HACK THE SYSTEM: The Fappening o el hackeo a iCloud | Apple.... este no será tu año y probablemente el que viene tampoco

RSS

 Seguime por RSS

2 sept 2014

The Fappening o el hackeo a iCloud | Apple.... este no será tu año y probablemente el que viene tampoco

Como todos han leido en mayor o menor medida, ocurrio el hackeo mas grande luego de los de Lulz Sec, y digo mas grande, porque ha sido a gente poderosa, con dinero y que va a hacer grandes juicios a la compañia de la manzana.




Prologo...

It uses Find My Iphone service API, where bruteforce protection was not implemented. Password list was generated from top 500 RockYou leaked passwords, which satisfy appleID password policy. Before you start, make sure it's not illegal in your country.

Los hechos:

Cien personas famosas del mundo del cine y series o pantalla grande, han sido hackeadas o mejor dicho, sus cuentas de iCloud, el servicio en la nube de Apple, para dispositivos de iOS asi como OSX, incluyendo no solo fotos sino videos pornograficos, asi como le paso a otras en su momento, pero esto, fue masivo.

Quien?:

Se desconocen nombres o grupos, si se sabe que fue gente de 4chan, dado que el evento se programo ayer y fue conocido como The Fappening, en alucion a la pelicula the happening, pero en este caso, con el nombre fap, que hace referencia al sonido de hacerse una puñeta.

Como?:

Usando una falla de Find My Phone, la utilidad de Apple para buscar, bloquear y demas un dispositivo remoto, como lo tiene Android con Google, solo que este, conecta el ID con el mismo.
De esta forma y usando un PoC (prueba de concepto) llamada ibrute, no es que usaron ESE, subido a github, añadieron un diccionario de palabras y mediante fuerza bruta, a cada cuenta de iCloud le "dieron" durante algunas horas hasta que la contraseña aparecio y voilá!, dieron con todo el contenido, pero, hasta ahora se conocen solo fotos y videos.... supongo que el resto jugoso se lo habran guardado y hablo de notas personales o bien datos bancarios.

Que dice Apple?:

Luego de una investigacion forense de 40 horas junto al FBI (si esto es serio asi que por obvios motivos cierta informacion no daré), que no fue culpa de ellos, sino que fue hecho al modo antiguo, mediante phishing, spam, etc, es decir, por ingenieria social o enviando mails a las victimas.... o bien usando fuerza bruta, pero... es esto cierto?.

La verdad y "la verdad" (referencia a los simpsons):

La verdad segun Apple, por obvias razones, para evitar juicios millonarios, es que fue mediante el viejo metodo o que no fue por un fallo de ellos, lo cual hasta cierto punto es cierto, todo depende que consideremos como fallo y que consideren los abogados de los/las damnificados/as.

Porque?, facil, primero, que la app find my phone conecte con el ID del dispositivo, es un fallo, ya fixeado, pero, que no posea bloqueo ante X intentos fallidos, que no posea identificacion de IP, browser y demas como Facebook que al ingresar usando TOR por ejemplo, me bloquea la cuenta porque sospecha un hackeo, para mi, es una falla.
Es decir, en el año 2014, luego de que aun ciertas personas usan de password 123456, que servicios para idiotas (perdon por los que se ofendan), me refiero a que, servicios en la nube para personas que no tienen ni idea, ni tienen porque tenerla de seguridad, como Apple Users, porque convengamos que quien compra Apple no solo busca calidad y eficiencia, sino simplicidad, que no tengan la seguridad que debe (para mi al menos) como autenticacion en 2 pasos y bloqueo ante brute force..... es imperdonable.

Consecuencias:

Muchas famosas han puteado a Apple via twitter, poniendo por ejemplo "Thank you iCloud simbolo pizza simbolo mierda", que al pronunciarlo en ingles significa piece of shit, con lo cual, esto para el gigante informatico de la gente cool, es un golpe enorme, mas que el de los mapas deformes..... dado que, no solo le caeran juicios de millones de dolares, sino que, ya debe de hacer muchas personas, no solo famosas, yendo a comprar un Android o Windows Phone para descartar su inseguro iPhone, aunque esto no sea asi, asi piensa la gente, y digo que no sea asi porque si yo veo un servicio inseguro, no lo uso, no por eso dejo de usar mi PC, se entiende?.

