Wir sind seit mehreren Jahren auf dem Markt für Informationssicherheit tätig. Unsere Hauptkunden sind Strafverfolgungsbehörden verschiedener Länder, Spezialdienste sowie IT-Sicherheitsabteilungen in großen Unternehmen. Manchmal teilen unsere Kunden interessante Geschichten mit uns; Einige von ihnen können in den Medien gelesen werden. Heute möchte ich ein paar Geschichten über Menschen erzählen, die „nichts zu verbergen“ hatten und infolgedessen aus heiterem Himmel ernsthafte Probleme hatten.
Was ist das Problem?
Ich schreibe oft Artikel über Informationssicherheit. Manchmal stellt sich heraus, dass es für einen Laien verständlich ist, manchmal wahrscheinlich nicht. "Etwas, das ich überhaupt nicht verstanden habe, um den Artikel zu senden [...], was ist das Problem?", "IMHO, das Problem mit icloud ist ein bisschen weit hergeholt" und unsterblich - "Ich habe mich nicht darum gekümmert, ich habe nichts zu verbergen." Großartig, mal sehen, ob du etwas verstecken solltest.
Celebgate: „Das iCloud-Problem ist etwas weit hergeholt.“
Mehr als fünf Jahre sind seit der Veröffentlichung unseres ersten Produkts vergangen, das Daten aus iCloud extrahiert. Der Schlüssel zum Produkt Elcomsoft Phone Password Breaker (jetzt mit einem anderen Namen), das wir zu diesem Zeitpunkt ausschließlich an Strafverfolgungsbehörden verkauften, wurde gestohlen und fiel in die Hände einer Hacker-Gruppe.
„Vom 31. August bis 1. September 2014 haben Hacker eine Menge intimer Promi-Fotos aus dem iCloud-Dienst veröffentlicht. Internetnutzer haben dieses epische Ereignis als "Celebgate" und "The Fappening" markiert, schreibt
The Fappening NSFW! Alexander Slepchenko. Der obige Link enthält auch Fotos von Personen, die nichts zu verbergen hatten.
Für den Zugriff auf iCloud verwendeten Angreifer unser Produkt und echte Daten von Konten. Woher kannten sie sie? Auf verschiedene Arten: Irgendwo gab es Lecks, irgendwo wurde das iCloud-Passwort basierend auf den Passwörtern für andere Konten gefunden, aber Social Engineering wurde am häufigsten verwendet: Das Opfer erhielt einen Brief, in dem es unter einem weit hergeholten Vorwand aufgefordert wurde, sich in sein Konto einzuloggen. Einige Opfer wurden sogar angerufen, um das Konto zu "sichern" oder den Zugriff darauf nach einem "Kompromissversuch" "wiederherzustellen".
Interessanterweise hatte Apple zum Zeitpunkt der Veranstaltung bereits eine halbe Schutzmaßnahme implementiert - die Two-Step-Authentifizierung (2SV), den blassen Vorläufer der modernen Zwei-Faktor-Authentifizierung. Selbst dieser halbe Apple-Maßstab wurde jedoch nur teilweise verwendet, ohne den Schutz auf Fotos in iCloud auszudehnen. Erst mit der Veröffentlichung von iOS 9 und OS X El Capitan im März 2016 verfügte Apple über ein modernes und zuverlässiges Zwei-Faktor-Authentifizierungssystem.
Informationen darüber, wie sich die Hacker verhalten haben, welche Programme sie verwendet haben und wo sie die Passwörter der Opfer des Angriffs gelernt haben, finden Sie im englischen Artikel Forbes. Das
Stehlen von Nacktbildern aus iCloud erfordert keine Hacking-Fähigkeiten - nur einige YouTube-Anleitungen .
"Wir haben im Allgemeinen Redefreiheit!"
Ja natürlich. Die Freiheit, jede Art von Literatur zu lesen und nicht dafür belästigt zu werden. Gutes altes England, 2013. Der stellvertretende Pionierführer (nun, lasst uns der Assistent des Pfadfinderführers sein) John Cockcroft hatte ein Kindle-E-Book bei sich. Während des Faltcamps fand der Berater ein Buch. Der Berater schaltete es ein und las den Text. Er war entsetzt, als er Beschreibungen expliziter Szenen mit Minderjährigen fand. Johns Versuche zu argumentieren, "es ist wie Lolita", scheiterten, rief der Berater die Polizei.
