Internet žije dalším skandálem. „Neznámý hacker“ se naboural do cloudové zálohy několika desítek celebrit a zveřejnil jejich intimní fotografie, které teď kolují po různých internetových fórech a zákoutích. Zatímco právníci vedou sysifovský boj za jejich odstranění a nadržení klikači objevují soukromí celebrit, my se podíváme, jak k útoku mohlo dojít. A především jak se mu dalo předejít.
Zabezpečte si svá data na internetu různými heslyDoporučení ohledně bezpečnosti na internetu jsou stále stejná, ale evidentně se hodí je zopakovat. Důležité je vědět, co, kam a proč nahráváte, a tyto služby odpovídajícím způsobem zabezpečit. 1. Nenahrávejte na internet všechno. 2. Používejte různá hesla pro různé služby. 3. Kdykoli to jde, využijte dvoustupňové ověření. 4. Využijte program pro správu hesel. Podrobné tipy si přečtěte v našem přehledovém článku. |
Celebrity možná mají lépe zabezpečený byt a dražší právníky, ale k ukládání dat používají stejné služby, jako všichni ostatní. Přestože aktuální únik soukromých fotek více než desítky celebrit zatím není objasněn, nejčastěji je spojován se službou iCloud, on-line úložištěm americké společnosti Apple.
Pokud odhlédneme od poněkud banálního sdělení "na webu jsou fotky nahých celebrit", zjistíme, že nejzajímavější je na zprávě to, kolik různých cest se útočníkovi k fotkám nabízelo. I když možná nejste celebrita, jejíž fotky vyhledávají miliony lidí, používáte často stejné metody zálohování. A dost možná tak děláte i stejné chyby.
Systémová chyba, nebo cílený útok?
První hypotézy hovořily o využití chyby ve dvojitém zabezpečení. Chyba (již opravená) spočívala ve výjimce pro API FindMyPhone. Nebylo potřeba projít systémem dvojitého ověření a navíc bylo možné hesla "hádat" hrubou silou (až 500 hesel naráz - více na GitHub).
Šlo o zdánlivě logický závěr: masivní únik dat mívá často jednotnou příčinu, třeba čerstvě zveřejněnou zranitelnost v hojně používaném softwaru. Výjimka, která umožňuje aplikaci Find my phone zkoušet více hesel a obejít dvoustupňové zabezpečení, tak byla téměř ve všech médiích uvedena jako hlavní důvod úniku. Při bližším pohledu to ale už neznělo tak věrohodně. Dvojité zabezpečení nemá zapnuté každý, navíc stále je potřeba uhodnout to heslo.
Interní vyšetřování incidentu ukázalo, že zranitelnost spojená s vyhledáváním telefonu iPhone nehrála při útocích roli. Firma Apple uvedla, že celebrity se staly "obětí běžného cíleného útoku, kdy hacker uhodl heslo, nebo bezpečnostní otázku v kombinaci s datem narození". Rozumějte: s naším systémem je všechno v pořádku, uživatelé iCloudu se nemusejí bát masivního úniku dat a všichni byste se měli raději těšit na nový iPhone. Jenže to není celý příběh.
Jak hacker smazal novináři z iCloudu všechna dataAktuální dění připomnělo i událost, ke které došlo před dvěma roky. Tehdy útočník využil nedokonalého (lépe řečeno nedomyšleného) zabezpečení čísla karty. |
Apple má na stránce umožňující obnovení zapomenutého hesla rozhodně co vylepšovat. Místo aby proces rozdělil do kroků (a dal tak útočníkovi informaci o tom, kde udělal chybu), měl by výrazně zpřísnit pravidla pro získání hesla. Uživatelé se pak mohou bránit tím, že si jako bezpečnostní otázku zvolí nesmyslné a neuhádnutelné slovo. Třeba datum narození je jako zabezpečení zcela nevhodné nejen u celebrit, ale v případě cíleného útoku prakticky u kohokoli.
Organizovaný kruh vykradačů a stalkerů
Posedlost pornografií„The Fappening“ Vášně, které událost (přezdívaná "The Fappening", v narážce na slangový výraz pro masturbaci) vyvolala, by si zasloužila samostatné pojednání. Ovšem spíše od sociologa či psychologa. Můžeme v této souvislosti doporučit populárně naučnou přednášku The Demise of Guys (a stejnojmennou knihu) psychologa Philippa Zimbarda. Tvrdí, že pornografie nabízí lidem (především mladým mužům) únik od nutnosti riskovat ,a způsobuje tak snižování samostatnosti, odtažitost a závislost. |
Pozadí případu asi nejlépe odkrývá soubor postřehů australského podnikatele a hackera Nika Čubriloviče. "Poté, co se v médiích objevily zprávy o masovém úniku soukromých fotek, ponořil jsem se na nějaký čas do světa těch, kteří s fotkami přišli. Zajímalo mě, jak k úniku došlo, jak tato subkultura posedlá nahými fotkami funguje a jak se z toho můžeme poučit."
