Метод хакерского взлома фотографий обнажённых знаменитостей не впечатлил

Я поговорил с бывшим хакером и ведущим блоггером по интернет-безопасности Ником Кубриловичем о процессе хакерского взлома фотографий обнажённых знаменитостей, и оказалось что методы такого взлома очень простые.

от Mike Pearl

20.10.14

Топлес селфи с Wikimedia commons (NSFW)

На выходных Эмма Уотсон испытала на себе уродливые стороны Интернета как раз во время её выступления в ООН на тему о правах женщин. Возможно, некоторые люди считают, что Уотсон совершила преступление, выступив открыто в защиту прав женщин, и теперь они заявляют, что у них есть обнаженные селфи Уотсон, которые они готовы предать огласке – из чувства мести, я думаю? Возможно, это была просто шутка, но, с другой стороны, пару дней назад произошёл ещё один подобный инцидент, что делает эту проблему реальной.

Хотя есть ещё чудаковатые обозреватели, которые обвиняют в первую очередь певцов и кинозвёзд в том, что они сами делают обнаженные селфи на свои телефоны, однако на этот раз, галдёж в СМИ оказался скучным и неинтересным. В конце концов, кража мутных и некачественных снимков людей, которые спешат кому-то сообщить "Я тебя хочу" не то же самое, что украсть отредактированные салонные фотографии.

Другими словами, эта политически мотивированная угроза Эмме Уотсон выглядит как работа мелкой, доморощенной группы террористов. Но если бывший хакер и блоггер по интернет безопасности Ник Кубрилович прав, пожалуй, единственное, что может во всей этой истории заинтересовать – факт так называемого “хакерского взлома”, который мы все так активно обсуждаем.

Я решил поговорить с Кубриловичем о том, как эти фотографии могли быть украдены. Сначала я думал, что мы будем обсуждать, кто виноват в происходящем, но во время нашего разговора я узнал больше, чем я до этого знал об "облачных" системах хранения данных. Можно сказать, что “взлом”, возможно, был сделан по старым принципам: пробивание системы безопасности компьютера, однако, можно также предположить, что эти воришки украли фотографии просто исследуя данные в сети о знаменитостях в течение нескольких часов, а затем выкладывали целую кучу фейковой информации и наблюдали за реакцией – похоже на поведение Ханны Хорват из сериала Girls.

Авторизованное селфи Ника Кубриловича, любезно предоставлено Ником Кубриловичем

VICE: Привет, Ник! Кто виноват в утечках обнаженных фото?
Ник Кубрилович: Часто люди пытаются писать статьи, где всё выглядит очень однозначно: или хороший парень, или плохой парень. Однако, в этом случае, вина - и "вина", вероятно, здесь слишком сильное слово, лежит не только на самых хакерах, которые взломали профайлы, скорее “ответственность”, которую должны нести много людей.

Правильно ли винить Apple?
Несёт ли Apple ответственность за обеспечение своих данных? Да. Поскольку пользователи доверяют им.

Что делает Apple менее защищённым?
Лучший способ объяснить их вину (за неимением лучшего слова) – это думать об этом в таком ракурсе: есть три основных мобильных провайдера, каждый из нас пользуется одной из этих трёх экосистем: у нас есть сервис Apple, который работает на iPhone, у нас есть облачные сервисы Google, которые доступны на устройствах Android, и у нас есть облачные сервисы Microsoft, которые доступны на Nokia и других устройствах. Из этих трёх, Apple является единственной компанией, к которой до сих пор есть вопросы по безопасности.

То есть, они делают что-то по-другому, и иногда, как в данном случае, именно это отличие от систем двух других крупных провайдерев, было использовано для взлома профайлов.

Ты говоришь о так называемых "секретных" вопросах?
Да. Контрольные вопросы являются огромной проблемой. Google избавился от них четыре года назад или около того. Microsoft отказался от них полностью около трёх лет назад. Так, ядро этого вопроса, если хотите самое главное, кроется в возможности переустановить пароль пользователя, просто введя дату рождения, а затем отвечая на два секретных вопроса.

Эти контрольные вопросы давали мне уверенность в безопасности моих данных. Что с ними не так?
Когда вы жмёте “переустановить пароль”, вы видите два из трёх вопросов, на которые вы отвечали, когда зарегистрировались, и если вы отвечаете правильно, вы получаете доступ к своему аккаунту. […] Схема безопасности является такой же, какую использовали оффлайн для подтверждения своей личности в банках и других местах в 1960-х и 1970-х годов. Такая же система была принята для работы онлайн в 1990 году, но компании быстро поняли, что эту систему очень легко обойти, потому что в Интернете сегодня, все очень легко делятся этой информацией. Намного легче её найти сейчас. Проще простого зайти на Facebook и узнать некоторые из этих вопросов, например, дату рождения. Легко узнать университет, который вы посещали, имя питомца, какой тип автомобиля вы водите. Что касается знаменитостей, тут всё ещё проще, потому что много такой информации лежит либо на Википедии, либо на одном из сайтов светской хроники.