Obviamente desde Google, fabricantes de celulares con Android y Windows Phone estan mas que felices, no lo diran, pero lo estan, creanme, e incluso fabricantes de PC y notebook, porque hay una famosa que tiene videos que se nota estan grabados con la camara de su macbook, con lo cual, hasta desechando notebook deben estar algunos.


Que deberia ofrecer un servicio caro y high class como Apple?:

1.- Autenticacion en 2 pasos
2.- Bloqueo ante brute force
3.- Bloqueo ante cambio de IP y user agent repentino
4.- Encriptacion de datos con un password extra al que tiene la cuenta de iCloud

Se asume que todo esto, Apple no posee.... por eso digo, deberia tener, y ojo con esto no digo que otros lo tengan, no lo se, solo digo que Apple deberia tenerlo o luego de esto y JUSTO antes de la salida de iphone 6.... es un golpe enorme, sobre todo si pensamos que el iphone 6 suponia un cambio grande, por su pantalla mas grande y otras cosillas..... habra sido orquestado por empresas de la competencia?, no... solo por gente de 4chan con ganas de verle el culo a famosas, nada mas.

Donde encuentro las filtraciones?:

Por obvias razones yo no puedo meter ningun link de esos aca, siendo que encima el FBI esta metido, pero les puedo decir que usen Google, algun cliente de torrent y usen los google hacks para buscar info en los pastebin, es todo.
Existen packs de 100, 500 y 43 megas, con distinta o identica informacion, dependiendo la famosa.

Que pienso yo?:

Nunca uso servicios cloud, nunca, ni para mis notas, porque no confio en los demas, ni en la NSA, y lo bien que hago, y para mis mail, no me preocupo, lo realmente importante, no pasa por mi mail.

Esta es una muestra mas de que la seguridad es una sensacion y que mas caro no siempre significa mejor, ademas de que, Apple no es especialista en seguridad, como ninguno lo es, cabe recordar que el Android Phone black no se cuanto inviolable fue hackeado en la ultima defcon (black hat) en apenas 5 minutos.

Consejos:

1.- No usen servicios cloud para cosas importantes, y con esto quiero decir, algo que si alguien ve o sabe, pueda afectarles
2.- Usen password de mas de 8 caracteres, alfanumericos y cambienlos cada tres meses al menos
3.- Usen pendrive para cosas personales e importantes, no un mail y no servicios cloud, ni los que son usados por hackers, porque los servicios espian ahi y si bien a la NSA no le interesa como tienes el culo, quizas a algun empleado si y eso se convierta en un leak.

Lo arreglaron realmente?:

No, ahora mismo pueden ir a icloud y comprobar que tras muchos intentos no bloquea la cuenta... solo nos dice que vayamos a iForgot para recuperar nuestro password dado que no podemos acceder, pero no es bloqueada, conclusion?.... Apple apesta

Actualizacion del 3 de septiembre, un dia despues de escribir esta nota:

Estoy realmente sorprendido como es que EEUU se encarga de protejer a sus empresas mas que a sus ciudadanos, y no quiero extenderme en eso porque ya sabemos lo que pasa en medio oriente... donde parece que vale mas los negocios que decapiten a una persona para el tio sam.

Ayer, las acciones de Apple, cerraban a 103 dolares y algo, hoy andan por los 99, una gran baja que no es casual, lo que me llamo la atencion, es que al lado del real time de Google en las finanzas donde se puede ver las acciones subir o bajar, van a apareciendo notas, que obviamente, no leo solo yo sino tambien los accionistas y la gente.

Agencias como Reuters y otros analistas de mercado, dicen que las acciones han bajado por temas relacionados al iphone 6 o bien a la falta de ventas del 5, y los que hablan de lo que paso que aca se comento, dicen que, NO FUE un fallo de iCloud, que fue (y esto parece dialecto de abogado, dice lo mismo pero en otros terminos):

Fue un ataque personalizado a cada victima vulnerando sus DEBILES passwords, y en otros casos enviaron mails a sus cuentas.