Jeden z prvních poznatků, které Nik učinil, byl poznatek chronologický: zdaleka ne všechny fotky byly nové. Ukázalo se, že ani nepochází z jednoho zdroje. Zpětným stopováním zjistil, že jde zřejmě o celkem naplánovaný únik i ze strany hackerů, kteří vůbec neměli v úmyslu fotky vystavit veřejně.
"Jde jen o malou část rozsáhlých sítí hackerů a diskutérů, kteří se dlouhodobě a organizovaně nabourávají do soukromých účtů a kradou zde fotky," píše Nik a neskrývá své překvapení. Tito lidé se organizují veřejně i tajně a mají efektivně rozdělené role.
- Skauti - Vyhledávají nové oběti. Někdy mají jméno a e-mail, jindy třeba jen fotku obličeje. Jejich úkolem je najít co nejvíce informací. Vytvářejí si falešné účty, snaží se vetřít do přízně oběti nebo zjistit, jaká zařízení používá.
- Útočníci - Pomocí phishingu, virů, keyloggerů nebo tzv. sociálního inženýrství (tedy chytrého vemlouvání se do přízně a nenápadného získávání informací) se snaží získat přístup k účtu oběti.
- Stahovači - Pomocí speciálních programů dělají kopie záloh (často jsou zde i fotky, o kterých si dotyčná oběť myslela, že jsou smazané).
- Sběratelé - Procházejí gigabajty fotek a videí, třídí nálezy a popisují je pro snazší vyhledávání. Jsou to takoví zvrhlejší archiváři a kurátoři.
Kdo je cílem těchto dobrovolnických gangů? Mohou to být celebrity, ale i obyčejní lidé, například něčí expřítelkyně. "Velmi mě znepokojuje, kolik lidí dá takové skupině odkaz na Facebook své kamarádky. Předhodí tu dívku šmírovací skupině jen proto, aby se dostali k jejím fotkám," píše Nik. Tyto fotky pak zůstanou ve skupině a obohatí její rozrůstající se archiv.
I smazané fotky mohou z iCloudu uniknoutSe zajímavou hypotézou přišla bezpečnostní společnost Check Point. My však víme, že fotky byly nasbírány v dlouhém časovém úseku, a není tedy nutné vymýšlet, proč byly součástí úniku i již údajně smazané fotky. iCloud umožňuje až tři revize záloh pro každé zařízení, které uživatel vlastní. Ale iCloud spustí automatické zálohování pouze z iOS zařízení a pokud je zařízení připojeno k wi-fi a nabíjí se, obvykle tedy v noci (zálohy lze spustit i ručně, ale dá se předpokládat, že něco podobného dělá jen malé množství uživatelů). Výsledkem je, že mnoho uživatelů má uchované zálohy ze tří po sobě jdoucích dnů. Ale pokud někdo hodně cestuje, jako například celebrity, je mnohem méně pravděpodobné, že bude nabíjet svůj telefon a zároveň bude mít zařízení připojené k wi-fi. To znamená, že mezi každou ze tří zálohovacích revizí v iCloudu mohly uplynout týdny nebo dokonce měsíce, což vysvětluje, jak fotky odstraněné z přístroje mohly být stále přístupné v jedné z dřívějších záloh. Jakmile hacker získal pro přístup do iCloudu odpovídající uživatelské jméno a heslo, mohl používat nástroje, jako je dr.fone, pro obnovu dat ze všech tří revizí záloh iCloudu. Hackeři se tak mohli dostat i k informacím, o nichž si uživatelé mysleli, že už jsou smazané. (zdroj: vyjádření společnosti Check Point ) |
AKTUALIZACE: Tim Cook, šéf firmy Apple, v reakci na skandál oznámil, že Apple zavede doplňkové bezpečnostní mechanismy, které budou lépe chránit proti podobným únikům. Uživatelé například už za dvatýdny začnou dostávat upozornění, když se někdo pokusí změnit jejich heslo nebo pokusí obnovit data ze zálohy. Dále Apple plánuje lépe varovat uživatele před riziky využití cloudu a připomene nutnost bezpečných a silných hesel.
„Myslím, že co se týká povědomí o bezpečnosti, mohli bychom dělat více,“ přiznal Cook. „A je na nás, abychom to napravili.“ Jako příklad toho, čím Apple přispívá k vyšší bezpečnosti, uvedl například Touch ID senzor. I za ten ale společnost sklidila kritiku: „Je nesmysl používat k zabezpečení něco, co nemůžete změnit a co kolem sebe trousíte, kudy chodíte,“ uvedl Frank Rieger, který se podílel na hacknutí senzoru.
