Trabalhamos no mercado de segurança da informação há vários anos. Nossos principais clientes são órgãos de aplicação da lei de diferentes países, serviços especiais e departamentos de segurança de TI em grandes empresas. Às vezes, nossos clientes compartilham histórias interessantes conosco; alguns deles podem ser lidos na mídia. Hoje, quero contar algumas histórias sobre pessoas que “não tinham nada a esconder” e que, como resultado, tiveram sérios problemas literalmente do nada.
Qual é o problema?
Costumo escrever artigos sobre segurança da informação. Às vezes, é compreensível para um leigo, às vezes, provavelmente não. "Algo que eu não entendi sobre o envio do artigo [...] qual é o problema?", "IMHO, o problema com o icloud é um pouco rebuscado" e imortal - "eu não me incomodei, não tenho nada a esconder". Ótimo, vamos ver se você deve esconder alguma coisa.
Celebgate: “O problema do iCloud é um pouco absurdo”
Mais de cinco anos se passaram desde o lançamento do nosso primeiro produto para extrair dados do iCloud. A chave do produto Elcomsoft Phone Password Breaker (agora com um nome diferente), que na época vendíamos exclusivamente a agências policiais, foi roubada e caiu nas mãos de um grupo de hackers.
“De 31 de agosto a 1º de setembro de 2014, os hackers realizaram uma grande quantidade de fotos íntimas de celebridades do serviço iCloud. Os internautas marcaram esse épico evento como "Celebgate" e "The Fappening" ", escreve
The Fappening NSFW! Alexander Slepchenko. O link acima também pode ser encontrado com as fotos de pessoas que não tinham nada a esconder.
Para acessar o iCloud, os invasores usavam nosso produto e dados reais de contas. Como eles os conheciam? De maneiras diferentes: em algum lugar houve vazamentos, em algum lugar a senha do iCloud foi encontrada com base nas senhas de outras contas, mas a engenharia social foi mais usada: a vítima recebeu uma carta na qual, sob um pretexto absurdo, eram solicitados a fazer login em sua conta. Algumas vítimas foram até telefonadas, ajudando a "proteger" a conta ou a "restaurar" o acesso a ela após uma "tentativa de comprometimento".
Curiosamente, na época do evento, a Apple já havia implementado uma meia medida de proteção - autenticação em duas etapas (2SV), o precursor pálido da autenticação de dois fatores moderna. No entanto, mesmo essa meia-medida da Apple foi usada apenas parcialmente, sem estender a proteção às fotos no iCloud. Somente com o lançamento do iOS 9 e do OS X El Capitan, em março de 2016, a Apple teve um sistema de autenticação de dois fatores moderno e confiável.
Para saber como os hackers agiram, quais programas eles usaram e onde aprenderam as senhas das vítimas do ataque podem ser encontrados no artigo Forbes:
Roubar fotos nuas do iCloud requer zero habilidades de hackers - apenas alguns guias do YouTube .
"Geralmente temos liberdade de expressão!"
Sim claro. A liberdade de ler qualquer tipo de literatura e não ser assediada por isso. Boa velha Inglaterra, 2013. O líder pioneiro assistente (bem, vamos ser o assistente do líder dos batedores) John Cockcroft tinha um e-book do Kindle com ele. Durante o acampamento, o conselheiro encontrou um livro. Ao ligá-lo e ler o texto, o conselheiro ficou horrorizado ao encontrar descrições de cenas explícitas com menores de idade. As tentativas de John de argumentar que "é como Lolita" falharam, o conselheiro chamou a polícia.
Eles pegaram o velho tarado, fizeram uma busca, apreenderam os computadores ... ainda mais - uma questão técnica: depois de uma varredura completa de dois computadores John sobre eles, foram descobertas imagens de qualidade muito duvidosa - até 12 peças.
Esse caso chamou nossa atenção porque dois arquivos criptografados foram encontrados no computador de John (cuja natureza não foi divulgada) e nossos produtos foram projetados para quebrar senhas o mais rápido possível. Nesse caso, a polícia não conseguiu entrar em defesa, e John cometeu outro crime, recusando-se a fornecer as senhas para esses arquivos (de acordo com a lei britânica, isso é um crime). No conjunto dos crimes, John foi condenado a três anos de serviço comunitário, três anos de participação em cursos especiais e três anos de observação. O registro criminal será removido somente após cinco anos. Detalhes desta história podem ser lidos
aqui .