Sie schnappten sich den alten Perversen, machten eine Suche, beschlagnahmten Computer ... weiter - eine technische Frage: Nach einem gründlichen Scan von zwei John-Computern wurden Bilder von sehr zweifelhafter Qualität entdeckt - bis zu 12 Stück.
Dieser Fall erregte unsere Aufmerksamkeit, da zwei verschlüsselte Dateien auf Johns Computer entdeckt wurden (deren Art nicht bekannt gegeben wurde) und unsere Produkte so konzipiert sind, dass Passwörter so schnell wie möglich geknackt werden. In diesem Fall konnte die Polizei nicht in die Verteidigung einbrechen, und John beging ein weiteres Verbrechen, indem er sich weigerte, die Passwörter für diese Akten anzugeben (nach britischem Recht ist dies ein ziemliches Verbrechen). In der Summe der Verbrechen wurde John zu drei Jahren Zivildienst, drei Jahren Teilnahme an Spezialkursen und drei Jahren Beobachtung verurteilt. Das Strafregister wird erst nach fünf Jahren entfernt. Details zu dieser Geschichte können hier gelesen
werden .
Gestohlenes iPhone und entlassener Lehrer
Ihr iPhone wurde gestohlen. Wer ist schuld? Natürlich bist du! Sie werden von der Arbeit entlassen und ein Strafverfahren gegen Sie eingeleitet. Und das alles, weil Sie den Sperrcode nicht festgelegt haben. Heftiger Unsinn? Wenn. Vor nicht allzu langer Zeit, im Jahr 2016, wurde der Highschool-Lehrerin Lee Anna Arthur aus South Carolina ein iPhone gestohlen. Die Diebin, die sich als ihre 16-jährige Schülerin herausstellte, hatte keine Probleme, auf den Inhalt des Geräts zuzugreifen: Die ehrliche Lehrerin hatte nichts zu verbergen, und sie machte sich nicht die Mühe, den PIN-Code festzulegen. Am Telefon fand der Schüler das Selfie des Lehrers im Negligé, das er gerne unter den Klassenkameraden verteilte und auch in sozialen Netzwerken veröffentlichte.
Am Ende wurde der Student noch
bestraft . Aber Lee Arthur verlor trotz der
Petition ihren Job. Ein Jahr später einigten
sich die Parteien
außergerichtlich ; Der Schüler wurde von der Schule ausgeschlossen. Zu dieser Zeit war Lee Anna Arthur noch arbeitslos.
Die Schlussfolgerung? Selbst wenn Sie glauben, nichts zu verbergen, sind Ihre Kollegen, Vorgesetzten oder Studenten möglicherweise der gegenteiligen Meinung. Und wenn Ihr Telefon gestohlen wird, riskieren Sie zumindest eine ruinierte Karriere. Wenn Sie denken, dass "dies im puritanischen Amerika ist, aber hier haben wir es ..." - in Russland, um den Lehrer zu entlassen, reicht nicht einmal Nacktheit aus, sondern
einfache Fotos in einem Badeanzug (der Satz am Ende des Artikels über "für den vorherigen Job angenommen" ist es übrigens nicht entspricht der Realität - es ist einfach, dies zu überprüfen, indem Sie einfach dem Link folgen. Glaubst du immer noch, du hast nichts zu verbergen?
Ging einfach die Straße entlang
Sie gehen die Straße entlang, starren auf das Telefon und stolpern in die breite Brust eines Polizisten. Der Polizist benötigt ein Gerät, das Sie automatisch an einen Vertreter des Gesetzes weitergeben. Sie werden der Pädophilie beschuldigt, gehen gegen Kaution aus, zerstören Beweise. Jetzt werden Sie beschuldigt, der Gerechtigkeit entgegenzuwirken, aber nachdem Sie akribisch gut sind, sind Sie immer noch freigelassen. Sie verstehen: Wenn Sie die Spuren nicht gekehrt hätten, hätten Sie sich drei Jahre lang hingesetzt ...
