Nous travaillons sur le marché de la sécurité de l'information depuis plusieurs années. Nos principaux clients sont des services répressifs de différents pays, des services spéciaux ainsi que des services de sécurité informatique dans de grandes entreprises. Parfois, nos clients partagent avec nous des histoires intéressantes; certains d'entre eux peuvent être lus dans les médias. Aujourd'hui, je veux raconter quelques histoires de personnes qui n'avaient «rien à cacher» et qui, par conséquent, ont eu de graves problèmes littéralement à l'improviste.
Quel est le problème?
J'écris souvent des articles sur la sécurité de l'information. Parfois, cela s'avère compréhensible pour un profane, parfois, probablement pas. "Quelque chose que je ne comprenais pas du tout concernant l'envoi de l'article [...] quel est le problème?", "À mon humble avis, le problème avec icloud est un peu tiré par les cheveux", et immortel - "Je n'ai pas pris la peine, je n'ai rien à cacher." Très bien, voyons si vous devez cacher quelque chose.
Celebgate: «Le problème iCloud est un peu tiré par les cheveux»
Plus de cinq ans se sont écoulés depuis la sortie de notre premier produit à extraire des données d'iCloud. La clé du produit Elcomsoft Phone Password Breaker (maintenant il a un nom différent), que nous vendions à l'époque exclusivement aux forces de l'ordre, a été volée et est tombée entre les mains d'un groupe de hackers.
«Du 31 août au 1er septembre 2014, les pirates ont organisé une fuite massive de photos de célébrités intimes du service iCloud. Les internautes ont marqué cet événement épique comme «Celebgate» et «The Fappening» », écrit
The Fappening NSFW! Alexander Slepchenko. Le lien ci-dessus peut également être trouvé avec les photos de personnes qui n'avaient rien à cacher.
Pour accéder à iCloud, les attaquants ont utilisé notre produit et les données réelles des comptes. Comment les connaissaient-ils? De différentes manières: quelque part il y avait des fuites, quelque part le mot de passe iCloud a été trouvé sur la base des mots de passe d'autres comptes, mais l'ingénierie sociale était le plus souvent utilisée: la victime a reçu une lettre dans laquelle, sous un prétexte farfelu, on lui a demandé de se connecter à son compte. Certaines victimes ont même été téléphonées, aidant à «sécuriser» le compte ou à «restaurer» l'accès à celui-ci après une «tentative de compromis».
Fait intéressant, au moment de l'événement, Apple avait déjà mis en œuvre une demi-mesure de protection - l'authentification en deux étapes (2SV), le pâle précurseur de l'authentification moderne à deux facteurs. Cependant, même cette demi-mesure Apple n'a été utilisée que partiellement, sans étendre la protection aux photos dans iCloud. Ce n'est qu'avec la sortie d'iOS 9 et d'OS X El Capitan en mars 2016 qu'Apple disposait d'un système d'authentification à deux facteurs moderne et fiable.
Pour savoir comment les pirates ont agi, quels programmes ils ont utilisés et où ils ont appris les mots de passe des victimes de l'attaque se trouvent dans l'article Forbes
Stealing Nude Pics From iCloud: Zero Hacking Skills - Just Some YouTube Guides article.
"Nous avons généralement la liberté d'expression!"
Oui bien sûr. La liberté de lire tout type de littérature et de ne pas être harcelée pour cela. Bonne vieille Angleterre, 2013. Le chef assistant pionnier (enfin, soyons l'assistant du chef des éclaireurs) John Cockcroft avait un e-book Kindle avec lui. Pendant le pliage, le conseiller a trouvé un livre. L'allumant et lisant le texte, le conseiller fut horrifié de trouver des descriptions de scènes explicites avec des mineurs. Les tentatives de John pour argumenter «c'est comme Lolita» ont échoué, le conseiller a appelé la police.
Ils ont attrapé le vieux pervers, ont fouillé, ont saisi des ordinateurs ... plus loin - une question technique: après une analyse approfondie de deux ordinateurs John, on a découvert des images d'une qualité très douteuse - jusqu'à 12 pièces.
Cette affaire a attiré notre attention car deux fichiers cryptés ont été trouvés sur l'ordinateur de John (dont la nature n'a pas été révélée), et nos produits sont conçus pour casser les mots de passe le plus rapidement possible. Dans ce cas, la police n'a pas pu pénétrer la défense et John a commis un autre crime en refusant de fournir les mots de passe de ces fichiers (selon la loi britannique, c'est tout à fait un crime). Sur l'ensemble des crimes, John a été condamné à trois ans de service communautaire, à trois ans de cours spéciaux et à trois ans d'observation. Le casier judiciaire ne sera supprimé qu'après cinq ans. Les détails de cette histoire peuvent être lus
ici .
