Ostatnie miesiące dobitnie pokazały, jak bezbronni dzisiaj jesteśmy. Nowe technologie sprawiają, że praktycznie 24 godziny na dobę jesteśmy wystawieni na atak. Atak na naszą prywatność. Czy dzisiaj nie możemy już czuć się bezpieczni? Czy nie ma sposobu na ochronę przed włamaniem do tabletu?
Tegoroczny, słynny atak na iCloud to znak naszych czasów. Skandal, w wyniku którego do Internetu wyciekły prywatne dane i zdjęcia wielu użytkowników iCloud, w tym rozbieranych zdjęć celebrytek, dostarczył sporo emocji. Nie tylko tych wizualnych, bo przecież podobną ofiarą, co Kate Upton, Kirsten Dunst czy Jennifer Lawrence, mógł stać się każdy z nas. Czy to oznacza, że dzisiaj nasza prywatność nie jest już żadną świętością? Czy prywatne dane przechowywane przez nas na laptopach, smartfonach czy tabletach, są w niebezpieczeństwie? Niestety tak, bo usługi w chmurze są dzisiaj dziurawe jak powietrze…
Piękne i podglądane
Mimo iż problem wycieku zdjęć z iClouda był ekstremalnie poważny, to media potraktowały go po macoszemu, nie traktując go jako materiału na merytoryczną rozprawę o bezpieczeństwie, a okazję do podglądania „pięknych i bogatych”. I przy okazji niezadowolonych, bo sposób, w jaki nagie zdjęcia wyciekły nie przysporzył się prawdopodobnie nawet najmniej wymagającej pseudo-gwiazdce. Sensacje i skandale krzyczały z nagłówków gazet i portali, a w centrum tego wszystkiego był zwykły Kowalski, który zastanawiał się, dlaczego niby jego to dotyczy?
Powód jest prosty. Mimo iż najsłynniejszymi ofiarami wycieku prywatnych danych z iCloud były gwiazdy Hollywood, to ten bezprecedensowy atak nie był skierowany personalnie przeciwko celebrytom, a zwyczajnym ludziom. Celem nie była kradzież kompromitujących zdjęć, a złamanie zabezpieczeń dysku wirtualnego iCloud. Po kilku godzinach od nagłośnieniu zdarzenia, media zaczęły donosić, że wszystkiemu winna jest funkcja Find My iPhone, która umożliwiła dokonanie ataku typu brute force (metody siłowej), który polega na sprawdzenie wszystkich możliwych znaków dla danego hasła. Metoda ta jest powolna i żmudna, i raczej nierealna do wykorzystania w tych okolicznościach. Dlaczego? Czytajcie dalej.
Otwartą furtkę dla cyberprzestępców zostawiła nie sama aplikacja Find My iPhone, co dostarczone do niej API (interfejs programistyczny aplikacji, czyli ściśle określony kodeks, zgodnie z którym programy komunikują się między sobą), w którym popełniono szkolny błąd. Nie zabezpieczono go przed próbami wielokrotnego logowania, a przecież właśnie taki mechanizm jest wykorzystywany przez ataki typu brute force. W wyniku tego niedopatrzenia, po kilkukrotnym wpisaniu błędnego hasła, konto nie było blokowane, a pozwalało na przeprowadzanie kolejnych prób. Pominięto absolutny standard, bez którego nie mogłaby dzisiaj funkcjonować choćby bankowość elektroniczna.
Mimo iż lukę w zabezpieczeniach załatano stosunkowo szybko po wykryciu, to wystarczyło to do pozyskania ogromnych ilości prywatnych danych z iCloud. Nie potrzeba było do tego nadnaturalnej filozofii. Atak typu brute force jest bardzo prosty w działaniu i zadziwiająco skuteczny. Opiera się on an czystej matematyce – polega na wypróbowaniu wszystkich kombinacji z powtórzeniami zbioru dostępnych znaków (małe, duże litery, znaki specjalne). Pierwszą fazą ataku typu brute force jest generowanie haseł o minimalnej wymagającej długości – w przypadku Apple ID 8-znakowych. W praktyce jest dostępnych ok. 90 liter, cyfr i symboli. Łatwo można policzyć zatem, ile jest możliwych kombinacji. Dla hasła jednoznakowego (niedozwolonego) byłoby to 90 kombinacji. Dla haseł dwuznakowych jest to 90*90 symboli, czyli 8100. Trzy znaki to już 90*90*90, czyli już 729000 kombinacji. Wymagane przez Apple 8 znaków to 90*90*90*90*90*90*90*90, czyli 4304672100000000. Zakładając nawet optymistyczny wariant sprawdzania 10 haseł na sekundę, niemożliwe jest odgadnięcie tak wielu różnych 8-znakowych haseł metodą typu brute force. Sprawnemu hakerowi zabrałoby to ponad 13 tys. lat.