Fotky měli sběratelé pro sebe, pozornost nechtěli
Když známé tyto pro člověka netknutého internetovým podsvětím trochu kuriózní a nechutné detaily celé operace, je jednodušší pochopit, proč a jak došlo k úniku fotek. Nešlo o jeden útok, nebo jedno selhání. Naopak, sbírka fotek, která unikla na veřejnost, je součástí dlouho shromažďované kolekce jedné, nebo více takových komunit. Nejsou to fotky jen z iCloudu, ale také z Dropboxu (který přinejmenším někteří "sběratelé" využívají ke sdílení úlovků) a dalších služeb.
Americký hacker Christopher Chaney vykrádal e-mailové schránky celebrit. Fotky, které z nich získal, dál šířil internetem. V prosinci 2012 byl odsouzen k 10letému trestu a peněžité pokutě přes milion korun.
A sbírka nikdy zřejmě nebyla určena k distribuci. Hackeři nepotřebují pozornost, která může vést k dlouhým trestům (muž, který pronikl do účtu Scarlett Johanssonové, vyfasoval 10 let).
Nikova teorie je následující: jeden z účastníků takovéto sběratelské skupiny se pokusil vydělat si nějaké peníze a na anonymních serverech (např. 4Chan.org) nabízel, že za úplatu pošle fotky nahých celebrit. Protože mu nikdo nevěnoval pozornost, začal některé fotky zveřejňovat, aby nalákal kupce.
Ti, co nějaké fotky koupili, je zveřejnili. Ostatní členové skupiny, kteří fotky také měli, se rozhodli, že na tom také zkusí vydělat, než cena fotek klesne na nulu. Výsledkem byla smršť fotek, které se rozlétly po diskuzních webech i do médií.
Jeden ze členů této skupiny při honbě za výdělkem zapomněl na opatrnost. Na screenshotu, kterým lákal zájemce ke koupi fotek herečky Jennifer Lawrencové, sice pečlivě vyčernil nahotu, ale zapomněl, že mu v seznamu složek vlevo zůstal název jeho počítače a dalších počítačů ve firemní síti.
Programátor z Atlanty jménem Bryan Hamade zjistil, jak snadné je vypátrat podle screenshotu autora. „Já jsem to nebyl. Byl jsem tak hloupý - viděle jsem, jak pár lidí na fotkách přes bitcoiny vydělává, a řekl jsem si, že to zkusím taky,“ uvedl pro BuzzFeed. „Nejsem hacker. Strašně mě to mrzí. A nevydělal jsem na tom ani jediný bitcoin. Je to největší chyba mého života.“
Pro diskutéry nebyl problém dotyčného vystopovat. Bryan Hamade se přiznal redakci BuzzFeed. Fotky sice prý nabízel k prodeji, ale není hackerem, který je z hereččina účtu získal. Uvidíme, jak s tím uspěje u případného soudu.
Podle článku v Business Insideru i již zmíněného Hamada, lze únik vystopovat k jednomu ze sběratelů s přezdívkou OriginalGuy. Ten také (údajně) dodává, že není hackerem, pouze „sběratelem“. „Sice jsem si něco vydělal, ale nedostal jsem se zdaleka k částce, na kterou jsem pomýšlel,“ stěžuje si OriginalGuy. Podle bitcoinové adresy, kde jsou transakce veřejné, na celém skandálu vydělal pouhých 120 dolarů (asi 2 500 korun).
Poučení: Nebuďte naivní
Zřejmě málokoho překvapí, že celebrity v soukromí pořizují fotky, které by nechtěly publikovat. V tom se příliš neliší od běžných uživatelů. Ale kauza především ukázala, jak snadné může být dostat se do cizí pošty nebo záloh cíleným útokem.
Taktiky jsou různé, a proto neexistuje jedna obrana. Není ovšem od věci udělat si bezpečnostní audit:
- Máte u důležitých služeb (e-mail, úložiště dat, Facebook, Amazon atd.) unikátní a silná hesla? Pokud ne, změňte to co nejdříve. Pomohou vám programy pro správu hesel, ale první krok musíte udělat vy.
- Máte přehled o tom, kam se zálohují vaše data? Co automatické zálohy telefonu nebo netbooku?
- Nemáte v kontaktech falešné přátele? Nepřijímáte lehkovážně žádosti o přátelství?
- Máte zapnutou dvojitou ochranu účtů (Google, Facebook atd.)? Nemáte účet propojený s aplikacemi, které nepoužíváte?
Dodržování pravidel bezpečnosti na internetu může být otrava. Ale lepší je myslet na to dříve, než je jasné, že jste na to měli myslet dříve. Ať už jste celebrita, nebo ne.
Aktualizace: Článek jsme rozšířili o vyjádření šéfa společnosti Apple.
