Στον οδηγό αυτό δεν θα βρείτε τις ίδιες τις φωτογραφίες διάσημων, τις οποίες έτσι κι αλλιώς μπορείτε να βρείτε οπουδήποτε στο διαδίκτυο. Αντίθετα, θα κοιτάξουμε στο παρασκήνιο της όλης υπόθεσης, για να δούμε ποιες ήταν ενδεχομένως οι συνθήκες που επέτρεψαν τα διαρρεύσουν εκατοντάδες φωτογραφίες διάσημων από το iCloud.
Προτάσεις συνεργασίας
Τα νέα άρθρα του PCsteps
Γίνε VIP μέλος στο PCSteps
Ποιες φωτογραφίες διάσημων και τι είναι το The Fappening?
Σε περίπτωση που δεν είχατε πρόσβαση στο Internet τις τελευταίες 3-4 μέρες, για οποιοδήποτε λόγο, κατ' αρχάς welcome back.
Κατά δεύτερον, κυκλοφόρησαν στο Internet εκατοντάδες φωτογραφίες διάσημων, που περιλαμβάνουν ονόματα όπως η Jennifer Lawrence, η Kate Upton, και η Kirsten Dunst.
Οι φωτογραφίες αυτές ήταν φωτογραφίες που οι ίδιοι οι εικονιζόμενοι είχαν τραβήξει με το iPhone και το iPad τους, στις προσωπικές τους στιγμές, και είχαν αποθηκευτεί αυτόματα στο iCloud, την υπηρεσία Cloud της Apple.
Η όλη διαρροή ονομάστηκε “The Fappening” από τη γνωστή ιστοσελίδα Reddit.com, συνδυάζοντας τη λέξη Happening (=συμβάν, περιστατικό) με το Fap, την ηχοποίητη / ηχομιμητική λέξη που χρησιμοποιείται στο διαδίκτυο για τον αυνανισμό.
Μάλιστα, κάποιος με επιχειρηματικό δαιμόνιο, έβγαλε και μπλουζάκια σχετικά.
Κενά ασφαλείας στο iCloud
Η αρχή έγινε με τον ερευνητή ασφαλείας Alexey Troshichev, ο οποίος δημιούργησε το εργαλείο iBrute. Πρόκειται για ένα πρόγραμμα, γραμμένο σε Python, το οποίο μπορεί να χρησιμοποιηθεί για το σπάσιμο των κωδικών στο iCloud.
Το iBrute χρησιμοποιεί τη μέθοδο του Brute Force, σε συνδυασμό με ένα σοβαρό κενό ασφαλείας στο iCloud, το οποίο αφορά τη λειτουργία “Find My iPhone”, για να ελέγξει χιλιάδες πιθανούς συνδυασμούς μέχρι να βρει το σωστό κωδικό.
Μάλιστα, το iBrute είναι διαθέσιμο στο GitHub, αν και, σύμφωνα με τον Troshichev, τη Δευτέρα 1 Σεπτεμβρίου (ήτοι, αφού το κακό είχε ήδη γίνει) η Apple διόρθωσε το κενό ασφαλείας που έκανε δυνατή τη χρήση του.
Κυβερνητικές υπηρεσίες
Έχοντας το AppleID και τον κωδικό, μπορεί κάποιος να μπει στο λογαριασμό iCloud του θύματος, και να δει και να κατεβάσει τις φωτογραφίες, οι οποίες αποθηκεύονται αυτόματα στην online υπηρεσία.
Όμως, δεν διέρρευσαν απαραίτητα με αυτόν τον τρόπο οι φωτογραφίες διάσημων.
Το πιθανότερο είναι πως τα Apple ID και τα Password που αποκαλύφθηκαν με το iBrute χρησιμοποιήθηκαν σε συνδυασμό με το εργαλείο Elcomsoft Phone Password Breaker (EPPB), της Ρωσικής εταιρείας ηλεκτρονικής ασφάλειας Elcomsoft.
Η Elcomsoft ουσιαστικά χρησιμοποίησε τη μέθοδο της αντίστροφης μηχανικής για να αναλύσει το πρωτόκολλο επικοινωνίας ανάμεσα στο iCloud και τις συσκευές με το iOS.
