Uniklé fotografie celebrit: je cloud opravdu (ne)bezpečný?
3.9.2014, Radan Tuhý, článek
Objevuje se stále více otázek souvisejících s bezpečností dat v cloudu, což je reakce na únik nudistických fotografií několika celebrit před 2 dny. Je cloud skutečně nebezpečný? Nebo jde pouze o lidský faktor?
Kapitoly článku:
- Uniklé fotografie: jak to celé začalo
- Jak to bylo doopravdy a co šlo udělat lépe
- Bezpečnost dat v cloudu vs. trendy současnosti, závěr
Zástupci společnosti Apple se v pondělí nechali slyšet, že aktivně vyšetřují příčiny a souvislosti úniku soukromých dat, ke kterému tedy s největší pravděpodobností skutečně došlo. Mluvčí Applu Natalie Kerris také dodala, že společnost bere soukromí svých uživatelů velmi vážně.
Nyní ale k jádru problému. Už od samotného počátku se většině expertů zdálo poměrně nepravděpodobné, že by se někdo fakticky naboural do serverů Applu, na kterých jsou uložena data všech uživatelů. To reflektuje i náš názor, protože faktem zůstává, že většina úniků dat a informací není již prakticky vůbec realizována staromódním „nabouráním se“, ale např. způsobem označovaným jako „Social Engineering“.
Přestože se Apple k celé situaci zatím oficiálně nevyjádřil, během včerejšího dne vyšlo najevo, že provedený útok zřejmě souvisel se softwarem „iBrute“ dostupným na serveru GitHub, který je schopen provést tzv. brute-force útok. Takto označovaný typ útoku znamená, že útočník v podstatě hádá hesla a odesílá je na daný server tak dlouho, dokud se mu nepodaří heslo uhodnout. Pro člověka velmi zdlouhavý, ovšem pro počítač nesrovnatelně rychlejší proces.
Velká část serverů je v dnešní době již vybavena ochranou, která tento typ útoku velmi znatelně ztěžuje, což se ale netýkalo ochrany implementované u služby „Find My Iphone“. Jinak řečeno, Apple zde dovoloval nekonečně mnoho pokusů zadat heslo, čehož tento typ útoku využívá.
Služba Find My iPhone (fotografie pochází z webových stránek apple.com)
Druhá část problému souvisí také s tím, že čím dál více serverů implementuje tzv. dvoufaktorovou autentizaci, kde je jako druhý faktor třeba v případě komunikace z nového zařízení zaslání pinu v e-mailu nebo v SMS na mobilní telefon, přičemž teprve až po jeho zadání je umožněn přístup ke službě a datům.
Apple tuto autentizaci podporuje již delší dobu, avšak nikde to moc nezdůrazňuje. Ve skutečnosti je poměrně náročné o tom najít nějaké informace, a to dokonce i na oficiálních stránkách jeho služeb. V posledních hodinách navíc vyšlo najevo, že aplikace iCloud Backup tuto ochranu nemá implementovánu, proto by aktivace dvoufaktorové autentizace s největší pravděpodobností nepomohla.
Z pohledu uživatelů je problémem prakticky téměř vždy stále stejná věc: slabé heslo. Slabá hesla jsou daleko náchylnější ke všem možným typům útoků, brute-force nevyjímaje. Bude určitě rychlejší uhodnout heslo „password123“, než např. vygenerované dvacetimístné heslo tohoto typu: „1$24xt789Bc!b*s3479x“.
Mohli bychom polemizovat nad tím, zda by v takovémto případě (tedy za použití velmi silného hesla) došlo k úspěšnému přístupu k datům, ale statisticky se pravděpodobnost prolomení takto silného hesla tímto způsobem rovná pravděpodobnosti výhry jackpotu ve Sportce.
Společnosti zabývající se zabezpečením a bezpečností dat sice nejdříve tvrdily, že aktivací dvoufaktorové autentizace šlo úniku zabránit, nyní to ale spíše vypadá, že tomu tak v případě aplikace iCloud Backup nebylo. To ale nic nemění na skutečnosti, že silná hesla jsou důležitá.