Bardziej prawdopodobne, że w tym konkretnym przypadku zastosowano inny typ ataku, np. atak słownikowy. Opiera się on na wykorzystaniu słownika najpopularniejszych haseł oraz często stosowanych słów ze słownika danego języka. Pomysł jest genialny w swojej prostocie, bo wciąż zaskakująco dużo osób stosuje hasła typu „misiaczek86” czy „kochamTomeczka33”. Niewykluczone, że zastosowano romantyczne z nazwy tablice tęczowe, czyli bazy skrótów wykorzystywane w łamaniu haseł zakodowanych jednokierunkową funkcją skrótu.
I właśnie tak – wykorzystując banalną lukę w API – złamano coś, czego złamać dać się nie powinno. Ponieważ zdarzyło się to już raz – na tak szeroką skalę, może powtórzyć się równie niespodziewanie. Wszyscy jesteśmy zagrożeni. Chyba, że zaczniemy lepiej zabezpieczać nasze prywatne dane. Wbrew pozorom, można to zrobić na kilka prostych sposobów.
Jak się zabezpieczyć?
Informacja o skandalicznym niedopatrzeniu Apple obiegła cały świat. Gigant zarządzany przez Tima Cooka, jedno z największych mocarstw technologicznych świata, musiał się tłumaczyć. W specjalnym oświadczeniu zasugerowano także, co należy zrobić, by czuć się bezpiecznie z własną „Chmurą”:
Informacja o kradzieży nas oburzyła i natychmiast zmobilizowaliśmy naszych inżynierów do znalezienia źródła wycieku. Prywatność i bezpieczeństwo naszych użytkowników są dla nas najważniejsze. Ponad 40-godzinne śledztwo ujawniło, że niektóre konta gwiazd zostały przechwycone w wyniku ukierunkowanego ataku na loginy, hasła i pytania bezpieczeństwa, co jest powszechnym zjawiskiem w Internecie. Żaden ze znanych nam przypadków nie jest wynikiem złamania zabezpieczeń którejkolwiek z usług Apple, w tym iCloud oraz Find My iPhone. Zamierzamy dalej współpracować z organami ścigania, aby pomóc w schwytaniu przestępców. Aby w przyszłości zabezpieczyć się przed tego typu atakami, polecamy używać silnego hasła oraz włączyć weryfikację dwuetapową. Szczegółowe instrukcje znajdziecie na support.apple.com.
No właśnie, cóż zatem można zrobić, by czuć się bezpieczniej? Wystarczy zastosować się do kilku prostych reguł, które jak mantra są powtarzane na każdych warsztatach i wykładach dotyczących bezpieczeństwa w Sieci. Oto 7 najważniejszych:
1. Włącz funkcje pozwalające odnaleźć zgubiony tablet. Kradzież lub zgubienie własnego urządzenia przenośnego – niezależnie od tego czy jest to laptop, tablet czy smartfon – zawsze boli. Każdy z głównych systemów operacyjnych (Android, iOS, Windows) jest wyposażony w specjalne narzędzie pozwalające na namierzenie sprzętu, zdalne wyczyszczenie danych i zablokowanie jego podstawowych funkcji. Zdarzają się sytuacje, że trzeba posunąć się do tak radykalnych środków. Ale czasami warto do urządzenia dołączyć numer zastępczego telefonu lub ewentualną informację o nagrodzie dla znalazcy. Może obejdzie się bez kasowania danych.
