הדלפת התמונות של סלב: האם השימוש ב- ICloud בטוח?

כן, כנראה. אבל להבטיח שכל העירום והמידע הפרטי שלך מוגנים זה באמת מסובך.

הדלפת התמונות של סלב: האם השימוש ב- ICloud בטוח?

בסוף השבוע התפרסמו לרשת עשרות תמונות אינטימיות ופרטיות השייכות לנשים מפורסמות, שהעירו קריקה רדומה של זכרים חרמנים שכולם נוהרים למחשביהם במקהלה. למרות שלא ברור כיצד התקבל האוסף, הצפת התמונות ב- 4chan - ולא הרבה מאוחר יותר - ב- Reddit ובטוויטר - עוררה שולחן של שנאת נשים ובושה של קורבנות , והטיל ספק באבטחת הענן.



ב- Reddit, האירוע זכה לכינוי The Fappening - המונח fap הוא קיצור אינטרנט לאוננות. אך כיצד התקבלו התמונות? הפרטים מטופשים ולא ברורים, אם כי מידע נוסף צפוי לחמוק בימים הקרובים.

אחת ההשערות המוקדמות נגעה לשימוש בתסריט של כוח אכזרי, שתאורטית אפשר היה להשתמש בו כדי לפרוץ לאייפון של קורבן באמצעות פגם ב- Find My iPhone. התיאוריה טענה כי ייתכן שפגיעות אבטחה אפשרה להאקרים להפוך את ניחוש הסיסמה של משתמש לאוטומטי שוב ושוב מבלי להעלות דגלים אדומים במערכות של אפל. לפי GitHub , החל מיום שני, אפל תיקנה את מערכת האזעקה הפגומה הזו - ובאופן משמעותי, בהצהרה , אפל הכחישה כי ההפרה נוגעת ל- iCloud או למצוא את האייפון שלי.



לאחר יותר מ -40 שעות של חקירה, גילינו שחשבונות מפורסמים מסוימים נפגעו מהתקפה ממוקדת מאוד על שמות משתמשים, סיסמאות ושאלות אבטחה, שיטה שהפכה נפוצה מדי באינטרנט, כתבה אפל.



אם ניקח את הצהרת החברה בערך נקוב, סביר שהתמונות נאספו לאט על ידי מספר עבריינים במשך תקופה של חודשים (או אולי שנים). ניתן לטעון כי מדובר בחלופה פחות מפחידה לחור יחיד ומסיבי באבטחת אפל. ותרחיש זה מדבר על התחכום של אמצעים פולשניים אחרים, כמו האקרים שממקדים לסיסמאות משתמש (עבודה עם סיסמת LinkedIn שהודלפה כנקודת מוצא לניחש סיסמאות, למשל, הופכת את הכוח האכזרי להיכנס לחשבון בצורה דרמטית); שימוש במיילים ובמספרי הטלפון שנלקחו מספרי הכתובות של ידוענים כדי למקד מחדש למפורסמים אחרים; או שימוש מתוחכם התקפות הנדסה חברתית להערים על נציגי שירות ולקבל גישה לחשבון iCloud של מישהו אחר, כמו בעת האקרים הצליחו לפרוץ חוטית האייפון של הסופר מאט הונאן בשנת 2012 .

עד כמה בטוח iCloud?
אז: הענן. האם זה בטוח? האם אנו מאמינים יותר מדי במערכת אוטומטית לא מובנת שמעבירה את המסרים והתמונות שלנו לשרת מוצפן ... איפשהו? כפי שכבר ציינו מומחים רבים אחרים, הדבר היחיד הטוב ביותר שמשתמש יכול לעשות כדי להגן על המידע הפרטי שלו הוא לעשות זאת להפעיל אימות דו-גורמי . בנוסף לסיסמה, משתמשים מתבקשים לאשר את זהותם האמיתית באמצעות קוד PIN שנשלח בהודעת טקסט. הבעיה - וזו בעיה - היא שרק מיעוט מהאוכלוסייה עושה זאת.

