`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Игорь Дериев

«Эпический» взлом, или Кто виноват?

+1113
голосов

Пожалуй, показательно, что массово обсуждаемая история произошла именно с журналистом. Его нельзя обвинить в «ламерстве», хотя он готов большую часть вины принять на себя, просто безумное увлечение различными социально-сетевыми инициативами притупляет внимание – слишком много предлагается соблазнов, призванных «упростить» нашу жизнь.

А суть истории в том, что у Мэта Хонана в одночасье были украдены аккаунты Amazon, AppleID, Gmail и Twitter, а плюс к тому – удаленно затерты iPhone, iPad и MacBook. И это все – без каких бы то ни было технических средств и уловок, исключительно за счет социальной инженерии.

Любопытен также момент – а ради чего все это было сделано? Хакер сам связался с Мэтом и сообщил, что изначальной причиной был всего лишь красивый (трехбуквенный) идентификатор в Twitter, но в целом он мол преследовал вполне благородную цель – обратить внимание на проблемы безопасности в социальных сетях, у крупных продавцов и пр. Поэтому кстати и не поленился подробно описать весь механизм.

Не буду пересказывать всю историю, в ней есть любопытные подробности, в которые имеет смысл вникнуть. Порассуждаю только о самом главном – основной потерей, конечно, оказались не аккаунты (хотя из-за них могло бы, пожалуй, пострадать реноме журналиста), а затертые данные. Таким образом создается впечатление, что основная вина как будто лежит на Apple, которая позволила по телефону восстановить «забытый» пароль по «упрощенной» схеме: хакер не смог ответить на секретный вопрос, но точно указал адрес и номер кредитки (последние четыре цифры).

Согласен, выглядит это несколько странно. И теперь я думаю, что, пожалуй, зря возмущался, когда в одном банке по телефону с меня упорно требовали ответ на секретный вопрос, не называя самого вопроса. Правильно делали! :) В конце концов, я же логически вывел, что именно мог «засекретить» в таком ответственном случае…

В описываемой ситуации была названа кредитка, что, видимо, и решило дело. Конечно, ее можно украсть или сфотографировать. Но, видимо, пиетет перед платежными документами у американцев слишком велик. Сегодня Apple приостановила все сколько-нибудь сомнительные способы восстановлений паролей и это является чуть ли не новостью номер 1. Однако, откуда хакер узнал номер кредитки?

В Amazon. Оказывается, он без знания пароля смог по телефону добавить в нужный аккаунт (Мэта) новую кредитку – вероятно, с фальсифицированным номером, а уже с ее помощью восстановить пароль. Здорово, не правда ли? Необходимый при этом адрес Мэта он нашел в публичных источниках, равно как и другую менее важную информацию. Чем объяснить такое попустительство со стороны Amazon? По-моему, только жадностью. То есть для желающих добавить кредитку – потенциальное средство будущих платежей – открыты все пути, не взирая ни на какие риски.

Давеча вот коллега возмущался, что у нас сложно совершать чисто онлайновые покупки. Но исходя из вышеописанного, стоит, пожалуй, даже поприветствовать позицию отечественного бизнеса, который не торопится во всем идти навстречу клиенту. Стоит ли без оглядки спешить в неизведанное?

+1113
голосов

Напечатать Отправить другу

Читайте также

история произошла именно с журналистом. Его нельзя обвинить в «ламерстве»

Т.е его нельзя обвинить в ламерстве потому, что "журналист"?

Чем объяснить такое попустительство со стороны Amazon

Снова не понял - Амазон виноват в том, что хакер

Необходимый при этом адрес Мэта нашел в публичных источниках, равно как и другую менее важную информацию

Или в этом "виновата" та самая безудержная "социализация", когда люди, не думая головой, сначала выбрасывают в открытый доступ всю свою подноготную, а потом начинаю кричать о нарушениях privacy и о том, что эти данные были использованы против них?

журналиста нельзя обвинить потому, что из его текста следует, что он кое-что понимает.
Амазон виноват в том, что позволил без пароля и серьезной проверки что-то сделать с аккаунтом.
неужели нужно все настолько разжевывать? ведь вывод вы таки сделали правильный :)

Социализация тут не при чем - адрес нашли по whois-записям сайта пострадавшего. Зачем он туда вписал домашний адрес - еще тот вопрос :)

Про "жадность" Amazon не согласен. Если рассматривать чисто взлом аккаунт Amazon (а не использование его как площадки для атаки других ресурсов - согласитесь, просчитать такие риски ОЧЕНЬ сложно), то что можно получить с добавленной кредитки или (если на то пошло) полученного доступа к аккаунту? Навредить можно, а поиметь - не особо.

ну да (про Амазон).
согласитесь, кредитка - критичный реквизит, даже только потому, что может использоваться для разблокировании аккаунта. принять новый критичный реквизит, не востребовав прежнего критичного реквизита? да что ж тут просчитывать. очевидно же.
что можно получить - вот, номер кредитки другого человека. не готов утверждать, что только с его помощью можно извлечь прямую финансовую выгоду. но нередко он используется как элемент верификации, при подписке на бесплатные сервисы (чтобы в случае перебора взимать таки плату) и пр. а если встать на вашу точку зрения, то аккаунт можно и вовсе не защищать - что с него поимеешь?