Ehrlich gesagt konnte ich so etwas nicht erfinden. Aber jetzt - es ist passiert und in die Zeitungen gekommen, und jetzt ist dieser Vorfall meine Lieblingsillustration während der Schulungen, die ich für die Polizei durchführe (im Zusammenhang: „Wiederholen Sie keine Polizeifehler, bewahren Sie die beschlagnahmten Telefone im Faradayschen Käfig auf!“).
Also die Situation. Der 19-jährige war ruhig und fuhr mit seiner Freundin im Auto, ohne gegen die Regeln zu verstoßen. Er wurde von der Polizei für eine Routinekontrolle angehalten. Der Polizist mochte das Telefon und der Typ, der "nichts zu verbergen" hatte, stimmte der Aufforderung des Polizisten zu, das Gerät zu entsperren. (In Klammern: Wissen Sie, dass Sie absolut nicht dazu verpflichtet sind und der Polizist das Recht hat zu fragen, aber nicht das Recht hat, dass Sie das Gerät entsperren müssen?) Am Telefon fand der Polizist Fotos derselben Freundin, die ein Passagier im Auto war. (Überraschenderweise richtig?) Die Freundin auf den Bildern war nicht angezogen. Die Freundin war unter 18 Jahre alt. Krimineller Artikel: Schaffung und Verbreitung von Kinderpornografie; Sie können sich zehn Jahre lang hinsetzen.
Der Typ, sei kein Dummkopf, ging gegen Kaution aus, woraufhin er sofort die Zerstörung von Daten über die Funktion "Mein iPhone suchen" einleitete.
Nach einiger Zeit stellte die Polizei fest, dass das Telefon gesperrt war. Nachdem die Polizei den Angeklagten kontaktiert und ein Passwort von ihm erhalten hatte, stellte sie überrascht fest, dass der Inhalt des Telefons zerstört worden war. Nachdem die wütende Polizei die einzigen Beweise für ein schreckliches Verbrechen verloren hatte, versuchte sie, einen Mann wegen Gegenmaßnahmen gegen die Justiz aufzuhängen. Am Ende fiel der Vorwurf auseinander und der Typ entkam mit ernstem Ärger.
Moral? Auch wenn Sie nichts zu verbergen haben, entsperren Sie keine Geräte, indem Sie sie an die Polizei weitergeben. Übrigens nehmen Strafverfolgungsbeamte diese Geschichte mit Humor wahr; Ich hörte viele zynische Kommentare über die Aktionen der Polizei in Morristown, aber keine in Richtung des Angeklagten.
Details wurden in einem WATE-Artikel veröffentlicht, der anschließend gelöscht (aber
von Google zwischengespeichert ) wurde. Wir haben die Vorfallbeschreibung gespeichert:
"Ein Mann aus Morristown wurde verhaftet, nachdem die Polizei behauptet hatte, er habe angeblich Nacktfotos seiner minderjährigen Freundin von seinem iPhone entfernt."
„Darvel Walker, 19, wird beschuldigt, Beweise manipuliert zu haben. Die Polizei sagt, das Telefon sei während einer Verkehrsbehinderung am 23. Februar beschlagnahmt worden. Walker habe den Beamten die Erlaubnis gegeben, sein Telefon zu durchsuchen, und sie hätten mehrere Nacktbilder des minderjährigen Mädchens gefunden, das ein Passagier im Fahrzeug war. “
"Als die Detectives erfuhren, dass das Telefon passwortgeschützt war, kontaktierten sie Walker, um den Passcode zu erhalten, stellten dann jedoch fest, dass die Fotos verschwunden waren."
"Walker hatte eine Anleihe im Wert von 25.000 US-Dollar."
Lebensfälle
Nicht alle Geschichten kommen in Zeitungen. Drei Fälle sind uns auch passiert (tatsächlich viel mehr, aber wir können nicht über jeden berichten).
