602
iCloud不是你的也不是喬布斯的,是黑客的
世界進入雲計算時代的標誌之一就是無所不在的iPhone、iPad和Mac上的iCloud服務。如今,無論你是否情願,個人隱私數據正在一步步被轉移到雲端,然後麵臨被黑客一鍋端掉的危險。這不是危言聳聽,亞馬遜和蘋果iCloud等公有雲的安全性到底有多差?個人如何在雲計算時代保護隱私數據?也許連線雜誌資深記者Mat Honan的遭遇可以給你一點啟示。
連線雜誌的高級記者Mat Honan最近出名了。 他的Twitter賬號, 蘋果賬號, 亞馬遜賬號在幾個月前被“匿名”組織的黑客攻破了。 一個叫Phobia的黑客進入了他的Twitter賬號, 發表了一係列種族主義言論。 黑客把他的iPhone, MacBook的數據, 連同在iCloud上的備份統統刪掉了。 而Phobia這麼做, 隻是為了抗議美國拘捕了著名的“匿名”組織黑客Luiz。
無需暴力破解,黑客自揭社交工程手法
Mat Honan又注冊了一個Twitter賬號, 告訴大家他的賬號密碼可能被黑客用暴力破解了。 也有人懷疑是他被盜號木馬盜號了。 這時, Phobia在Twitter上 @了他。 告訴他根本沒有用暴力破解的方式獲得密碼。 出於記者的好奇, Honan跟Phobia進行了交流, 黑客告訴了他是如何通過社交工程的方式, 通過亞馬遜, 蘋果的技術支持進入Honan的一係列賬號的。
Phobia選擇Honan實屬偶然。 這個倒黴的家夥有個好的Twitter賬號, 隻有3位字母的@mat. Phobia說他跟Honan無冤無仇, 就是喜歡這個賬號而已。
確定了目標之後, 黑客做了一些背景研究。 Honan的Twitter賬號和他的個人網頁相關聯, 從他的個人網頁上, Phobia找了了他的Gmail賬號。 然後他去了Google的重置密碼頁麵。 由於Honan沒有啟用Gmail的雙因素身份認證, 黑客可以看到Gmail用來設置密碼找回的備用郵箱。 盡管Google把一些字母隱掉了, 但是從m****n@me.com上, 黑客很容易根據Mat Honan的名字, 猜出郵件名。 此外, 根據蘋果 的me.com的後綴, 黑客知道這個賬號很可能關聯了一個Apple ID。
在Phobia給Honan的郵件裏, Phobia說道:
“老實說, 你可以進入與任何郵件關聯的蘋果賬號”。
Honan用了Phobia所說的辦法, 發現確實不難。
蘋果的賬號重置隻需要知道郵件, 賬單地址以及信用卡的後四位。 Phobia已經有了郵件地址, 剩下的就是賬單地址和信用卡後四位了。
黑客先從簡單的來, 他上網查了Honan個人網站的域名信息, 從那裏很容易就查到了Honan的賬單地址。
信用卡後四位稍微麻煩一些, 他們首先用了一個打電話給亞馬遜的客服, 要求在現在的賬號下加一張信用卡。 亞馬遜客服需要知道的是姓名, 郵件, 賬單地址和需要加的信用卡號當然是假的, 是根據信用卡號生成的算法生成的一個假的信用卡號。 亞馬遜的係統可以允許這樣的號碼,因為它在這個非交易階段, 不會去跟信用卡公司核對。 緊接著, 他們又打電話給亞馬遜的客服說把密碼弄丟了。 他們給亞馬遜客服提供了用戶, 賬單地址以及剛才新加的信用卡號, 亞馬遜允許關聯一個新的郵件地址。 然後黑客去亞馬遜的重置密碼頁麵。 把重置密碼發到這個新的郵件地址去。 從這封重置密碼的郵件裏, 亞馬遜列出了所有與該賬號關聯的信用卡的號碼(當然隻有後4位)。
但是, 就是這亞馬遜認為不重要的信用卡後4位, 是蘋果賬號身份認證的一個重要信息。 這樣, Phobia就有了Honan的郵件, 賬單地址和信用卡後四位。 他打電話給蘋果客服, 要求重置密碼。 然後, Honan的一切蘋果賬號就都被攻破了。 而且, 可憐的Honan還是用了AppleCare的Find My iPhone 和 Find My Mac, 結果, 他所有的資料都被刪了, 包括他女兒的所有照片。
Honan現在想起來還覺得自己還算幸運。 Phobia隻是想讓Honan難堪而已。 Honan說:
他們完全可以通過我的郵件進入我的網上銀行。 或者利用我的郵件, 通過社交工程的方法去欺騙別人。 Honan是連線雜誌的資深記者, 他的聯係人裏有很多矽穀的大佬。 要是這些人也被黑了那就糗大了。
不過, 後來, Phobia在郵件裏還是對把Honan女兒的照片全部刪掉表示了深深的歉意。 Honan說他甚至都沒有對Phobia的行為感到生氣。 他隻是氣自己作為一個資深IT記者, 竟然如此沒有防範意識。 讓一個單點失效導致所有數據丟失。
對這類密碼重置的社交工程攻擊, 需要網站和用戶共同來防禦, 下麵是幾點建議:
1) 網站在身份驗證的時候, 采用背景驗證的安全方式。 比如“以下5個地址哪個與你的名字相關”, 類似RSA身份驗證這樣的服務可以梳理掉那些很容易從網上找到的關於某用戶的信息。 從而使社交工程攻擊者的攻擊難度加大。
2) 用戶自己創造秘密問題, 幾乎所有的網站都會千篇一律的問“你的寵物的名字”, “你的小學老師的名字”這樣的秘密驗證問題。 網站可以在用戶注冊的時候, 讓用戶自己去創造一個秘密問題。 這樣可以減少被社交工程攻擊的風險。
3) 對重置密碼的請求保持高度警覺。 如果有重置密碼的請求, 網站可以對用戶的所有設備進行提示, 這樣可以避免像Honan那樣被人改了密碼還蒙在鼓裏
4) 對用戶來說, 盡量在不同網站使用不同的信用卡。 使不同的帳戶關聯不同的信用卡號。
5) 對采用Gmail啟用雙重因素身份認證。
最後更新:2017-04-02 22:15:49