Если бы я мог выяснить какой ответ Дженнифер Лоуренс ввела бы на вопрос "любимый город" или "любимая спортивная командв", плюс я знаю дату её рождения, то я мог бы получить доступ к её аккаунту?
Это верно, да. И кто-то так и сделал.

Откуда вы знаете что этого достаточно для взлома и кражи фотографий?
Я не могу подтвердить это на все 100 процентов. [Однако], я знаю, где эти ребята околачиваются. Я знаю форумы, которые они часто посещают, и я знаю, что все они были частью субкультуры по взломам оперативного резервного копирования и кражам порнографических фотографий, "порно-месть" (revenge porno) или всякое такое. [Я] тусовался на этих форумах и говорил с некоторыми из этих парней. Если вы читали некоторые из их инструкций о том как взломать аккаунты – и это как раз такой форум, где были выложены эти фотографии – под первым номером в их инструкциях идёт пункт о том, как отвечать на вопросы безопасности.

Это форум для обмена советами?
Я объясню вам, чтобы вы имели представление, как это выглядит: у вас есть снимок автомобиля похожего на Mercedes тёмно-красного цвета, середины 1990-х, припаркованный на пляже. Просто автомобиль в какой-то местности, непонятно где, и ниже идёт вопрос: "Какая это марка автомобиля?" Я продолжал отслеживать форум. Была ещё фотография салона автомобиля, и один парень спрашивал, какая это марка автомобиля. Я не мог понять, почему они спрашивали об этом. И я позже понял, что один из вопросов – секретный вопрос на iCloud "Какой тип автомобиля вы водите?"

[Вот], что эти ребята делали: имея доступ к общественным фотографиям людей, которых они пытались взломать, они пытались найти фотографии их автомобилей. Когда они не могли определить их сами, они размещали эти фотографии в этих форумах, чтобы попросить других людей помочь им.

Они привлекали толпу для взлома, так получается?
Да. И до меня дошло, когда кто-то ответил: "Иногда девушки дают своим автомобилям прозвища". Весь форум, практически 90 процентов, сосредоточен вокруг, в первую очередь, обучения людей этому методу, и во вторую очередь – помощи человеку – путём опроса многих людей, поиску ответов на вопросы. То есть учат людей методам как осторожно подкрасться к людям он-лайн.

Чтобы ответить на некоторые из этих вопросов, вы действительно должны узнать свою жертву очень хорошо. Вам придётся потратить много времени, переработать тонну информации. Только после этого вы сможете отвечать на контрольные вопросы. На аккаунте Apple у вас будет десять или двенадцать вопросов, из которых пользователи могут выбрать. Но на все, если достаточно долго искать, злоумышленник найдёт ответы.

Как насчет проблемы поиска основного адреса электронной почты человека?
Они это делают следующим образом: платят за доступ к онлайн-базам данных людей, таким как intelious.com, есть ещё пара других провайдеров, куда вы можете зайти под чьим-то именем. Вы заплатите от $2 до $60, и вы получите все их публичные записи. Так что, если вы знаете полное имя кого-то и где этот человек родился, вы можете подать заявку на доступ к их публичным записям.

Существуют ли иные пути если дело касается знаменитостей?
Второй метод – социальная инженерия, когда вы контактируете с агентом или кем-то подобным, выдавая себя за кого-то другого, и пробуете выудить адрес электронной почты. И третий путь возможен, когда взломан аккаунт одной знаменитости и вы извлекаете его/её адресную книгу и тогда у вас есть контакты множества других знаменитостей. Это как раз то, что произошло в недавнем случае. Взлом аккаунта одной знаменитости привёл к другой знаменитости, имеющей контакты других знаменитостей в своей адресной книге, которая затем привела ещё дополнительно к другим знаменитостям.

Получается, что люди должны думать о своей незащищённости даже со знакомыми людьми?
Мы говорим о так называемом "слабом звене" в цепочке. С появлением социальных сетей и адресных книг теперь слабое звено легко найти. Атакующему достаточно найти одно слабое звено в защите [жертвы]. Вы должны защитить и обеспечить всё, что включает подсказки и защитить всех, с кем вы когда-либо контактировали, поскольку большинство современных почтовых сервисов автоматически добавляют всех, с кем вы когда-либо контактировали по электронной почте в вашу адресную книгу.

Мне надо быть более осторожным. Спасибо, Ник!

Следовать за Майком Перлом на Twitter

Tagged:Vice BlogiCloudMicrosoft Cloud Servicesσέλφιхакерызнаменитостиинтернет безопасностьобнажённые селфиЭмма УотсонНик Кубриловичкак украсть фотографии знаменитости