IPhone volé et professeur renvoyé
Votre iPhone a été volé. Qui est à blâmer? Bien sûr que vous l'êtes! Vous serez renvoyé de votre travail et une procédure pénale sera engagée contre vous. Et tout cela parce que vous n'avez pas défini le code de verrouillage. Un non-sens féroce? Si seulement. Il n'y a pas si longtemps, en 2016, un iPhone du professeur de lycée Lee Anna Arthur de Caroline du Sud a été volé. Le voleur, qui s'est avéré être son élève de 16 ans, n'a eu aucun problème pour accéder au contenu de l'appareil: l'honnête professeur n'avait rien à cacher et elle n'a pas pris la peine de définir le code PIN. Au téléphone, l'élève a trouvé le selfie de l'enseignant en déshabillé, qu'il a volontiers distribué à ses camarades de classe, et a également publié sur les réseaux sociaux.
Finalement, l'Ă©tudiant Ă©tait toujours
puni . Mais Lee Arthur a perdu son emploi malgré la
pétition . Un an plus tard, les parties se sont entendues
à l'amiable ; l'élève a été renvoyé de l'école. À cette époque, Lee Anna Arthur était toujours au chômage.
La conclusion? Même si vous pensez que vous n'avez rien à cacher, vos collègues, vos supérieurs ou vos étudiants peuvent avoir une opinion contraire. Et si votre téléphone est volé, vous risquez au moins une carrière ruinée. Si vous pensez que "c'est en Amérique puritaine, mais nous l'avons ici ..." - en Russie pour licencier l'enseignant, même la nudité ne suffit pas, mais de
simples photos en maillot de bain (à propos, la phrase à la fin de l'article sur "accepté pour le travail précédent" n'est pas correspond à la réalité - il est facile de le vérifier en suivant simplement le lien). Pensez-vous toujours que vous n'avez rien à cacher?
Je viens de marcher dans la rue
Vous marchez le long de la rue, fixant le téléphone, et tombez dans la large poitrine d'un policier. Le policier a besoin d'un appareil, vous le remettez automatiquement entre les mains d'un représentant de la loi. Vous êtes accusé de pédophilie, sortez sous caution, détruisez les preuves. Maintenant, vous êtes accusé de contrevenir à la justice, mais, ayant méticuleusement bien, vous êtes toujours libéré. Vous comprenez: si vous n'aviez pas balayé les pistes, vous vous seriez assis pendant trois ans ...
Honnêtement, je ne pouvais pas inventer une telle chose. Mais maintenant - cela s'est produit et est entré dans les journaux, et maintenant cet incident est devenu mon illustration préférée lors des formations que je mène pour la police (dans le contexte: «ne répétez pas les erreurs de la police, gardez les téléphones saisis dans la cage de Faraday!»)
Donc la situation. Le gars de 19 ans était calmement et sans enfreindre les règles, conduisait dans la voiture avec sa petite amie. Il a été arrêté par la police pour un contrôle de routine. Le policier a aimé le téléphone et le gars qui n'avait «rien à cacher» a accepté la demande du policier de déverrouiller l'appareil. (Entre parenthèses: savez-vous que vous n'êtes absolument pas obligé de le faire, et le policier a le droit de demander, mais n'a pas le droit de vous obliger à déverrouiller l'appareil?) Au téléphone, le policier a trouvé des photos de la même petite amie qui était passager dans la voiture. (Étonnamment, non?) La petite amie sur les photos n'était pas habillée. La petite amie avait moins de 18 ans. Article pénal: création et diffusion de pornographie enfantine; Vous pouvez vous asseoir pendant dix ans.
Le gars, ne soyez pas idiot, est sorti sous caution, après quoi il a immédiatement initié la destruction des données via la fonction Find my iPhone.
Après un certain temps, la police a réalisé que le téléphone était verrouillé; Après avoir contacté l'accusé et reçu un mot de passe de lui, la police a été surprise de constater que le contenu du téléphone avait été détruit. Ayant perdu la seule preuve d'un crime terrible, la police furieuse a tenté de pendre un gars à la justice; à la fin, l'accusation s'est effondrée et le gars s'est échappé avec de sérieux tracas.
Moral? Même si vous n'avez rien à cacher, ne déverrouillez aucun appareil en le passant à la police. Soit dit en passant, les responsables de l'application des lois perçoivent cette histoire avec humour; J'ai entendu beaucoup de commentaires cyniques au sujet des actions de la police de Morristown, mais pas en direction de l'accusé.
Les détails ont été publiés dans un article WATE qui a ensuite été supprimé (mais
mis en cache par Google ). Nous avons enregistré la description de l'incident:
"Un homme de Morristown a été arrêté après que la police ait dit qu'il aurait essuyé à distance des photos nues de sa petite amie mineure de son iPhone."