IPhone roubado e professor dispensado
Seu iPhone foi roubado. Quem é o culpado? Claro que você é! Você será demitido do trabalho e um processo criminal será instaurado contra você. E tudo porque você não definiu o código de bloqueio. Que disparate feroz? Se apenas. Há pouco tempo, em 2016, um iPhone foi roubado da professora do ensino médio Lee Anna Arthur da Carolina do Sul. A ladrão, que era sua aluna de 16 anos, não teve problemas para acessar o conteúdo do dispositivo: a professora honesta não tinha nada a esconder e não se incomodou em definir o código PIN. No telefone, o aluno encontrou a selfie do professor em lingerie, que ele alegremente distribuiu entre os colegas de classe, e também postou nas redes sociais.
No final, o aluno ainda foi
punido . Mas Lee Arthur perdeu o emprego, apesar da
petição . Um ano depois, as partes concordaram
fora do tribunal ; o aluno foi expulso da escola. Naquela época, Lee Anna Arthur ainda estava desempregada.
A conclusão? Mesmo que você ache que não tem nada a esconder, seus colegas, superiores ou estudantes podem ter a opinião oposta. E se o seu telefone for roubado, você corre o risco de pelo menos uma carreira em ruínas. Se você acha que "isso é na América puritana, mas aqui temos ..." - na Rússia, para demitir o professor, nem mesmo a nudez é suficiente, mas
fotos simples de maiô (a propósito, a frase no final do artigo sobre "aceito para o trabalho anterior" não é corresponde à realidade - é fácil verificar isso simplesmente seguindo o link). Você ainda acha que não tem nada a esconder?
Apenas desceu a rua
Você caminha pela rua, olhando para o telefone, e tropeça no peito largo de um policial. O policial exige um dispositivo, você o passa automaticamente para as mãos de um representante da lei. Você é acusado de pedofilia, sai sob fiança, destrói evidências. Agora você é acusado de contrariar a justiça, mas, tendo meticulosamente bem, você ainda é libertado. Você entende: se você não tivesse varrido as pistas, teria se sentado por três anos ...
Honestamente, eu não conseguia inventar uma coisa dessas. Mas agora - aconteceu e chegou aos jornais, e agora esse incidente se tornou minha ilustração favorita durante os treinamentos que eu conduzo para a polícia (no contexto: “não repita erros da polícia, mantenha os telefones apreendidos na gaiola de Faraday!”)
Então a situação. O garoto de 19 anos estava calmo e sem violar as regras, estava dirigindo o carro com a namorada. Ele foi parado pela polícia para uma verificação de rotina. O policial gostou do telefone e o cara que não tinha "nada a esconder" concordou com o pedido do policial para desbloquear o dispositivo. (Entre parênteses: você sabe que não é absolutamente obrigado a fazer isso, e o policial tem o direito de perguntar, mas não tem o direito de exigir que você desbloqueie o dispositivo?) No telefone, o policial encontrou fotos da mesma namorada que era passageira no carro. (Surpreendentemente, certo?) A namorada nas fotos não estava vestida. A namorada tinha menos de 18 anos. Artigo criminal: a criação e disseminação de pornografia infantil; Você pode sentar por dez anos.
O cara, não seja tolo, saiu sob fiança, após o que iniciou instantaneamente a destruição de dados através da função Find my iPhone.
Depois de algum tempo, a polícia percebeu que o telefone estava bloqueado; Depois de entrar em contato com o acusado e receber uma senha dele, a polícia ficou surpresa ao descobrir que o conteúdo do telefone havia sido destruído. Tendo perdido a única evidência de um crime terrível, a polícia furiosa tentou enforcar um homem em contrapartida à justiça; no final, a acusação se desfez e o cara escapou com sérios problemas.
Moral? Mesmo que você não tenha nada a esconder, não desbloqueie nenhum dispositivo passando-o para a polícia. A propósito, os agentes da lei percebem essa história com humor; Ouvi muitos comentários cínicos sobre as ações da polícia de Morristown, mas não na direção do acusado.