Получили не номер, а его последние четыре цифры. Они печатаются на любом чеке и слипе, так что они абсолютно несекретны.
То, что по ним Apple позволила завладеть аккаунтом - ляп Apple.
А вот то, что по несекретной информации позволили добавить параметр, позволяющий потом целиком завладеть паролем - ляп Amazon.

Социализация тут не при чем - адрес нашли по whois-записям сайта пострадавшего

Ну... можно, наверное, попытаться вычислить - сайт/домен он себе завел после очередного аккаунта в каком-нить твиттере или до, но врядли это важно сейчас.
"Социализация" тут причем в том смысле, что человек привыкает легко и непринужденно раздавать как свои рабочие реквизиты, так и личные данные, плюс логин под единым/универсальным аккаунтом, упрощенные процедуры аутентификации и т.д
Т.е вот лично я не думаю, что Амазон и Яблоки в свое время поскупились на консультацию у некоего агенства по СБ (если им своих спецов мало) - подобные упрощения шаг явно сознательный, шоб казуалов не отпугивать - ведь их уже приучили, что регистрация - это просто (а часто и вообще не нужна, если уже есть аккаунт у гугла, скажем), а случись чего - так восстановление "забытого" пароля еще проще.
Собственно, ниже про тоже самое пишут.

Виноваты обе стороны.
Amazon и Apple - в том, что используют "дырявый" механизм напоминания пароля. Фактически не контролируя выдачу информации.
Никакого подтверждения личности, вернее "подтверждение" на основе доступных в паблике данных.
А тот факт, что после этого случая эту схему удалось эксплуатировать говорит о том, что безопасность была принесена в жертву удобству.

Пользователь виноват в том, что не использовал двухфакторную аутентификацию и не делал бэкапов.

На самом деле, по моему скромному мнению, проблема глубже.
С одной стороны - низкий уровень культуры использования высоких технологий, незнание/невыполнение простых правил.
С другой стороны - "социальная лихорадка".
Глупое стремление многих публиковать о себе как можно больше информации, подкрепляемое "психиатрами", которые навязывают мысль "человек без учетки в соц. сетях - не нормален".

Советую ознакомится с докладом Стива Рамбама на конференции HOPE

видео, оригинал
часть 1 http://vimeo.com/13644580
часть 2 http://vimeo.com/13644748

текст, русский перевод
http://af0n.ru/Steven-Rambam-Anonimnosti-net-bolshe-net-Naibolee-POLNYJ-...

двухфакторная аутентификация защитила бы только Google и Twitter. аккаунты Amazon и Apple все-равно бы хакнули.

в остальном согласен:
непонятные большинству, но доступные технологии + социализация на грани эксгибиционизма = проблемы, которые сегодня даже трудно представить

Amazon решила "по-тихому" закрыть брешь.
Ждем реакции Apple.

"On Tuesday, Amazon handed down to its customer service department a policy change that no longer allows people to call in and change account settings, such as credit cards or email addresses associated with its user accounts."

Amazon Quietly Closes Security Hole After Journalist’s Devastating Hack
http://www.wired.com/gadgetlab/2012/08/amazon-changes-policy-wont-add-ne...

Давеча вот коллега возмущался, что у нас сложно совершать чисто онлайновые покупки. Но исходя из вышеописанного, стоит, пожалуй, даже поприветствовать позицию отечественного бизнеса, который не торопится во всем идти навстречу клиенту. Стоит ли без оглядки спешить в неизведанное?

Ну-ну... да и вообще тогда лучше отключить интернет и прочие технологические достижения современности, а то от них одни проблемы с безопасностью!

Всегда проще убежать от проблемы, чем попытаться ее решить, однако со стороны это выглядит также как страус с головой в песке.

А то что Вы называете позицией отечественного бизнеса - это ни что иное как нежелание заниматься решением данных проблем. Имхо конечно же...
)

не обязательно все понимать буквально :)
ну а с технологическим прогрессом действительно все не просто...

Игорь, простите, я не нарочно )
просто эта ’позиция отечественного бизнеса’ уже надоела и не мне одному...

согласен, что с технологическим процессом не все так просто и спасибо Вам за интерсные стать и пищу для размышлений!

Может ЭЦП какую-нибудь приделать? Особенно для сервисов котоые хотят от людей бабла. По-моему логично.

Не хочу никого обидеть, но "позиция бизнеса" есть и будет приличной дырой в любой безопасности.
Из личного опыта: в Пиплнете, на старте для доступа в EVDO были нормальные буквенно-цифровые пароли подобающей длины. Через месяц с "позиций бизнеса" они были сделаны чисто цифровыми, потом урезаны вообще до 8 цифр.
Причем обращаю внимание, всяких айфиговин тогда еще было исчезающе мало, а значит средний интеллект пользователей 3G еще был на уровне.
Но то, небольшое количество, "богатых друзей известного бизнесмена", смогло существенно повлиять на общую политику безопасности оператора связи.

А вы говорите "причем тут бизнес"...

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT