$
חדשות טכנולוגיה

אפל מודה: הפריצה יכולה לקרות לכל אחד

אפל הודיעה אתמול שהפריצה ל־iCloud של כוכבות הוליווד לא אירעה בגלל תקלה. מומחים תולים את האשם במנגנון איפוס הסיסמה החלש של אפל, המתבסס על שאלות אישיות שאת התשובות עליהן ניתן לאתר בקלות באינטרנט, גם אם אתם לא מפורסמים כמו ג'ניפר לורנס

עומר כביר 08:4604.09.14

זו לא היתה הפריצה הגדולה בהיסטוריה, היא לא גרמה לשום נזק כספי ניכר ולא הובילה לדליפה של מידע ביטחוני. אבל הפריצה לחשבונות של הסלבריטאיות ב־iCloud של אפל, שבעקבותיה נפוצו ברשת תמונות עירום שלהן, היא ללא ספק אחת הפריצות המתוקשרות ביותר בהיסטוריה של האינטרנט. 

 

אלא שמידע חדש שנתגלה אתמול באדיבותה של אפל עצמה מעיד שלא מדובר רק בידיעה רכילותית, אלא בסוגיה שצריכה להדאיג כל משתמש ומשתמשת. כי הפרצה שהפילה את זוכת פרס האוסקר ג'ניפר לורנס יכולה כמעט באותה הקלות להפיל כל אחד ואחת. ולא צריך להיות מומחה גדול במחשבים כדי לנצל אותה.

 

iCloud הוא שירות מחשוב ענן, שמגבה בצורה מקוונת את התכנים השונים ששומר המשתמש במכשיר האייפון או האייפד שלו ומסנכרן את חלקם למכשירים אחרים — מתמונות ששמורות על המכשיר, דרך רשימת אנשי קשר ויומן פגישות ועד הגדרות ואפיונים של האפליקציות השונות. אלה מוצפנים ומוגנים באמצעות סיסמה, אולם כפי שהתגלה השבוע, ההגנות אינן חסינות במיוחד.

 

טים קוק טים קוק צילום: איי אף פי

 

ההערכות הראשונות היו שהפריצה בוצעה באמצעות מתקפה שמכונה Brute Force. לא מדובר במתקפה מתוחכמת במיוחד, אלא בכזו שנעשית בעזרת כלי פשוט, המנסה להיכנס לחשבון המשתמש באמצעות הזנת סיסמאות אפשריות שונות עד למציאת הסיסמה הנכונה. מידת ההצלחה של כלי זה תלויה במהירות שבה הוא מסוגל להזין סיסמאות שונות ובמורכבות הסיסמה של המשתמש (כך למשל, סיסמה כמו 1234 תיפרץ בתוך זמן קצר).

 

מרבית האתרים חוסמים את הגישה לחשבון אחרי כמה ניסיונות כושלים להזין סיסמה, בדיוק כדי למנוע מתקפות מהסוג הזה. ואולם, לפי דיווחים, לפני הפריצה שירות Find My iPhone של אפל, שעושה שימוש באותה הסיסמה של שירות iCloud, לא כלל מגבלה כזו.

 

מתקפה מסוג זה אינה דורשת ידע רב בתכנות ובהפעלת כלי פריצה, אך קל יחסית להתגונן מפניה - שימוש בסיסמה ארוכה ומורכבת שכוללת אותיות גדולות וקטנות, סימנים ומספרים יהפוך את חשבון המשתמש לחסין כמעט לחלוטין מפניה.

 

ואולם, ההודעה שאפל פרסמה אתמול על הפריצה לחשבונות המפורסמים מעלה שהמתקפה שבה השתמשו הפורצים היתה מסוג אחר, כזה שקל יותר להוציא לפועל וקשה הרבה יותר להתגונן מפניו.

 

יש סכנה בגיבוי האוטומטי מהאייפון

 

"אחרי יותר מ־40 שעות חקירה גילינו שכמה חשבונות של סלבריטאים נחשפו במתקפה מדויקת מאוד שכוונה לשמות משתמש, סיסמאות ושאלות אבטחה, נוהג שהפך לנפוץ ברשת", הודיעה אתמול אפל.

 

לדברי החברה, "שום מקרה לא היה תוצאה של פרצה במערכות אפל, כולל iCloud או Find My iPhone. אנחנו ממשיכים לעבוד עם רשויות אכיפת החוק במטרה לזהות את הפושעים המעורבים. כדי להתגונן מפני מתקפות מסוג זה אנחנו מייעצים לכל המשתמשים שלנו לחבר סיסמה חדשה ולהפעיל אימות דו־שלבי (אימות המחייב את המשתמש להזין קוד שנשלח אליו לסלולרי בהודעת טקסט בתהליך ההתחברות, נוסף על הקשת סיסמה — ע"כ)".

  

 

אף שעדיין לא ידוע בוודאות איך בוצעה המתקפה, ההערכות העדכניות הן שההאקרים הצליחו לזכות בגישה לחשבונות המשתמשים באמצעות ניצול חולשה במנגנון איפוס הסיסמה של אפל, המאפשר למשתמשים לאפס את הסיסמה לחשבונם, אם שכחו אותה, בשליחת לינק איפוס למייל או מענה על שאלות אבטחה אישיות כמו "מה שם הנעורים של אמך?" ו"באיזה בית ספר יסודי למדת?".

