Gyurkity Péter
Nem bízhatjuk adatainkat a felhőre
Erre figyelmeztet biztonsági szakértők mellett többek között Steve Wozniak is, az Apple társ-alapítója, aki szerint a felhő-technológia, valamint a felhőben tárolt adatmentés és biztonsági mentések elterjedése és esetleges univerzálissá válása nagyon komoly problémákat hoz majd magával az elkövetkező években. A felhasználó adatai nem lesznek biztonságban a központi tárolást előtérbe helyező eljárással, akár teljes digitális életünket is elveszíthetjük, erre pedig immár példa is akad, amelyben több, elméletileg különálló, ám valójában mégis összefonódó platform sebezhetősége is előtérbe került.
Az elmúlt hetekben ismét több sikeres támadásról olvashattunk olyan nagy nevek kapcsán, mint a Yahoo, a LinkedIn, vagy éppen a Last.fm és az eHarmony. Egyedül június folyamán több millió felhasználót érintettek ezek az akciók, a keresőcégtől 400 ezer fiókot loptak el, de ezzel egy időben hasonló károkat okoztak a Gamigo játékoldalon, a Phandroid és az nVidia fórumán, illetve egyéb portálokon. Ebben semmi új nincs, azt nagyjából mindenki elfogadja, hogy a korábbinál sokkal többen vadásznak az online módon elérhető adatokra és hozzáférésekre, és ezen személyek, csoportok közül sokan nem éppen nemes céloktól vezérelve cselekednek (hogy mondjuk szimplán felhívják a figyelmet a sebezhetőségre).
A biztonsággal kapcsolatos problémákról a nyár elején mi is hosszabban írtunk, akkor a jelszavak sebezhetőségét, azok leváltásának nehézségét helyeztük előtérbe, augusztus első hetében a Wired munkatársának esete azonban rámutatott arra, hogy milyen kaliberű problémával nézünk szembe, a történet pedig nemcsak a megszokott beléptetési módszereket, de magukat a beléptető rendszereket és az azokat üzemeltető cégeket is meglehetősen rossz színben tünteti fel.
Mat Honan egymással összehangolt felhasználói fiókjainak feltörése, valamint az ott található adatok és biztonsági mentések teljes törlése mindössze egyetlen órát vett igénybe, ebben azonban nem kizárólag a támadók (akik eredetileg a férfi Twitter-oldalához akartak hozzáférni), de több ügyfélszolgálat is ludas volt. Az elkövetők egészen pontosan a hárombetűs Twitter-azonosító alatt akartak nem éppen politikailag korrekt üzeneteket közzétenni, majd pedig páholyból nézni az így keletkező káoszt, erre pedig megvolt a saját módszerük, amelynek nem része a jelszavak kitalálása, vagy az úgynevezett brute-force eljárás azok megfejtésére.
A Twitter oldalán megtalálták az ott belinkelt gmail-címet, ezt felhasználva a Gmail lapján hozzáfértek a csak részben látható másodlagos címhez, ami történetesen egy AppleID, vagyis @me.com cím volt. Nem volt nehéz kitalálniuk a hiányzó (a Google által letakart) karaktereket, innentől kezdve pedig már csak egy számlázási címre, valamint az ahhoz passzoló hitelkártya négy, minden rendszerben látható számára volt szükségük, hogy valóban hozzáférjenek az AppleID fiókhoz. Mivel Honan rendelkezik saját doménnel, a számlázási címet innen megszerezték, a hitelkártya 4 számát pedig az Amazontól kapták meg, egy egyszerű trükkel.
Először azzal tárcsázták fel a céget, hogy egy új kártyát szeretnének hozzáadni a meglévő fiókhoz, ehhez pedig mindössze a teljes névre, a belépéshez használt email címre, valamint a számlázási címre van szükség. Hozzáadatták a fiókhoz az általuk generált kártyaszámot, majd ezután egy második hívás során azt állították, hogy nem tudnak hozzáférni a fiókhoz, így szeretnének egy új email címet beállítani ahhoz (itt viszont már használhatják a vadonatúj, hamis kártyaszámot a telefonáló azonosításához). Az új email címre kiküldetik az ideiglenes jelszót és máris megvan a hozzáférés az Amazon-fiókhoz, az azon szereplő összes kártyával együtt (csak a 4 utolsó számjegyhez, ez viszont elegendő az AppleID-fiók feltöréséhez).
A név, az email, a pontos cím, valamint a hitelkártya négy utolsó számának birtokában már gyerekjáték volt az AppleID feltörése, ebben professzionális módon segédkezett az Apple ügyfélszolgálata, a következő lépés részeként pedig törölték az iCloud rendszerében, ezzel együtt pedig az ahhoz párosított iPhone, iPad, illetve MacBook tárolóin található összes adatot. A meglévő biztonsági kérdések nem jelentettek akadályt a behatolóknak, és jellemző módon, amikor a férfi maga telefonált be azzal, hogy nem tud hozzáférni saját fiókjához, először egy teljesen más fiók biztonsági kérdéseire kellett (volna) válaszolnia, mivel elértették a családnevét.