2. Wszystko szyfruj. Własnych haseł nie warto trzymać zapisanych w dokumencie tekstowym czy na kartce schowanej w portfelu. Mogą one wyciec w najmniej spodziewanym momencie. Aby skutecznie ochronić się przed rozpowszechnieniem naszych danych, warto skorzystać z programów szyfrujących. W takiej postaci, odpowiedni zaszyfrowane, można je trzymać w każdym dokumencie czy nawet w jednej z usług w chmurze. Niektóre wersje systemów umożliwiają zaszyfrowanie całego dysku (BitLocker dostępny w Windowsach z „Pro” w nazwie).
3. Nie pozwól się namierzyć. W miarę możliwości warto ograniczyć usługi lokalizacyjne w naszym sprzęcie mobilnym. Dodając wpisy z geotagiem na Facebooku czy Twitterze można zameldować się złodziejowi i w subtelny sposób wyjawić, że akurat nie ma nas w domu. Tego typu wiedza nie jest potrzebna naszym znajomym, a złodziejom jak najbardziej.
4. Nie przenoś wrażliwych danych na USB. Wymienne nośniki flash to bardzo przydatne urządzenia, ale bardzo łatwo można je zgubić. A jeszcze gorzej, gdy pendrive zostawimy przez chwilę bez opieki, a ktoś zaaplikuje nam na niego wirusa, który kopiuje zawartość. Ważnych dokumentów, numerów kont bankowych czy nagich fotek, nie powinno się przenosić na dyskach USB. To prawdopodobnie najtrudniejsze do zabezpieczenia gadżety elektroniczne, bo tak łatwo można się do nich dostać na każdym kroku.
5. Nie udostępniaj kompromitujących zdjęć na iCloud. Ten punkt chyba nie wymaga dodatkowego komentarza. Robienie sobie nagich zdjęć, a następnie przekazywanie ich osobom, które chcielibyśmy, by te fotki miały, nie jest niczym niestosownym. W końcu wszyscy mamy po 18 lat. Ale lekkomyślne szafowanie własną prywatnością to już inna sprawa. Zdjęcia, które w jakimś stopniu odsłaniają naszą intymność, nie powinny w ogóle pojawić się na iCloud. Oczywiście, to kwestia ideologiczna, ale takie zdjęcie znacznie lepiej wysłać drogą elektroniczną (odpowiednio zabezpieczone).
6. Używaj protokołów SSL/HTTPS w serwisach społecznościowych. Większość portali społecznościowych robi to standardowo, ale od czasu do czasu warto sprawdzić czy w pasku adresu przeglądarki aby na pewno znajduje się magiczne „htpps://”. No i dobrze też sprawdzić czy na pewno pracujemy w środowisku, w którym załatano błąd Heartbleed.
7. Używaj dwustopniowej weryfikacji. Dwustopniowa weryfikacja to obok silnego hasła, jeden z podstawowych mechanizmów jakie warto zastosować, by być bezpiecznym w Sieci. Nie każdy serwis, na którym mamy założone konto wymaga dwustopniowej weryfikacji, ale konto bankowe, poczta e-mail czy dyski sieciowe warto zabezpieczyć w ten sposób. W tego typu zabezpieczeniu, drugi etap hasła (kod SMS lub automatycznie generowany PIN) są wyświetlane na telefonie, do którego tylko my powinniśmy mieć dostęp.
Niektóre odnośniki na stronie to linki reklamowe.
A ja oprócz szyfrowania korzystam jeszcze z takiego, częściowo darmowego, narzędzia jak copyact ( copyact.com )- nic lepszego na razie nie znalazłam, aby czasami moje jakieś fotki czy teksty trafiły nie tam gdzie trzeba. Zamówiłam sobie jeszcze (to już dodatkowo płatna usługa) automatyczne powiadomienia, jeśli coś się zadzieje z moją twórczością.
A ja trzymam w Chmurze osobistej Netii i wiem, że wszystkie moje pliki są tam bezpieczne!
O! Jednak iCloud trzeba zabezpieczać?
Nie trzymam absolutnie żadnych zdjęć i plików w wirtualnych przestrzeniach dyskowych. Tylko karta pamięci i pamięć flash.