4 сентября 2014 г.
Выложенные в Интернет в минувший уикенд фото обнаженных знаменитостей — актрисы Дженнифер Лоуренс (лауреата премии «Оскар»), певицы Арианы Гранде и модели Кейт Аптон — подняли бурю возмущения и вопросы о защищенности iCloud у Apple и аналогичных сервисов других поставщиков.
Потратив 40 часов на выяснение всех обстоятельств, Apple сообщила, что эта утечка интимных фотографий знаменитостей не является результатом взлома серверов компании, а результат прицельного фишинга, направленного против этих персон.
«Мы обнаружили, что аккаунты определенных знаменитостей были взломаны посредством очень прицельной атаки на их имена пользователя, пароли и контрольный вопрос — практики, ставшей слишком уж распространенной в Интернете. Ни один из расследованных нами случаев не был результатом какого-либо вторжения в системы Apple, включая iCloud и Find my iPhone, — говорится в заявлении компании. — Мы продолжаем сотрудничать с правоохранительными органами, чтобы помочь установить причастных к взлому».
О происшествии стало известно в праздничный уикенд, когда изрядная порция интимных фото знаменитостей была сначала выложена в воскресенье на сайт 4chan.org, где публикуются изображения для обмена. При этом некоторые из фотографий, по словам самих пострадавших, были поддельными, хотя Лоуренс подтвердила, что по крайней мере одна ее фотография подлинная. Судя по всему, злоумышленники воспользовались сервисом «Find my iPhone», чтобы получить доступ в облако iCloud.
API-интерфейс сервиса «Find my iPhone» должен был не дать взломщику проникнуть в аккаунты знаменитостей, говорит Роб ван ден Бринк, старший инженер-консультант VAR-компании Metafore, который занимается анализом угроз в Sans Internet Storm Center. Люди, которые дорожат своими архивами, должны обеспечить, чтобы был установлен более высокий уровень защиты, сказал он.
«После того, как пароль аккаунта наконец угадан, все данные iCloud этого аккаунта становятся доступны атакующим, — пишет ван ден Бринк в своем анализе этого случая. — Так что [тут] никакой высшей математики, никакого сверххакинга, а лишь только неприкрытая поверхность атаки, элементарные навыки кодирования плюс некая доля упорства».
Эксперты постоянно твердят, что вина часто лежит на самих пользователях, имеющих слабые либо одни и те же пароли на всех своих веб-сервисах. В конце концов, это первейшая задача пользователя — обеспечить должную защищенность своих данных посредством сильных и недублируемых паролей, а если требуется, то и других мер защиты, говорит аналитик ИБ фирмы Tripwire Кен Уэстин.
«Так же, как и везде. Идя по улице, вы будете в безопасности, только если следите за тем, что вокруг, — говорит он. — Вы должны сами заботиться о том, чтобы не углубляться в опасные районы, и тому подобное. То же самое и в Сети».
Пострадавшие знаменитости могли и не знать, что их персональные данные и фотографии мгновенно переносятся в iCloud, говорит Уэстин. Пользователи должны знать настройки по умолчанию и сохранять осторожность, подчеркнул он.
Новость может иметь негативные последствия для Apple, считают VAR’ы.
Apple получила пиар-проблему, говорит Аллен Фокон, главный управляющий VAR-компании Cumulus Global. И момент не самый подходящий, ведь по слухам компания готовится произвести фурор на рынке мобильных платежей и в сфере здравоохранения — двух областях, имеющих дело с конфиденциальной информацией, — уже на следующей неделе.
«Далеко не лучший момент, чтобы всё это случилось у Apple, учитывая, что ожидается на следующей неделе, однако неясно, это проблема с Apple или iCloud, — говорит Фокон. — Им нужно усилить то, что они говорят о безопасности, но не думаю, что это убьет то, о чем они объявят. Меня бы очень удивило, если бы они упомянули это прямо на своей презентации. Наверно, там будет больше информации и ключевых пунктов о безопасности, чем было бы в ином случае».
Компании нужно призвать своих пользователей перейти к двухфакторной аутентификации и посоветовать клиентам использовать более сильные меры безопасности, говорит Майкл Акино, директор по облачным услугам MSP-компании Cetan, а поставщикам решений нужно помочь клиентам, предложив соответствующие средства и научив их, какие необходимы меры безопасности, чтобы защитить данные в облаке, сказал он.
«Пароль — это так просто, но он так уязвим, — говорит Акино. — В конечном счете, (ИТ-сообщество) должно будет предложить что-то другое».
Иметь базу пользователей, просвещенную в плане интернет-угроз — это очень важно, говорит Чед Бёкманн, учредитель и главный управляющий VAR-компании Secure Digital Solutions.
«Грубый взлом — один из самых древних способов вскрытия аккаунтов, какой мы знаем в наш компьютерный век. Видеть, что это применяется к облаку, — в этом нет ничего удивительного, — говорит он. — Пользователям должны высылаться предупреждения, чтобы аккаунт блокировался после нескольких неудачных попыток [войти]. Это дает большую фору пользователю. Я думаю, со стороны поставщика услуг тут очень мало ответственности. Она должна лежать на пользователе, но поставщик услуг должен дать возможность блокировать (аккаунт)».
© 2014. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Саманта Аллен, при участии Роберта Уэстервельта, Рамина Эдмонда, CRN/США