הבוקר ניסיתי להפעיל את האימות הדו-גורמי של אפל. אני כתב טכנולוגי, אך היה קשה לעשות זאת. אפל לא הופכת את הפעלת אבטחת האבטחה החזקה ביותר שלה לקלה: הייתי חייב לגוגל אֵיך כדי לעשות זאת, והייתי צריך ללחוץ על מספר דפים שונים כדי לשנות את העדפות האבטחה שלי בהגדרות מזהה Apple שלי. למרות שאימות דו-שלבי זמין מאז תחילת השנה שעברה, התכונה לא מפורסמת בהרחבה-לא ברור מדוע היא לא. הפעלת תכונה זו הינה טרחה המעמידה את האחריות על הלקוחות להיות ערניים ויוזמים בנוגע לנתוניהם. גישה זו - ואפל כמעט לא לבד כאן - שגויה.



ככל שאנו מציבים דברים חשובים יותר ברשת ובענן, אחד ההיבטים הקריטיים של זה הוא אבטחה חייבת להיות קלה לשימוש, מציין פטריק תומאס, חוקר אבטחה ב- ניאופסיס . אחד מנקודות המפתח החשובות הוא שמדובר באנשים [מפורסמים] שלא עושים דברים יותר גרועים מהממוצע שם בחוץ ... כולנו באותה סירה. כולנו משתמשים ב- iCloud! כולנו משתמשים בשירותים מסוג זה! בתור איש אבטחה, לא הייתי רוצה שנגיד להלן דבר מיוחד שעליך לעשות כדי לשלוח תמונות פרטיות למישהו. צריך להיות שהכלים שאנשים משתמשים בהם גורמים לאנשים להשתמש בהם בקלות ובבטחה.

הוא מוסיף, לא צריך להיעזר בכלים מורכבים כדי לעשות משהו פשוט כמו לשלוח מייל פרטי או תמונה. אימות דו-גורמי, הוא טוען, צריך להיות ברירת המחדל.

האם אפשר בכלל לשלוח תמונות פרטיות?
הנה הדבר: כל מה שאתה שולח צריך להיות באופן פרטי באופן אוטומטי. לא היינו צריכים לחשוב על זה. רוב האנשים לא. כאשר לחצתי על תומס על הדרך הטובה ביותר לשלוח מידע פרטי, הוא ציין כי השימוש בהצפנת PGP (שיטה המועדפת על מלשינים) היא כנראה ההימור הבטוח ביותר שלך, אך הודה כי הוא מגושם וקשה להגדיר; בגלל זה כל כך מעט אנשים באמת משתמשים בו. אף אחד רוצה לחשוב על PGP כשהם שולחים סלפי מראה לאמבטיה לאחרת המשמעותית שלהם.



למעשה, תומאס, משחק כפי שהיה לשאלתי, התקשה להמציא דרך קיימא וזמינה לשלוח תמונות פרטיות לאנשים הקרובים אליך. לדבריו, סנאפצ'אט נמצאת שם בחוץ ומתיימרת לספק ערבויות אבטחה. אבל זה ממש לא קרה. (Snapchat נפרץ מוקדם יותר השנה).

נכון לעכשיו, הדרך הבטוחה ביותר לשלוח תמונה מפונקת היא פשוט לא לצלם. וזה מבאס. זה לא הוגן. העובדה שאין תשובות פשוטות מדברת רבות על הערפול והמורכבות של אופן הפעולה של המכשירים שלנו, ומדוע צריך להיות האחריות של תפוחים, גוגל ודרופבוקס לספק למשתמשים בצורה חלקה את הכלים המבטיחים את החלקים הקדושים ביותר של החיים שלנו בטוחים. כפי שכתבתי בעבר, האבטחה עדיין אינה בראש סדר העדיפויות של כל מי שהוקם הון עתק 500 חברות לסטארט -אפים חדשים ואופנתיים. זה מחשבה מחודשת.

לא היינו צריכים לחשוב על זה, ובכל זאת, על המשתמשים להיות ערניים באופן פעיל לשמירה על חייהם הפרטיים המגודלים. שני הרעיונות האלה לא צריכים להיות מבדילים זה את זה, אבל הנה אנחנו כאן. משהו בבירור לא בסדר. זה כמו הרעיון שאתה חושב שאתה גר בשכונה בטוחה, כך שאתה משאיר את הדלתות שלך נעולות. זו יכולה להיות החלטת ביטחון רציונלית לחלוטין עבור אנשים מסוימים, מוסיף תומאס. אבל באינטרנט, הכל אותה שכונה.