«Darvel Walker, 19 ans, est accusé de falsification de preuves. La police a déclaré que le téléphone avait été confisqué lors d'un arrêt de la circulation le 23 février. Ils disent que Walker a autorisé les agents à fouiller son téléphone, et ils ont trouvé plusieurs images nues de la jeune fille mineure, qui était passager dans le véhicule.
"Une fois que les détectives ont appris que le téléphone était protégé par mot de passe, ils ont contacté Walker pour obtenir le mot de passe, mais ont ensuite découvert que les photos avaient disparu."
"Walker a été détenu avec une caution de 25 000 $."
Cas de vie
Toutes les histoires ne sont pas publiées dans les journaux. Trois cas nous sont également arrivés (en fait, beaucoup plus, mais nous ne pouvons pas parler de tout le monde).
Tablette de location de voitureLe premier était une société de location de voitures. Un iPad ordinaire a été installé dans la voiture de location comme système de navigation; Bien sûr, il n'y avait aucun code de verrouillage dessus. La curiosité m'a démantelé et je me suis connecté à la tablette avec notre <iOS Forensic Toolkit. Lors de la première tentative, il n'a pas été possible d'extraire les données: un profil MDM a été installé sur la tablette, ce qui interdit la création de sauvegardes. Mais le service de sécurité informatique n'a pas pris la peine de protéger l'appareil contre la suppression du profil MDM (pour cela, vous devez mettre une coche supplémentaire, dont les spécialistes de l'entreprise semblent tout simplement ne pas savoir l'existence).
Après avoir supprimé le profil MDM, une copie complète des données de la tablette était à ma disposition en quelques minutes. (En résumé: le jailbreak n'est pas nécessaire; EIFT définit le mot de passe pour la sauvegarde et le télécharge depuis l'appareil, ce qui donne accès à la plupart des informations, y compris les mots de passe). En conséquence, j'ai appris le mot de passe d'un réseau privé de location de voitures Wi-Fi, ainsi que les mots de passe de plusieurs comptes d'employés. L'histoire n'a pas été développée: je ne suis pas entré dans les comptes. Soit dit en passant, la sauvegarde elle-même réside toujours dans le dépotoir de ces trophées.
Téléphone bébéUne autre histoire concerne les téléphones «pour enfants», qui sont transmis des parents à un enfant ou donnés en dehors de la famille. Lorsque nous avions besoin d'un téléphone de test iPhone 5C, un ami de longue date m'a donné l'appareil. Le téléphone a été utilisé par son fils. Un ami m'a donné le téléphone, mais ne l'a pas laissé tomber et ne l'a pas détaché d'iCloud; en fait, je n'ai nettoyé que les contacts et les notes et supprimé les applications. J'ai défini le mot de passe pour la sauvegarde, téléchargé le trousseau, découvert le mot de passe à partir de l'identifiant Apple et détaché le téléphone d'iCloud, déconnectant Find my iPhone. J'ai accidentellement vu des mots de passe Wi-Fi, mail et plusieurs réseaux sociaux. Au téléphone, Find Friends a été activé, ce qui a réussi à montrer l'emplacement des parents de l'enfant (c'est-à -dire, mon ami et sa femme) en temps réel. Bien sûr, j'ai laissé tomber le téléphone et un ami a appelé et a suivi un programme d'éducation à la sécurité.
Filles intelligentesParfois, il est amusant de lire des nouvelles dans lesquelles les jeunes enfants sont beaucoup mieux informés en matière de sécurité que leurs parents. Ainsi, un enfant de sept ans a
réussi à contourner les restrictions de «temps d'écran» fixées par les parents. Un autre enfant a contourné les restrictions sur la visualisation de YouTube en s'envoyant des liens vers des vidéos dans les messages iMessage: les parents n'ont pas deviné bloquer cette application.
Un cas indicatif dans ce contexte s'est produit récemment avec notre employé. Je vais lui donner la parole. «Maintenant, je roulais dans un taxi avec un chauffeur qui parlait au téléphone avec ses filles (8 et 10 ans). Grand-mère leur a caché le téléphone afin de ne pas y rester longtemps, et on leur a dit qu'ils l'avaient volé. Ils se sont plaints de papa au téléphone, ont expliqué qu'un long mot de passe avait été défini en russe, puis ils ont finalement crié en chœur: "Pourquoi aurait-on besoin d'un téléphone avec un MOT DE PASSE!?" Ces filles intelligentes l'étaient. Elle a dit au chauffeur que je travaillais pour une entreprise qui récupérait des données à partir de téléphones. À laquelle le chauffeur m'a demandé s'il était vrai que le mot de passe sur l'iPhone ne pouvait pas être cassé, je l'ai rassuré. "