Σαν αποτέλεσμα, το EPPB μπορεί να μιμηθεί πλήρως το iPhone ή το iPad του θύματος, όσον αφορά το iCloud. Έχοντας το AppleID και τον κατάλληλο κωδικό, το πρόγραμμα συνδέεται στην υπηρεσία και κατεβάζει ένα πλήρες backup του τηλεφώνου σε ένα φάκελο.
Το Backup αυτό δεν περιλαμβάνει μόνο φωτογραφίες, αλλά και τα βίντεο, τις επαφές, τις ρυθμίσεις των διαφόρων εφαρμογών, τις επαφές, και τα μηνύματα SMS. Συνολικά, δίνει πολύ μεγαλύτερη πρόσβαση σε δεδομένα από το απλό login στο iCloud.
Το Elcomsoft Phone Password Breaker αναπτύχθηκε από την εταιρεία για χρήση από κυβερνητικές υπηρεσίες, όπως η δίωξη ηλεκτρονικού εγκλήματος ή οι υπηρεσίες πληροφοριών.
Όμως η πώληση του προγράμματος, που κοστίζει γύρω στα 400 δολάρια για τη μεγάλη του, Forensic έκδοση, δεν απαιτεί καμία απόδειξη πως ο αγοραστής δουλεύει για την κυβέρνηση. Συν ότι κυκλοφορούν σπασμένες εκδόσεις του προγράμματος μέσω Torrent ή διαφόρων ύποπτων ιστοσελίδων.
Υπάρχουν και άλλα αντίστοιχα προγράμματα, από εταιρείες ασφαλείας όπως η Oxygen και η Cellebrite, αλλά το EPPB φέρεται να είναι το πιο δημοφιλές για τέτοιες διαρροές.
Πώς μπορούμε να προφυλαχτούμε από τέτοιες διαρροές?
Το πιο ανησυχητικό στην όλη υπόθεση με τις φωτογραφίες διάσημων είναι πως, τουλάχιστον όσο λειτουργούσε το iBrute, η όλη μέθοδος χρειάζονταν ακριβώς μηδενικές γνώσεις όσον αφορά το Hacking.
Οποιοσδήποτε με τις βασικές γνώσεις όσον αφορά τους υπολογιστές και τα προγράμματα θα μπορούσε να κατεβάσει το iBrute και το EPPB, να τα τρέξει, και να αποκτήσει πρόσβαση στο online backup εν δυνάμει οποιουδήποτε κατόχου iPhone και iPad.
Στην προκειμένη περίπτωση, μάλιστα, καθώς η όλη μέθοδος βασιζόταν σε κενό ασφαλείας της ίδιας της υπηρεσίας iCloud, μικρό ρόλο έπαιζε το πόσο ισχυρό ήταν το password για το AppleID.
Η ειρωνεία είναι πως, λόγω τραγικής παράλειψης της Apple, ούτε καν η ενεργοποίηση της επαλήθευσης σε δύο βήματα θα μπορούσε να προστατέψει τους λογαριασμούς.
Για αδιευκρίνιστους λόγους, η επαλήθευση σε δύο βήματα δεν καλύπτει το iCloyd, όπως αποκαλύπτει σε άρθρο της η γνωστή ιστοσελίδα TechCrunch.
Εν κατακλείδι, το γεγονός πως διέρρευσαν τόσες φωτογραφίες διάσημων μας διδάσκει τρία πράγματα:
α) Είναι μεγάλο σφάλμα να λαμβάνουμε σαν δεδομένη την ασφάλεια οποιασδήποτε υπηρεσίας cloud, γιατί δεν υπάρχει εφαρμογή ή ιστοσελίδα που να μην έχει κανένα απολύτως κενό ασφαλείας.
β) Δεν χρειάζεται να μας βάλει στο μάτι κάποιος υπερ-χάκερ, υπάρχουν εργαλεία που μπορεί να χρησιμοποιήσει κυριολεκτικά ο κάθε άσχετος.
Γ) Αν θέλουμε ντε και καλά να τραβήξουμε φωτογραφίες, μια απλή ψηφιακή μηχανή με μηδενικές δυνατότητες δικτύωσης είναι σαφώς πιο ασφαλής λύση. Ή, ακόμα καλύτερα…