چگونه حساب آی کلود بازیگران هالیوود، در سال 2014 هک شد؟

پیش گفتار مترجم: متن زیر ترجمه قسمتی از فصل اول کتاب The Art of Invisibility نوشته ی "کوین میتنیک" در سال 2017 هست. این فصل در مورد این هست که چرا و چطور برای حسابهامون گذرواژه های قوی انتخاب کنیم... سعی شد ترجمه با کمترین دخل و تصرف انجام بشه و نیت انتشار این مطلب فقط اطلاع رسانی است

جنیفر لارنس آخر هفته سختی رو داشت. آن برنده جایزه اسکار یکی از افراد مشهوری بود که یک روز صبح در سال ۲۰۱۴ از خواب بیدار شده بود تا ببیند خصوصی‌ترین تصاویر - که بسیاری از آن‌ها را در تصویر برهنه نشان می‌دهد - در اینترنت پخش شده‌اند.

یک لحظه تأمل کنید تا تمام عکس‌هایی که در حال حاضر روی کامپیوتر، گوشی و ایمیل شما ذخیره شده‌اند را در ذهنتان اجمالاً بررسی کنید. البته، خیلی از آن‌ها کاملاً بی‌خطر هستند. مشکلی ندارید اگر کل دنیا بخواهد عکس‌های غروب، عکس‌های زیبای خانواده جذاب، شاید حتی عکس سلفی "روز موی بد" رو ببیند. اما شما با اشتراک گذاشتن تک‌تک آن‌ها راحت هستید؟ اگر همه‌ی این‌ها رو آنلاین ببینید چه احساسی دارید؟شاید همه عکس‌های شخصی ما شهوت‌انگیز نباشند، اما هنوز سوابق خصوصی هستند. ما باید بتوانیم تصمیم بگیریم که چه زمانی، و چگونه آن‌ها را به اشتراک بگذاریم، اما با سرویس‌های ابری این انتخاب ممکن است همیشه برای ما نباشد.

داستان جنیفر لارنس در سیکل خبر آخر هفته کار در سال ۲۰۱۴ حاکم بود. این قسمتی از واقعه‌ای بود که The Fappening نام داشت، نشتی بزرگ از تصاویربرهنه و تقریباً برهنه ‏Rihanna‏، Kate Upton،Kaley Cuoco،Adrianne Curry و تقریباً سیصد فرد مشهور دیگر که تصاویر تلفن همراه آن‌ها به‌گونه‌ای از راه دور قابل‌دسترسی و به اشتراک گذاشته شده بود. درحالی‌که بعضی از مردم به‌طور قابل پیش‌بینی به دیدن این عکس‌ها علاقه‌مند بودند، این اتفاق برای بسیاری، یادآوری نگران‌کننده‌ای بود: همان چیزی که می‌توانست برای آن‌ها اتفاق بیفتد.

پس چطور یک نفر به آن تصاویر شخصی جنیفر لارنس و دیگران دسترسی پیدا کرد؟

ازآنجاکه همه افراد مشهور از iPhone ها استفاده می‌کردند، گمانه‌زنی اولیه متمرکز بر یک نقض بزرگ اطلاعاتی بود که بر خدمات iCloud اپل تأثیر می‌گذاشت، یک گزینه ذخیره‌سازی ابری برای کاربران آیفون. همین‌که دستگاه فیزیکی شما حافظه‌اش پر می‌شود، عکس‌های شما، فایل‌های جدید، موسیقی، و بازی‌ها به‌جای آن در یک سرور در Apple ذخیره می‌شوند، معمولاً درازای یک هزینه ماهانه کم. گوگل سرویس مشابهی را برای Android پیشنهاد می‌کند.

اپل که تقریباً هیچ‌وقت در رسانه‌ها در مورد مسائل امنیتی اظهارنظر نمی‌کرد، هرگونه خبطی در سمت خودشان را انکار کرد. این شرکت بیانیه‌ای را صادر کرد که این حادثه را "حمله بسیار هدفمند به نام کاربری، کلمه عبور و سؤالات امنیتی" خوانده است و افزود: " هیچ‌کدام از مواردی که ما بررسی کرده‌ایم ناشی از هرگونه نقض در هر یک از سامانه‌های اپل ازجمله iCloud یا "آیفون مرا پیدا کن" نبوده است. عکس‌ها ابتدا در یک انجمن هکری ظاهر شدند که به خاطر ارسال عکس‌های ربوده شده مشهور بود (پانوشت 1). در این انجمن می‌توانید بحث‌های فعالی را در مورد ابزارهای قانونی دیجیتال که به‌طور پنهانی به دست آوردن چنین عکس‌هایی مورداستفاده قرار می‌گیرند، پیدا کنید. محققان، بازرسان، و نیروهای انتظامی از این ابزارها برای دسترسی به داده‌ها از دستگاه‌ها و یا ابر استفاده می‌کنند، که معمولاً به دنبال یک جرم هستند. و البته این ابزارها نیز استفاده‌های دیگری دارند.

