta na Twitterze. O atakach można przeczytać w oficjalnym oświadczeniu, które pojawiło się na blogu technologicznym.

Najpierw miał miejsce atak na twitterowe konto Gizmodo – bloga technologicznego. Prawdopodobnie przeprowadziła je osoba lub grupa, określająca siebie jako Clan W3. Włamanie było krótkie, ale przyniosło namacalne skutki. Przez zhakowane konto na Twitterze do wszystkich 415 000 śledzących profil bloga zostały rozesłane rasistowskie i agresywne w treści tweety. Gizmodo z początku obwiniał o atak swojego byłego pracownika. Szybko też udało mu się odzyskać kontrolę nad kontem na Twitterze.

Drugi atak był wycelowany w Honana, który obecnie pracuje dla magazynu Wired. Dziennikarz nie miał tyle szczęścia, co Gizmodo. W poście na swoim blogu Tumblr, opisał swoje przypuszczenia co do tego, jak jego konto na iCloud zostało zaatakowane przez hakera, który wyczyścił jego urządzenie z danych i pozyskał dostęp do jego kont w Gmailu i na Twitterze. Stwierdził, że Apple padł ofiarą inżynierii społecznej. Jest to jedna z metod stosowanych przez cyberprzestępców. Polega na uzyskiwaniu informacji od nieświadomych niczego użytkowników urządzeń/programów/aplikacji za pomocą różnych technik. Do jej przeprowadzenia, hakerzy wykorzystują ich niewiedzę bądź łatwowierność. Dzięki temu bez problemu pokonują zabezpieczenia, zwykle trudne do obejścia lub odporne na ataki. Tak więc do hakowania wykorzystują najsłabszy punkt systemu bezpieczeństwa, jakim jest człowiek.

W poście na swoim blogu Hanan napisał:

 „Teraz już wiem, jak atak został przeprowadzony. Potwierdził to zarówno sam haker, jak i firma Apple. Atak nie był powiązany z kradzieżą hasła. Oni [hakerzy] dostali się na konta poprzez [ang. loophole – lukę] AppleCare oraz dzięki użyciu jakiejś sprytnej metody socjotechnicznej, która pozwoliła im obejść bezpieczną warstwę ochronną. Apple ma mojego Macbook’a i stara się odzyskać dane. Mam już dostęp do wszystkich moich kont, o których wiem, że zostały pozamykane. Wciąż staram się ustalić, gdzie hakerzy mogli się jeszcze włamać”.

Honan twierdzi, że ataki zaczęły się 3 sierpnia wieczorem, kiedy ktoś uzyskał dostęp do jego konta na iCloud i zresetował hasło. To umożliwiło zdalne wyczyszczenie iPhone’a, iPad’a, MacBook’a Air oraz przejęcie konta na Twitterze. Honan na blogu opisuje także jakim wyzwaniom musiał stawić czoła, żeby odzyskać kontrolę nad urządzeniami i zablokowanymi kontami.

Napisał, że początkowo podejrzewał hakera o użycie bezwzględnej siły, do wykradzenia jego siedmiocyfrowego alfanumerycznego hasła. W zaktualizowanym poście można przeczytać, że z Honanem skontaktował się ktoś, kto podał się za hakera. Napisał do niego:

„didnt guess ur password or use bruteforce. i have my own guide on how to secure emails” („nigdy nie zgadywałem twojego hasła ani nie używałem brutalnej siły. mam swój własny przewodnik na temat tego, jak zabezpieczać e-maile”).

Apple twierdzi, że po ataku z udziałem Honana zaczął przyglądać się, jak użytkownicy resetują swoje hasła do kont. W komentarzy dla magazynu „Wired” Natalie Kerris, rzeczniczka prasowa Apple’a, powiedziała:

„Apple bardzo poważnie podchodzi do kwestii bezpieczeństwa użytkowników i stosuje wiele różnych form weryfikacji przy resetowaniu hasła Apple ID.

W tym pojedynczym przypadku, dane użytkownika były narażone na szkody przez osobę, która pozyskała informacje o użytkowniku. (…) Jesteśmy w trakcie przeglądania naszych procesów resetowania haseł do konta, by upewnić się, że dane naszych użytkowników są bezpieczne”.