 

לדברי מומחי אבטחה, כל שצריך לדעת כדי לאפס את הסיסמה לחשבון iCloud של אפל הוא את כתובת המייל של המשתמש, תאריך הלידה שלו והתשובות לשתי שאלות אבטחה. אלא שבעבור סלבריטאים התשובות לשאלות הללו אינן קשות לאיתור. חמושים בידע זה, כך לפי ההערכות, לא התקשו הפורצים לחדור לחשבונות המשתמש של אותן שחקניות מפורסמות, לגנוב את התמונות שלהן ולהפיץ אותן ברחבי האינטרנט.

 

עם זאת, פרצת האבטחה הזאת צריכה להדאיג כל אחד כיום, ולא רק את הכוכבנים. מידע מהסוג שמשמש לשאלות אבטחה זה ניתן לאתר ברשת ללא קושי רב הודות לפייסבוק ולרשתות חברתיות אחרות. משתמשים רבים ממלאים בפייסבוק פרטים מדויקים על בתי הספר שבהם למדו, המקומות שבהם עבדו, בני משפחתם, יום ההולדת ויום הנישואים שלהם ועוד. תוקף מיומן יכול לאתר מידע זה בקלות, למשל בפתיחת פרופיל מזויף בפייסבוק והצעת חברות לקורבן. מתקפה כזו לא דורשת כמעט שום ידע טכני ויכולה להתבצע בקלות בידי כל גולש שיודע איך להשתמש בפייסבוק.

 

מומחה האבטחה ניק קוברילוביץ' סיפר בבלוג האישי שלו שבאינטרנט קיימים פורומים מחתרתיים שונים, שניתן למצוא בהם תמונות עירום של גולשים וגולשות מהשורה שככל הנראה נגנבו מחשבונות ה־iCloud שלהם, בדומה לאופן שבו נפרצו חשבונות המפורסמים. ואולם, אלה לא זוכים כמעט לתשומת לב תקשורתית, והתמונות השונות עוברות מיד ליד מבלי להיחשף לציבור הרחב.

 

חשבונות iCloud פופולריים במיוחד בהקשר זה, משום שכל תמונה שמצולמת באייפון או באייפד נשמרת בענן כברירת מחדל. סנכרון אוטומטי מסוג זה קיים גם בגרסאות העדכניות ביותר של אנדרואיד, אך אלה עדיין אינן נפוצות כדי להפוך את בעלי מכשירי האנדרואיד ליעד מרכזי בעבור התוקפים.

 

אמצעי אבטחה פשוט היה מונע את הפריצה

 

מה שמטריד יותר מכל הוא שהאימות הדו־שלבי, שעליו המליצה אתמול אפל בהודעתה, הוא אמצעי אבטחה פשוט שיכול היה כנראה למנוע את הפריצה לחשבונות הגיבוי בענן. מדובר בכלי שמספקים כל שירותי האינטרנט הגדולים, ובראשם אפל, גוגל ופייסבוק, ודורש מהמשתמש להקליד, נוסף לסיסמה, קוד חד־פעמי בתהליך ההתחברות לשירות או לאזור ההגדרות בו. הקוד מסופק לרוב באמצעות אפליקציה ייעודית או הודעת טקסט.

 

עם הפעלת אימות דו־שלבי לא ניתן יהיה להתחבר לחשבונות גוגל ופייסבוק ממחשב חדש ללא הזנת הקוד החד־פעמי. לעומת זאת, באפל הקוד דרוש רק כדי לשנות הגדרות אבטחה, לאפס סיסמה ולבצע רכישה ראשונה באייטיונז ממכשיר חדש (ולא, למשל, כדי להתחבר לאתר icloud.com). עם זאת, הפעלתו יכלה כנראה לעצור את הפריצה במקרה זה.

 

הפעלת אימות דו־שלבי אינה מסובכת ולא דורשת זמן רב, והיא מגדילה משמעותית את האבטחה של חשבון המשתמש (ראו את ההסבר הפשוט שמופיע בעמוד זה). ייתכן שגל הפריצות הנוכחי ישכנע משתמשים רבים להפעיל כלי חשוב זה, אבל אפשר לשער שמרביתם לא יעשו זאת. האשמה, במידה מרובה, נופלת על אפל, שלא עושה די לקידום השימוש בו, ומרבית המשתמשים בשירותי החברה אינם מודעים כנראה לקיומו בכלל.

 

בעבור אפל מגיע גל הפריצה הנוכחי בעיתוי הגרוע ביותר שאפשר — שבוע בלבד לפני אירוע ההשקה המשמעותי ביותר שערכה החברה מאז השקת האייפד ב־2010, שבו היא אמורה לחשוף דגמי אייפון חדשים ואולי אף מכשיר מחשוב לביש.

 

התגובה של אפל לביקורת הגוברת עליה צריכה להיות מהירה ויעילה יותר מזו שנקטה עד עכשיו. התגובה גם חייבת לכלול מידע מקיף על שאירע, שדרוג ניכר של אמצעי האבטחה של שירותיה ומהלכים משמעותיים להגדלת המודעות של המשתמשים לצעדים שהם צריכים לעשות כדי להגן על החשבונות שלהם.

 

אם אפל לא תשכיל לנהל כהלכה את התגובה למשבר הזה, ייתכן מאוד שביום שלישי הבא, במקום לדבר על האייפון החדש, היא תיאלץ להקדיש חלק ניכר מהאירוע לכיבוי שריפות.

בטל שלח
    לכל התגובות
    x