یکی از ابزارهایی که آشکارا در این انجمن مطرح شد، رمز عبور تلفن Elcomsoft یا EPPB است که قصد دارد ادارات انتظامی و دولتی را قادر سازد تا به حساب‌های کاربری دسترسی داشته باشند و به‌طور عمومی فروخته شوند. این تنها یکی از ابزارهای بسیار در آنجا است، اما به نظر می‌رسد که محبوب‌ترین آن‌ها در این فروم باشد. EPPB نیاز دارد که کاربران نام کاربری iCloud و اطلاعات رمز عبور را اول داشته باشند. بااین‌حال، برای افرادی که از این فروم استفاده می‌کنند، به دست آوردن iCloud و رمزهای عبور مشکل نیست.

این‌طور اتفاق افتاد که در تعطیلات آخر هفته در سال ۲۰۱۴، شخصی ابزاری بنام IBroute را به یک مخزن کد اینترنتی محبوب (‏Github)‏ ارسال کرد. IBroute یک مکانیسم هک رمز عبور که به‌طور خاص برای به دست آوردن اعتبار iCloud از هرکسی طراحی شده است. با استفاده از iBrute و EPPB، فردی می‌تواند هویت یک قربانی را جعل کند و یک پشتیبان کامل از اطلاعات آیفون ذخیره شده وی از روی آی کلود را بر روی یک دستگاه دیگر دانلود کند. این قابلیت زمانی مفید است که شما گوشی خود را ارتقا دهید. همچنین برای یک مهاجم ارزشمند است، کسی که می‌تواند هر چیزی را که تابه‌حال در دستگاه تلفن همراه خود انجام داده‌اید را ببیند. این امر اطلاعات بسیار بیشتری نسبت به تنها ورود به حساب کاربری ICloud یک قربانی به دست می‌دهد.

جاناتان زیارسکی (Jonathan Zdziarski)، یک مشاور پزشکی قانونی و محقق امنیتی به Wired گفت که بررسی عکس‌های منتشرشده از کیت Upton، برای مثال، با استفاده از iBrute و EPPB سازگار بود. داشتن دسترسی به یک پشتیبان آیفون ، به دست فرد حمله‌کننده بسیاری از اطلاعات شخصی را می‌دهد که ممکن است بعد برای اخاذی مفید باشد. در اکتبر ۲۰۱۶، لایان کالینز، سی‌وشش‌ساله اهل لنکستر، پنسیلوانیا، به خاطر "دسترسی غیرمجاز به یک کامپیوتر حفاظت‌شده برای به دست آوردن اطلاعات" مربوط به هک، به هجده ماه زندان محکوم شد. او متهم به دسترسی غیرقانونی به بیش از یک‌صد حساب کاربری Apple و ایمیل گوگل شد.

برای محافظت از iCloud و دیگر حساب‌های آنلاین خودتان، باید یک گذرواژه قوی تعیین کنید.این واضح است. بااین‌حال در تجربه من به‌عنوان یک آزمایش‌کننده‌ی نفوذ (Penetration Tester) کسی که به او پول می‌دهند تا شبکه‌های کامپیوتری رو هک کنه و آسیب‌پذیری پیدا کنه - متوجه شدم که بسیاری از افراد، حتی مدیران شرکت‌های بزرگ، وقتی به رمز عبور می‌رسند تنبل هستند. در نظر بگیرید که مدیرعامل شرکت تفریحات سونی، مایکل Lynton، از "sonyml3" به‌عنوان گذرواژه حساب دامنه خود استفاده کرد. تعجبی ندارد که ایمیل او هک شده و در سرتاسر اینترنت پخش شده است که مهاجمان دسترسی مدیریتی به همه‌چیز در داخل شرکت داشته‌اند.

پانوشت 1: http://anon-ib.com لطفا دقت داشته باشید این سایت برای کار ایمن نیست و همچنین ممکن است دارای تصاویر مشمعز کننده نیز باشد