Os detalhes foram publicados em um artigo WATE que foi excluído posteriormente (mas
armazenado em cache pelo Google ). Salvamos a descrição do incidente:
"Um homem de Morristown foi preso depois que a polícia diz que ele remotamente removeu fotos nuas da namorada menor de idade do iPhone".
“Darvel Walker, 19, é acusado de adulterar evidências. A polícia diz que o telefone foi confiscado durante uma parada de trânsito em 23 de fevereiro. Eles dizem que Walker deu aos policiais permissão para revistar o telefone e descobriram o que disseram serem várias imagens nuas da menor de idade, que era passageira do veículo. ”
"Depois que os detetives descobriram que o telefone estava protegido por senha, eles entraram em contato com Walker para obter a senha, mas descobriram que as fotos haviam sumido."
"Walker estava detido sob fiança de US $ 25.000".
Casos de vida
Nem todas as histórias entram nos jornais. Três casos também aconteceram conosco (de fato, muito mais, mas não podemos contar sobre todos).
Tablet para aluguel de carroO primeiro foi uma empresa de aluguel de carros. Um iPad regular foi instalado no carro alugado como um sistema de navegação; Obviamente, não havia código de bloqueio. A curiosidade me desmontou e eu me conectei ao tablet com o nosso <iOS Forensic Toolkit. Na primeira tentativa, não foi possível extrair os dados: um perfil MDM foi instalado no tablet, o que proíbe a criação de backups. Mas o departamento de segurança de TI não se preocupou em proteger o dispositivo contra a remoção do perfil do MDM (para isso, é necessário marcar uma marca de seleção extra, cuja existência os especialistas da empresa simplesmente não sabem).
Após excluir o perfil do MDM, uma cópia completa dos dados do tablet estava à minha disposição em apenas alguns minutos. (Em poucas palavras: o jailbreak não é necessário; o EIFT define a senha do backup e faz o download do dispositivo, o que dá acesso à maioria das informações, incluindo senhas). Como resultado, aprendi a senha de uma rede privada de aluguel de carros Wi-Fi, bem como as senhas de várias contas de funcionários. A história não teve desenvolvimento: eu não entrei nas contas. A propósito, o próprio backup ainda está no lixão de tais troféus.
Telefone do bebêOutra história diz respeito aos telefones "infantis", que são passados dos pais para o filho ou doados fora da família. Quando precisávamos de um telefone de teste para iPhone 5C, um amigo de longa data me deu o dispositivo. O telefone foi usado por seu filho. Um amigo me deu o telefone, mas não o deixou cair e não o desatou do iCloud; de fato, limpei apenas contatos e notas e apaguei aplicativos. Defino a senha do backup, baixei o chaveiro, descobri a senha do Apple ID e desamarrei o telefone do iCloud, desconectando o Find my iPhone. Vi acidentalmente senhas de Wi-Fi, correio e várias redes sociais. No telefone, o Find Friends foi ativado, o que mostrava com êxito a localização dos pais da criança (ou seja, meu amigo e sua esposa) em tempo real. Claro, desliguei o telefone e um amigo ligou e tinha um programa de educação em segurança.
Meninas inteligentesÀs vezes, é divertido ler notícias nas quais crianças pequenas são muito mais esclarecidas em questões de segurança do que seus pais. Assim, uma criança de sete anos
conseguiu contornar as restrições do “tempo de tela” estabelecidas pelos pais. Outra criança contornou as restrições ao visualizar o YouTube enviando links para vídeos nas mensagens do iMessage: os pais não tentaram bloquear esse aplicativo.
Um caso indicativo nesse contexto ocorreu recentemente com nosso funcionário. Vou lhe dar a palavra. “Agora eu estava andando de táxi com um motorista que falava ao telefone com as filhas (8 e 10 anos). Vovó escondeu o telefone deles para que não ficassem lá por um longo tempo, e disseram que o haviam roubado. Eles reclamaram com o pai por telefone, explicaram que uma senha longa foi definida lá em russo e, finalmente, gritaram em coro: "Por que alguém precisaria de um telefone com uma SENHA!?" Essas garotas inteligentes eram. Ela disse ao motorista que eu estava apenas trabalhando para uma empresa que estava recuperando dados de telefones. Ao qual o motorista me perguntou se é verdade que a senha do iPhone não pode ser quebrada, eu o tranquilizei. "