Apple äußert sich zum vermeintlichen iCloud Hack
von caschy | 37 Kommentare
Wir alle haben es mitbekommen: Nacktbilder diverser Prominenter (unter anderem Jennifer Lawrence, Emily Browning und Victoria Justice) gingen durch das Netz. Erst machte die Nachricht die Runde, dass ein iCloud Hack Schuld daran sein sollte. Apple versprach Ermittlungen in dieser Sache und äußerte sich nun. Ein genereller Hack der iCloud oder des Dienstes Find my iPhone war nicht das Problem, stattdessen haben die Angreifer zielgerichtet Konten von Prominenten angegriffen.
Hierbei probierten die Angreifer anscheinend automatisiert Nutzernamen, Passwörter und Sicherheitsfragen aus. Was aus dem Statement nicht hervorgeht: wurde mittels Brute Force und automatisierten Angriffen gearbeitet? Und wenn dies der Fall gewesen ist: warum gibt es keinen Schutz gegen diese Art der Angriffe? Fest steht, die Negativpresse wird Apple sicherlich im Nacken sitzen, egal wie der Angriff ablief.
Theoretisch müsste man in heutigen Zeiten fast zwingend fordern, dass die Zwei-Faktor-Authentifizierung zur Pflicht wird. Mittlerweile bieten viele Anbieter diesen zusätzlichen Schutz an. Und auch wir dürfen uns hinterfragen, wie viel denn in die Cloud gehört. Fast alle Systeme bieten mittlerweile das automatische Backup von Fotos und anderen Daten an. Ein interessantes Ziel für Angreifer, da die Cloud rund um die Uhr erreichbar ist. Wie ihr die wichtigsten Dienste mit der Zwei-Faktor-Authentifizierung absichert, beschreibt dieser Beitrag – und ja, Apple bietet dies mittlerweile teilweise auch an, leider ohne Geräte-Auth.
Wird geladen ...
@shx
Erkläre mir unwissendem bitte mal, was gesalzene Passwörter bei Wörterbuchattacken gegen den Webdienst bringen sollen.
Ein schwaches Passwort wird durch Salz nur unwesentlich sicherer. Klaut man Hashes, Loginnamen und Salz aus einer Datenbank, wird es ziemlich aufwendig, „sichere Passwörter“ auszuwürfeln. Außerdem muss man Verfahren und Rundenzahl kennen, tatsächlich wird ein Angriff unrentabel. Anders sieht es bei Passwörtern aus, die man im Wörterbuch findet. „Password“ oder „Security“ hat man dann immer noch in ein paar Minuten durchprobiert, wenn die Webseite des Anbieters es zulässt. In diesem Fall wäre also ein Schutz des Webservice angebracht gewesen, der das Durchprobieren der Passwörter verhindert, eine Passwortpolicy kann auch nie schaden.
Zweifaktor-Authentifizierung ist da schon deutlich schwieriger zu hacken, wenn man keinen Zugriff auf den zweiten Faktor hat, also beispielsweise das Telefon des betroffenen.
Ich persönlich finde das für die meisten Dinge zwar vollkommen übertrieben, wer aber möchte Onlinebanking ohne zweiten Faktor machen? Stellt man sich vor, dass man mit seiner „sicheren“ PIN der Bank Geld überweisen könnte, ohne TAN / mTAN, Kartenlesegerät, wäre schon abgefahren. Für den Clound-Daten-Speicher empfinde ich also einen zweiten Faktor auch als das Mindeste.
Dazu liegen meine Daten dort selbstverständlich verschlüsselt. Aber das ist dann wirklich für 90% der Bevölkerung und 99% der betroffenen zu viel verlangt.
@saujung: Salt verhindert, dass schwache Passwörter daran erkannt werden können, dass sich die Hashes wiederholen (in einer entwendeten Datenbank). Ohne Salt muss man zudem diese Passwörter nur einmal knacken und kann vergleichsweise kleine vorberechnete hashlisten verwenden, um einen großteil der schwachen Passwörter zu knacken. Diese Effekte treffen aber eben nur bei Angriffen gegen eine entwendete Passwortdatenbank mit Hashes zu, nicht bei einem Angriff gegen die Login-Maske des Webdienstes… Dort helfen nur steigende Wartezeiten nach Fehlversuchen.
Vor allem aber sollten Sicherheitsfragen abgeschafft werden. Passwortrücksetzung per Email ist sinnvoller. Wenn der Extremfall eintritt, dass man den Zugriff auf das Email-Postfach verliert, ggf. per Telefonnummer. Wenn alles fehlschlägt, Identifizierung durch amtliche Dokumente (wäre gerade mit Apple-Stores leicht machbar). Aber nicht mit Sicherheitsfragen, die ein Musterbeispiel von schwachem Passwort darstellen.
Was sollen längere Wartezeiten zwischen falschen Passwortangaben allein denn bringen? Es ist ja nicht so als ob da ein versiffter Kerl im Kapuzenpulli im Keller neben einem Stapel Pizzakartons und Coladosen hockt und händisch ein Passwort nach dem anderen eintippt. Da laufen Scripte, denen es völlig egal ist ob sie es alle 10 Sekunden oder alle 10 Minuten probieren können. Klar, es dauert länger, aber ohne die entsprechende Info an den Besitzer der Daten oder einen Admin des entsprechenden Clouddienstes nutzt auch das wenig.
Und wenn es ganu dumm läuft haut der 3. Versuch schon hin, dann hat sich das eh erübrigt. Und wenn ich sehe, was für Passwörter die Leute oft verwenden, ist ein ähnliches Szenario wahrscheinlich gar nicht so unabwegig. Ich hatte neulich erst wieder eine Fritzbox da, deren WLAN mit dem Passwort 12345678 „gesichert“ war. Da fällt Dir echt nichts mehr ein!
shx meinte doch nur, dass wenn man sowieso brute force macht und unendliche viele Versuche frei hat, man das ganze dann auch auf den zweiten Faktor/Code/Passwort anwenden kann.
Wenn die Anzahl der Versuche begrenzt ist, braucht man den zweiten Faktor nicht mehr zum Schutz vor brute force.
Der zweite Faktor hilft vor Allem dann, wenn die Login Daten irgendwo geklaut wurden und das Passwort dem Angreifer bekannt ist, denn dann wird ein weiterer Code nötig, der den geklauten Daten nicht beiliegt.
@caschy brute force aufs Passwort, anschließend brute force auf den auth. Code. Vorrausgesetzt man hat jeweils keine Begrenzung, was ja hier zumindest teilweise der Fall zu sein scheint.
Aber hier werden ja leider berechtigte Einwände oft mit überheblichen Antworten gestraft. Schade
Der wired-Artikel erklärt ganz gut wie es (vermutlich) lief, nämlich sehr einfach: http://www.wired.com/2014/09/eppb-icloud
Das man das PW per BruteForce knacken könnte, ist dämlich gewesen… aber vielmehr noch, dass sie es 2014 immer noch nicht auf die Reihe bekommen eine Mail zu verschicken, wenn ein bisher unbekanntes Gerät sich erstmalig mit was-auch-immer verbindet.
Aber mit der ganzen schlechten PR bekommen sie es vermutlich jetzt recht flott hin!
Zwei-Faktor-Authorisierung ist zwar schön und gut. Allerdings unterstützen manche Geräte wie mein Sony Smart-TV das nicht.
@Yu
Du hast vollkommen Recht: Entwendet man ungesalzene Hashes, erkennt man bekannte Passwörter, oder kann sie recht schnell herausfinden. Für Wörtbuchatacken bringt das aber nichts, wenn sie gegen einen Webdienst laufen, denn da validiert mir ja der Webservice (die Eingabemaske im primitivsten Fall) das Passwort. Und in diesem Fall helfen: Wiederholungs-Schutz, Zweifaktor, schwieriges Passwort, dass nicht im Wörterbuch steht und via Brutefoce nicht in „endlicher“ Zeit errechnet wird und, sinnfreie Antwort auf „Sicherheitsfrage“. Es hindert mich ja niemand daran, auf die Frage „Wie heißt dein erstes Kuscheltier?“ „ä?$2,mdsö#1°^2“ zu antworten. Niemand, doch, gelegentlich sind natürlich nur Buchstaben erlaubt. 🙂
Was bleibt: Apple ist ein Sauladen und hat die Angriffe ermöglicht. Die Anwender haben keinen Schimmer von Sicherheit, und so lange nicht auf Seiten der Anbieter und der Kunden ein gewisses Maß an Sensibilität erzeugt wird, wird es wieder passieren. In den USA könnte ich mir aber vorstellen, dass am Ende Apple ein paar Millionen / Milliarden Dollar Entschädigung zahlen muss, und eventuell sogar auf die Idee kommt, sich in Zukunft ein wenig mehr Sorgen zu machen!
@Tim: Bei dem zweiten Faktor wird, aber entweder vom Dienst per SMS oder per App ein kurz gültiger Code generiert. Wenn man zB. SMS aktiviert hat, sollte es dir schon komisch vorkommen, wenn plötzlich der Code angefordert wird.
Ja klar, ich benutze das auch und finde es gut.
Wollte nur shx Standpunkt mal unterstützen, da er meiner Meinung nach einen berechtigten (wenn auch erstmal theoretischen) Einwand gebracht hat und dafür hier abgewatscht wurde.
Und natürlich, der erste Schritt sollte immer erstmal ein gutes Passwort sein.
Weil hier einige spekulieren (weil Caschy spekuliert ohne mal kurz zu recherchieren): icloud.com kann man nicht über http per brute-force attackieren. Es dauert nicht lange und die Apple ID wird gesperrt.
Die Find my iPhone API war bis vor 2 Tagen per brute-force angreifbar. Aber denkt mal nach wie lange es dauern würde, hundert Accounts über das Netzwerk anzugreifen.
Apple’s Passwort-Richtlinien: „Ihr Kennwort muss aus mindestens 8 Zeichen bestehen, darf nicht mehr als 3 identische Zeichen hintereinander aufweisen und muss eine Zahl, einen Groß- sowie einen Kleinbuchstaben enthalten.“
Macht 218.340.105.584.896 mögliche Kombinationen, dabei ist die zweite Bedingung (3 identische Zeichen) nicht mal mit einkalkuliert. Über’s Netzwerk lassen sich vielleicht 1000 Anfragen pro Minute realisieren.
Das mal vorausgesetzt muss jeder dieser 100 Celebrities Passwörter benutzt haben, die einem Wörterbuchangriff nicht standhalten. Also zBsp Password1, Passw0rd und so…
@Caschy
Du liegst nicht ganz richtig bzgl. iCloud und 2FA. Die ist in den USA schon ausgerollt und kommt hoffentlich bald nach Deutschland.
@Kalle…Die 2FA bietet Apple schon eine ganze Weile auch in Deutschland.
@caschy
Informiere dich endlich zur 2FA bei Apple. Deine Infos sind falsch!
Auch der Zugriff auf iCloud ist geschützt…und seit der Nummer mit den Bildern ist das Loch zu „Find my iPhone“ auch dicht.
@Kalle es wurde ein rainbowtable genutzt. Da sind so Sachen wie 12345678 und babygirl drinne…
@Freddie
Auf icloud.com wurde 2FA nocht nicht weltweit ausgerollt.
@Leon
Sorry, aber das macht keinen Sinn. Sieh mal nach was Rainbow Tables sind. Wie wäre denn der Angriffsvektor? Man müsste bei den Servern einbrechen, Gigabytes an richtigen Daten anwenden, und unbemerkt wieder entkommen. Vorausgesetzt Rainbow Tables werden auf iCloud eingesetzt.
@Leon
Passwörter wie von dir genannt sind für Apple IDs nicht möglich, siehe Link in meinem Kommentar oben.
Zwecks informieren:
„Apple hatte die Passwort-Vorgaben für seinen Cloud-Dienst in letzter Zeit strikter gemacht, unter anderem wohl um diese Art Angriffe zu erschweren. Nutzer die ihre iCloud schon länger in Betrieb haben,
können aber noch ältere Passwörter verwenden.
Da diese Passwörter nicht mit den selben strengen Vorgaben erstellt wurden, sind sie unter Umständen leichter zu knacken.“
“ …die Zwei-Faktor-Authentifizierung zu aktivieren – diese schützt allerdings nur in sehr spezifischen Fällen, beispielsweise wenn ein Angreifer versucht, das Passwort zurückzusetzen oder Einstellungen in der Apple-ID-Verwaltung zu ändern. “
„Der Download von iCloud-Backups ist nicht durch die Zwei-Faktor-Authentifizierung geschützt.“
Schonmal daran gedacht, dass es auch ein Keylogger gewesen sein könnte auf den Computern der Prominenten? Brut-Force ist nur eine Vermutung, keine Bestätigung.
Ausserdem muss man beim Apple Account ein 8-stelliges PW mit Zahlen und Gross- und Kleinschreibung wählen.