Adatainak elvesztése, valamint Twitter-oldalának feltúrása után Honan mégis némileg hálás volt az elkövetőknek, hogy nem használták email-címeit ismert személyekkel történő kapcsolatfelvételre, avagy a bankszámláihoz való hozzáférésre, amit egyébként szintén megtehettek volna. Az egyik tettessel kialakult rövid levelezésben megismerte a támadás részleteit, ezt ismertette az érintett cégekkel és a közvéleménnyel is, hozzátéve, hogy az illető saját elmondása szerint szintén a sebezhetőségekre kívánta felhívni a figyelmet (és sajnálja, hogy társa törölt minden adatot a készülékekről). Az Amazon nem sokkal ezt követően megtiltotta ügyfélszolgálatának, hogy telefonon keresztül módosítsák a belépéshez használt email címeket, ennyit tehát legalább elért a cikk.
Az eset jól példázza a központi szolgáltatások univerzálissá válásában rejlő veszélyeket, nem véletlen, hogy a biztonsági szakértők mellett immár Steve Wozniak is emiatt aggódik. Szerinte az elkövetkező 5 évben nagyon komoly problémákkal kell majd megküzdenünk, annál is inkább, mert a felhőben tárolt adatok már nem sajátjaink, nincs felettük igazán befolyásunk. A szakértők a maguk részéről a hagyományos módszereket ajánlják, így például az USB-kulcsok és optikai tárolók használatát, amelyek ráadásul ma már alig kerülnek valamibe, a járulékos költség minimális. Ezek olykor nagyobb macerát, ám biztonságot is nyújtanak, használatukkal ugyanis nem leszünk kitéve a teljes megsemmisülésnek, legalábbis ami digitális életünket jelenti.
Legalább ilyen fontos a két- vagy többfaktoros azonosítás, ami azonban nem abból áll, hogy a jelszó mellett további információkat kérünk a felhasználótól. Nagymértékben növeli a biztonságot, ha egy általunk ismert információ (jelszó, titkos válasz) mellett valamilyen fizikai eszközt (kulcsot), valamint biometrikus adatokat (arc, ujjlenyomat, stb.) is szolgáltatni tudunk a belépéshez, hiszen ezek lemásolása már jóval nagyobb akadályt jelent az illetéktelen személyeknek.
Honan esetében a Google által ajánlott kétlépcsős azonosítás (saját telefonszám megadása, majd annak aktív használata) jelentett volna segítséget, illetve nyilván az, ha nem egy AppleID-hez használt cím szerepel a listában másodlagos elérhetőségként. Megoldásról persze csak akkor beszélhetünk majd, ha a széles közönség is igénybe veszi az ajánlott lehetőségeket - előbb vagy utóbb mindenképpen rákényszerülünk erre, ha másképp nem, hát majd saját kárunk láttán.
Az elmúlt hetekben ismét több sikeres támadásról olvashattunk olyan nagy nevek kapcsán, mint a Yahoo, a LinkedIn, vagy éppen a Last.fm és az eHarmony. Egyedül június folyamán több millió felhasználót érintettek ezek az akciók, a keresőcégtől 400 ezer fiókot loptak el, de ezzel egy időben hasonló károkat okoztak a Gamigo játékoldalon, a Phandroid és az nVidia fórumán, illetve egyéb portálokon. Ebben semmi új nincs, azt nagyjából mindenki elfogadja, hogy a korábbinál sokkal többen vadásznak az online módon elérhető adatokra és hozzáférésekre, és ezen személyek, csoportok közül sokan nem éppen nemes céloktól vezérelve cselekednek (hogy mondjuk szimplán felhívják a figyelmet a sebezhetőségre).
A biztonsággal kapcsolatos problémákról a nyár elején mi is hosszabban írtunk, akkor a jelszavak sebezhetőségét, azok leváltásának nehézségét helyeztük előtérbe, augusztus első hetében a Wired munkatársának esete azonban rámutatott arra, hogy milyen kaliberű problémával nézünk szembe, a történet pedig nemcsak a megszokott beléptetési módszereket, de magukat a beléptető rendszereket és az azokat üzemeltető cégeket is meglehetősen rossz színben tünteti fel.
Mat Honan egymással összehangolt felhasználói fiókjainak feltörése, valamint az ott található adatok és biztonsági mentések teljes törlése mindössze egyetlen órát vett igénybe, ebben azonban nem kizárólag a támadók (akik eredetileg a férfi Twitter-oldalához akartak hozzáférni), de több ügyfélszolgálat is ludas volt. Az elkövetők egészen pontosan a hárombetűs Twitter-azonosító alatt akartak nem éppen politikailag korrekt üzeneteket közzétenni, majd pedig páholyból nézni az így keletkező káoszt, erre pedig megvolt a saját módszerük, amelynek nem része a jelszavak kitalálása, vagy az úgynevezett brute-force eljárás azok megfejtésére.
