Pāris dienas atpakaļ izskanēja plašas baumas, ka Apple iCloud ir ievainojamība un baumas pastiprināja jūsmīga satura fotoapliecinājumi. Loģisks kļuva jautājums par Apple mākoņdatu servisu drošību un Apple pat ieteica beidzot sākt izmantot divu faktoru pieteikšanos savos mākoņservisos. Ideja ir pavisam laba, bet divu faktoru pieteikšanās neaizsargās iCloud un Photo Streams.
Update to Celebrity Photo Investigation
We wanted to provide an update to our investigation into the theft of photos of certain celebrities. When we learned of the theft, we were outraged and immediately mobilized Apple’s engineers to discover the source. Our customers’ privacy and security are of utmost importance to us. After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud® or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.
To protect against this type of attack, we advise all users to always use a strong password and enable two-step verification. Both of these are addressed on our website at http://support.apple.com/kb/ht4232.
Divu faktoru pieteikšanās nozīmē, ka uz fizisku ierīci (visbiežāk – telefonu) tiek nosūtīts kods, lai vēl vienu reizi pēc paroles ievadīšanas apliecinātu, ka tas tiešām ir attiecīgā konta īpašnieks. Katrs pats to var izmēģināt, piemēram, ar Facebook, bet ērti tas nav. Tāpēc bieži divu faktoru pieteikšanās netiek lietota.
iCloud netiek piedāvāta divu faktoru pieteikšanās iespēja. Šo mākoņdatu servisu sargā tikai Apple ID un parole. Nosodoši teikt “tikai” būtu netaisni, jo līdzvērtīgi tiek sargāts arī absolūts vairākums citu tiešsaistes datu. Vājā vieta šajā Apple pliko bilžu sāgā varētu būt paroles atjaunošanai domātie drošības jautājumi, kas parasti ir vēl vieglāk uzminami, nekā pašas švakās paroles. Tiek arī apgalvots, ka datorā uzstādītā iTunes programmatūra varētu dažos gadījumos tikt izmantots piekļuvei pie mākoņdatu satura.
Apple būs pamatīgi zaudētāji noplūdušo fotogrāfiju un video datņu stāstā. Pēdējā laikā tiek runāts par Apple plāniem zem šīm pašām diskutablajām parolēm palikt apakšā arī lietotāju kredītkaršu datus, tos apvienojot vienā virtuālā makā. Tāpat tiek runāts par Apple pievēršanos veselības aprūpei, kas nozīmētu sensitīvu datu uzkrāšanu par lietotāja veselības stāvokli un citiem neizpaužamiem parametriem.
Varam sagaidīt, ka Apple līdz jaunā iPhone iznākšanai centīsies vismaz skaidri izdibināt fotogrāfiju noplūšanas cēloņus.
Tiešām jāraksta dzeltenās preses līmeņa raksti? iCloud bija vainīgs pie tā, ka slavenības nemāk izvēlēties normālas paroles? Oficiāli tika paziņots, ka ar iCloud drošību viss ir kārtībā, bet nē, lasot šo rakstu nevar saprast neko. Tā arī nesapratu šī raksta jēgu, gari uzrakstīts īsti nekas.
Vienīgais skaidrais ir tas, ka Apple sniedz bezjēdzīgus padomus – divu faktoru pieteikšanās neaizsargā iCloud. Šiem nāksies pasvīst, lai izēstu esošo putru, ir tur zvaigznes padumjas vai nav.
P.S. it just works??
Un kāda jēga tik garam rakstam, kurā visu var pateikt ar 1 teikumu? Un kāpēc nav uzrakstīts skaidri, ka Apple ir oficiāli paziņojis, ka bilžu noplūdei nav nekāda sakara ar iCloud drošību? Kāpēc jāraksta dzeltenās preses līmenī, kur mēģina pievērst uzmanību, bet lasot rakstu, tukšvārdība un nav pat ko lasīt.
Ar iCloud tiešām viss varētu būt labi. Problēmas esot Find My iPhone galā un tajā, ka publika akli uzticas “it just works”. No paša Apple nav nekas skaidri pateikts. Zināms vien tas, ka “izmeklēšanas norit pilnā sparā”. Tieši tāpēc arī ir dzeltenā līmenī – Apple paši nezina un runā visādas dumības.
Varētu jau tev atbildēt arī ar vienu teikumu, turklāt vienkāršu nepaplašinātu, kas sastāv no diviem vārdiem, bet es tam stāvu pāri.
Diezgan bieži labāk ir viens jēgpilns teikums, nekā tukšvārdības romāns. Kā arī Apple jau sen ir paziņojis, ka šiem uzbrukumiem nebija nekāda sakara ar iCloud vai Find My iPhone.
“After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud® or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.”
Tad pie vainas būs Šlesers. Sievietes skaistums nākot no iekšām.
http://pods.lv/blog/files/2010/05/neo-20.jpg
Nesteigsimies lamāties, uzgaidīsim, nez kādus brīnumus izmeklēšana atklās un vēl nevar zināt ko izdomās citi drošībnieki. Beigās izrādīsies, ka katrs var iegūt bildīti, pievienojot URLam beigās .jpg
Secinājumus ka jāizglīto lietotājs un sensitīvos datus nekrīkst izlikt mākoņos, tā arī neizdarīs. Beigsies ar vēl drakoniskākām klienta reģistrācijas metodēm ābolservisos. Taču aizsardzības principi pēc būtības nemainīsies un pēc kāda laika atkal kāda Holivudas bārbijskuķa bildes kopā ar kredītkartes numuru un pēdējo grūtniecības testa analīzi aizpeldēs tautā.
nu tak skaidrs, ka visa šī iekostā sūda štelle ir domāta cilvēkiem ar īpašām vajadzībām.