Hasta ahi no mentirian.... pero si, ahora lo explico, pero añaden que NO EXISTIO falla en Find My Phone... WTF?, si existio, de hecho los creadores del script en python publicaron, oh... ibrute no funciona mas, Apple parcheo la falla en Find My Phone.

Porque digo que no mentirian, en realidad asi fue, fue un brute force a cada cuenta, pero donde esta la responsabilidad de Apple, dejando de lado la falla de Find My Phone, en que un servicio Cloud de nivel, o asi al menos dicen que son sus productos, no bloquea ni a la IP, ni la cuenta cuando intentamos acceder con passwords erroneos 1000 veces, no importa si realmente el password de alguna de las afectadas era pa$$w0rd, lo que interesa es que iCloud no garantiza la seguridad MINIMA que deberia y encima, si miran los terminos y serivicios de uso, no podes no usarlo, dado que si lo cancelas, no podes usar iTunes, y cuando conectas el cargador, se activa iCloud, con lo cual si lo leen bien van a ver que es como hace Google con G+ donde si no das tu nombre no permiten abrir la cuenta, algo asi, con lo cual, ahora no pueden lavarse las manos, pero lo mas increible es como todas las agencias de noticias de EEUU apoyan a Apple (claro, empresa nacional) en detrimento de las afectadas... y para peor, salvo 1 o 2 casos, todas las demas creen en su pais y en que van a atrapar al delincuente... no entienden que esas fotos recorreran el mundo por siempre y el daño ya esta hecho?, que ya vimos a Jeny Lawren... con toda la cara bañada en una sustancia blanca hasta adentro de sus ojos?....

Es mas, cyber expertos dicen que asi es, que Apple no tuvo culpa alguna, increible.

Al momento de actualizar este post, 17hs GMT -3, las acciones cayeron de 103 ayer al cierre a 98.94 -4.36 (-4.22%).

Les recomiendo lean la nota que dejare al final sobre como defienden a Apple... para que no le lluevan juicios. 


Increible, que bueno no vivir en EEUU.

Links:

http://hack.utero.pe/2014/09/02/no-solo-las-famosas-pueden-ser-hackeadas-conoce-las-vulnerabilidades-en-la-nube/

https://github.com/hackappcom/ibrute

http://www.techinsider.net/can-blackberry-ltd-bbry-capitalize-on-apple-inc-aapls-security-woes/1115166.html

http://www.reuters.com/article/2014/09/02/us-entertainment-photos-apple-idUSKBN0GX29D20140902

9 comentarios:

  1. chrome://mega/content/secure.html#!blciybob!44nJafUABn9gjjvsPTOk7P7RDCRx1Q0oB75HFuvb5sY
    http://xerver.co/m1cisdm32e8u/LEAK.rar

    ResponderEliminar
  2. En un mundo coherente las empresas en la nube estarían tocadas, porque es esto, es el cierre de Megaupload y un montonazo más de servicios parecidos, es el robo de un millones de contraseñas de una tacada, etc. Pero como no vivimos en ese mundo, da igual cuantas veces falle el sistema, vamos a seguir consumiendo sus productos. En el escritorio de GNU/ Linux estamos igual: cada uno va a su bola, defiende sectariamente su posición, ataca al resto y mientras yo, como usuario normal, aguantándome, :( .

    ResponderEliminar
  3. Yo no uso servicios en la nube para cosas importantes, uso dropbox para facilitar compartir material aca, para mis lectores, para mis fotos privadas o pornograficas usaria un pendrive, de hecho mis passwords tampoco los guardo en mi notebook o PC sino en un pendrive..... lo unico seguro es lo que no esta conectado a la red. Tampoco uso Google Drive, ni evernote ni nada parecido, nunca me gusto eso de que otros velen por mi, menos cuando yo no puedo decirles "ey porque no bloquean a los que intentan acceder fallidamente o la cuenta?", que es el caso de iCloud. Lo mas loco... lo mas loco ahora lo añado al post... porque no lo vas a poder creer..

    ResponderEliminar
  4. No, sí lo creo: las compañías van a saco y les importa todo una mierda. Por supuesto que no es fallo suyo, siguen adelante con la sincronización en nube directamente porque es el futuro y mientras se forran los fanboys los defienden a muerte: http://www.faq-mac.com/noticias/no-seguridad-icloud-no-ha-visto-comprometida/51982 y http://www.faq-mac.com/noticias/apple-dice-icloud-seguro/51990 . Lo mejor de todo es cuando comentan que "esto aparece justo antes de la presentación del iPhone 6", como dejando caer que el culpable podría ser una tercera empresa y no por supuesto Apple, xD.


    SynFlag, más allá del Android Phone Black, ¿no hay ningún proyecto para hacer un sistema que tenga como objetivo la seguridad y el anonimato? Quiero decir, no basada en el núcleo de Linux, sino crear un nuevo sistema operativo solo compatible con un hardware específico, no pudiendo instalar en otro equipo. Sería un sistema de sobremesa y tendría aplicaciones propias de ofimática y demás, como LibreOffice pero a lo cutre, pero no permitiría instalar aplicaciones del exterior. ¿Suena loco? No lo creo, hoy día un sistema que intente ser seguro al máximo (no pondré "impenetrable", eso es fantasía) debería tener un hueco en muchas empresas que guardan datos comprometidos, incluso la gente que ocasionalmente usamos Tor podría estar interesada.

    ResponderEliminar
  5. OpenBSD?... es lo mas seguro que existe. Son los unicos que llevan adelante LibreSSL, y quizas ChromeOS, que va a usar boringSSL de Google pero claro..... usar algo de Google es como estar de culo al norte..

    ResponderEliminar
  6. Para seguridad 100% he perdido la confianza en el software libre: si 100 empleados de la NSA se ponen a mirar todo el código de OpenBSD porque necesitan entrar en algún sitio con ese sistema, creo que lo conseguirían. Claro que comparado con el software privativo actual, OpenBSD les machaca...

    ResponderEliminar
  7. Si, claro que si, digo, cualquier matematico o criptografo de la NSA o su grupo con ponerse a mirar el codigo de OpenBSD o el que sea, tarde o temprano ALGO van a encontrar, porque no existe software perfecto, a menos que sea de 100 lineas...

    Aunque, si hacen las cosas bien, al menos LibreSSL quedaria libre de fallos y 100% seguro, pero ya paso hace unos años que tenian una puerta trasera en OpenBSD en la parte de VPN y no lo habian notado, por un developer de ellos mismos que lo metio a pedido de la CIA, asi que ...... quien te dice que el mismo linux kernel no tiene algo que metio alguno... nunca se sabe... mas en esos blob binarios.

    ResponderEliminar
  8. Les cuento mi historia. Me robaron el iPhone el vienes pasado. Al dia siguiente lo primero que hice fue bloquear la SIM card, pero como no me sabía el IMEI no pude bloquear el telefono. Luego fui a comprar un nuevo iPhone. Llegué a la casa y entre a FindMyiPhone para borrar mi antiguo celular. Me quedé un rato sincronizando mi nuevo equipo en iTunes, y al rato veo y mi mac tiene una pantalla gris de bloqueo que pide 4 dígitos, abajo dice "Borrando información". Entro desde otro computador a iCloud y no me reconoce la clave. La tengo que restaurar por medio de preguntas secretas. Logro entrar a iCloud y veo que mi equipo efectivamente pidió ser formateado, igual que mi nuevo iPhone. Reviso el e-mail y tengo correos de Apple notificandome que a las 5pm inició el formateo del computador. En este momento mi computador lleva 5 dias en el servicio técnico de Apple y no han logrado desbloquearlo. El computador pide un Firmware que solo Apple sabe y al ponerlo vuelve a la misma pantalla gris que pide 4 dígitos. Es la primera vez que alguien escucha esto?

    ResponderEliminar
  9. Juro que si, pero es totalmente creible. Como dice el articulo Sebastian, iCloud o iTunes no bloquea a por ejemplo 3 intentos fallidos, cosa que hace hotmail, facebook, gmail, todo el mundo. Preguntale a Apple porque no cambia esa debil y antigua politica de seguridad, mas bien para dispositivos del año 90.

    ResponderEliminar

Dejá tu comentario