A Twitter oldalán megtalálták az ott belinkelt gmail-címet, ezt felhasználva a Gmail lapján hozzáfértek a csak részben látható másodlagos címhez, ami történetesen egy AppleID, vagyis @me.com cím volt. Nem volt nehéz kitalálniuk a hiányzó (a Google által letakart) karaktereket, innentől kezdve pedig már csak egy számlázási címre, valamint az ahhoz passzoló hitelkártya négy, minden rendszerben látható számára volt szükségük, hogy valóban hozzáférjenek az AppleID fiókhoz. Mivel Honan rendelkezik saját doménnel, a számlázási címet innen megszerezték, a hitelkártya 4 számát pedig az Amazontól kapták meg, egy egyszerű trükkel.
Először azzal tárcsázták fel a céget, hogy egy új kártyát szeretnének hozzáadni a meglévő fiókhoz, ehhez pedig mindössze a teljes névre, a belépéshez használt email címre, valamint a számlázási címre van szükség. Hozzáadatták a fiókhoz az általuk generált kártyaszámot, majd ezután egy második hívás során azt állították, hogy nem tudnak hozzáférni a fiókhoz, így szeretnének egy új email címet beállítani ahhoz (itt viszont már használhatják a vadonatúj, hamis kártyaszámot a telefonáló azonosításához). Az új email címre kiküldetik az ideiglenes jelszót és máris megvan a hozzáférés az Amazon-fiókhoz, az azon szereplő összes kártyával együtt (csak a 4 utolsó számjegyhez, ez viszont elegendő az AppleID-fiók feltöréséhez).
A név, az email, a pontos cím, valamint a hitelkártya négy utolsó számának birtokában már gyerekjáték volt az AppleID feltörése, ebben professzionális módon segédkezett az Apple ügyfélszolgálata, a következő lépés részeként pedig törölték az iCloud rendszerében, ezzel együtt pedig az ahhoz párosított iPhone, iPad, illetve MacBook tárolóin található összes adatot. A meglévő biztonsági kérdések nem jelentettek akadályt a behatolóknak, és jellemző módon, amikor a férfi maga telefonált be azzal, hogy nem tud hozzáférni saját fiókjához, először egy teljesen más fiók biztonsági kérdéseire kellett (volna) válaszolnia, mivel elértették a családnevét. Adatainak elvesztése, valamint Twitter-oldalának feltúrása után Honan mégis némileg hálás volt az elkövetőknek, hogy nem használták email-címeit ismert személyekkel történő kapcsolatfelvételre, avagy a bankszámláihoz való hozzáférésre, amit egyébként szintén megtehettek volna. Az egyik tettessel kialakult rövid levelezésben megismerte a támadás részleteit, ezt ismertette az érintett cégekkel és a közvéleménnyel is, hozzátéve, hogy az illető saját elmondása szerint szintén a sebezhetőségekre kívánta felhívni a figyelmet (és sajnálja, hogy társa törölt minden adatot a készülékekről). Az Amazon nem sokkal ezt követően megtiltotta ügyfélszolgálatának, hogy telefonon keresztül módosítsák a belépéshez használt email címeket, ennyit tehát legalább elért a cikk.
Az eset jól példázza a központi szolgáltatások univerzálissá válásában rejlő veszélyeket, nem véletlen, hogy a biztonsági szakértők mellett immár Steve Wozniak is emiatt aggódik. Szerinte az elkövetkező 5 évben nagyon komoly problémákkal kell majd megküzdenünk, annál is inkább, mert a felhőben tárolt adatok már nem sajátjaink, nincs felettük igazán befolyásunk. A szakértők a maguk részéről a hagyományos módszereket ajánlják, így például az USB-kulcsok és optikai tárolók használatát, amelyek ráadásul ma már alig kerülnek valamibe, a járulékos költség minimális. Ezek olykor nagyobb macerát, ám biztonságot is nyújtanak, használatukkal ugyanis nem leszünk kitéve a teljes megsemmisülésnek, legalábbis ami digitális életünket jelenti.
Legalább ilyen fontos a két- vagy többfaktoros azonosítás, ami azonban nem abból áll, hogy a jelszó mellett további információkat kérünk a felhasználótól. Nagymértékben növeli a biztonságot, ha egy általunk ismert információ (jelszó, titkos válasz) mellett valamilyen fizikai eszközt (kulcsot), valamint biometrikus adatokat (arc, ujjlenyomat, stb.) is szolgáltatni tudunk a belépéshez, hiszen ezek lemásolása már jóval nagyobb akadályt jelent az illetéktelen személyeknek.
Honan esetében a Google által ajánlott kétlépcsős azonosítás (saját telefonszám megadása, majd annak aktív használata) jelentett volna segítséget, illetve nyilván az, ha nem egy AppleID-hez használt cím szerepel a listában másodlagos elérhetőségként. Megoldásról persze csak akkor beszélhetünk majd, ha a széles közönség is igénybe veszi az ajánlott lehetőségeket - előbb vagy utóbb mindenképpen rákényszerülünk erre, ha másképp nem, hát majd saját kárunk láttán.