Tím jsme se postupně dopracovali k poměrně běžnému závěru naprosté většiny podobných situací, v kterých došlo k úspěšnému nabourání se do cizího účtu nebo k cizím datům: podcenění bezpečnosti uživatelem. Bohužel.
Nyní ale k jádru problému. Už od samotného počátku se většině expertů zdálo poměrně nepravděpodobné, že by se někdo fakticky naboural do serverů Applu, na kterých jsou uložena data všech uživatelů. To reflektuje i náš názor, protože faktem zůstává, že většina úniků dat a informací není již prakticky vůbec realizována staromódním „nabouráním se“, ale např. způsobem označovaným jako „Social Engineering“.
Co mohl udělat Apple lépe
Přestože se Apple k celé situaci zatím oficiálně nevyjádřil, během včerejšího dne vyšlo najevo, že provedený útok zřejmě souvisel se softwarem „iBrute“ dostupným na serveru GitHub, který je schopen provést tzv. brute-force útok. Takto označovaný typ útoku znamená, že útočník v podstatě hádá hesla a odesílá je na daný server tak dlouho, dokud se mu nepodaří heslo uhodnout. Pro člověka velmi zdlouhavý, ovšem pro počítač nesrovnatelně rychlejší proces.
Velká část serverů je v dnešní době již vybavena ochranou, která tento typ útoku velmi znatelně ztěžuje, což se ale netýkalo ochrany implementované u služby „Find My Iphone“. Jinak řečeno, Apple zde dovoloval nekonečně mnoho pokusů zadat heslo, čehož tento typ útoku využívá.
Služba Find My iPhone (fotografie pochází z webových stránek apple.com)
Druhá část problému souvisí také s tím, že čím dál více serverů implementuje tzv. dvoufaktorovou autentizaci, kde je jako druhý faktor třeba v případě komunikace z nového zařízení zaslání pinu v e-mailu nebo v SMS na mobilní telefon, přičemž teprve až po jeho zadání je umožněn přístup ke službě a datům.
Apple tuto autentizaci podporuje již delší dobu, avšak nikde to moc nezdůrazňuje. Ve skutečnosti je poměrně náročné o tom najít nějaké informace, a to dokonce i na oficiálních stránkách jeho služeb. V posledních hodinách navíc vyšlo najevo, že aplikace iCloud Backup tuto ochranu nemá implementovánu, proto by aktivace dvoufaktorové autentizace s největší pravděpodobností nepomohla.
Co mohly celebrity udělat lépe
Z pohledu uživatelů je problémem prakticky téměř vždy stále stejná věc: slabé heslo. Slabá hesla jsou daleko náchylnější ke všem možným typům útoků, brute-force nevyjímaje. Bude určitě rychlejší uhodnout heslo „password123“, než např. vygenerované dvacetimístné heslo tohoto typu: „1$24xt789Bc!b*s3479x“.
Mohli bychom polemizovat nad tím, zda by v takovémto případě (tedy za použití velmi silného hesla) došlo k úspěšnému přístupu k datům, ale statisticky se pravděpodobnost prolomení takto silného hesla tímto způsobem rovná pravděpodobnosti výhry jackpotu ve Sportce.
Společnosti zabývající se zabezpečením a bezpečností dat sice nejdříve tvrdily, že aktivací dvoufaktorové autentizace šlo úniku zabránit, nyní to ale spíše vypadá, že tomu tak v případě aplikace iCloud Backup nebylo. To ale nic nemění na skutečnosti, že silná hesla jsou důležitá.
Tím jsme se postupně dopracovali k poměrně běžnému závěru naprosté většiny podobných situací, v kterých došlo k úspěšnému nabourání se do cizího účtu nebo k cizím datům: podcenění bezpečnosti uživatelem. Bohužel.