Mietwagen TabletDer erste war eine Autovermietung. Ein normales iPad wurde als Navigationssystem in den Mietwagen eingebaut; Natürlich gab es keinen Sperrcode. Die Neugier hat mich demontiert und ich habe mich mit unserem <iOS Forensic Toolkit mit dem Tablet verbunden. Beim ersten Versuch war es nicht möglich, die Daten zu extrahieren: Auf dem Tablet wurde ein MDM-Profil installiert, das die Erstellung von Sicherungen verhindert. Die IT-Sicherheitsabteilung hat sich jedoch nicht die Mühe gemacht, das Gerät vor dem Entfernen des MDM-Profils zu schützen (hierfür müssen Sie ein zusätzliches Häkchen setzen, dessen Existenz die Unternehmensspezialisten einfach nicht zu kennen scheinen).
Nach dem Löschen des MDM-Profils stand mir innerhalb weniger Minuten eine vollständige Kopie der Daten vom Tablet zur Verfügung. (Kurz gesagt: Jailbreak ist nicht erforderlich. EIFT legt das Kennwort für die Sicherung fest und lädt es vom Gerät herunter, wodurch auf die meisten Informationen, einschließlich Kennwörter, zugegriffen werden kann.) Infolgedessen habe ich das Passwort von einem privaten Wi-Fi-Autovermietungsnetzwerk sowie die Passwörter von mehreren Mitarbeiterkonten gelernt. Die Geschichte wurde nicht weiterentwickelt: Ich ging nicht in die Konten. Das Backup selbst liegt übrigens immer noch in der Müllkippe solcher Trophäen.
Baby TelefonEine andere Geschichte handelt von „Kindertelefonen“, die von den Eltern an ein Kind weitergegeben oder außerhalb der Familie gespendet werden. Als wir ein Testtelefon für das iPhone 5C brauchten, gab mir ein langjähriger Freund das Gerät. Das Telefon wurde von seinem Sohn benutzt. Ein Freund gab mir das Telefon, ließ es aber nicht fallen und löste es nicht von iCloud. Tatsächlich habe ich nur Kontakte und Notizen bereinigt und Anwendungen gelöscht. Ich habe das Kennwort für die Sicherung festgelegt, den Schlüsselbund heruntergeladen, das Kennwort von der Apple ID ermittelt und das Telefon von iCloud gelöst und die Verbindung zu Find my iPhone getrennt. Ich habe versehentlich Passwörter von Wi-Fi, Mail und mehreren sozialen Netzwerken gesehen. Am Telefon wurde Find Friends aktiviert, wodurch der Standort der Eltern des Kindes (dh meines Freundes und seiner Frau) in Echtzeit erfolgreich angezeigt wurde. Natürlich ließ ich das Telefon fallen und ein Freund rief an und hatte ein Sicherheitserziehungsprogramm.
Kluge MädchenManchmal macht es Spaß, Nachrichten zu lesen, in denen kleine Kinder in Sicherheitsfragen viel besser versiert sind als ihre Eltern. So gelang es einem siebenjährigen Kind
, die von den Eltern festgelegten Einschränkungen der „Bildschirmzeit“
zu umgehen . Ein anderes Kind hat die Einschränkungen beim Anzeigen von YouTube umgangen, indem es sich Links zu Videos in iMessage-Nachrichten gesendet hat: Eltern haben nicht vermutet, diese Anwendung zu blockieren.
Ein diesbezüglicher Fall ist kürzlich bei unserem Mitarbeiter aufgetreten. Ich werde ihr das Wort geben. „Jetzt fuhr ich mit einem Fahrer in einem Taxi, der mit seinen Töchtern (8 und 10 Jahre alt) telefonierte. Oma versteckte das Telefon vor ihnen, damit sie nicht lange darin saßen, und ihnen wurde gesagt, dass sie es gestohlen hatten. Sie beschwerten sich telefonisch bei Papa, erklärten, dass dort ein langes Passwort auf Russisch festgelegt sei, und schrien schließlich im Refrain: „Warum sollte jemand ein Telefon mit einem PASSWORT brauchen?“ Solche klugen Mädchen waren. Sie erzählte dem Fahrer, dass ich gerade für eine Firma arbeite, die Daten von Telefonen wiederherstellt. Zu dem der Fahrer mich fragte, ob es wahr ist, dass das Passwort auf dem iPhone nicht gebrochen werden kann, versicherte ich ihm. "