Slavenību kailfoto zādzībās iesaistītā “uzlaušana” nav pat iespaidīga

FYI.

Šim stāstam ir vairāk nekā 5 gadi.

Tech Es runāju ar bijušo hakeri un vadošo interneta drošības emuāru autori Niku Kubriloviču par slavenību aktu zagšanas procesu, un, lai dzirdētu, kā viņš to saka, nepieciešamās hakeru iemaņas ir diezgan labojošas.
  • Bezgala selfijs, izmantojot Wikimedia commons (NSFW)

    Nedēļas nogalē, Emma Vatsone nokļuva nepatikšanās ar neglītākajām interneta daļām, kad ANO runāja par sieviešu tiesībām. Izdarījuši noziegumu par atklātu sieviešu tiesību aizstāvi, cilvēki tagad apgalvo, ka viņiem ir kailie Vatsona selfiji, kurus viņi ir gatavi nopludināt - es domāju, ka atriebības dēļ? Tas varētu būt mānīšana, bet, no otras puses, bija vēl viena šāda noplūde pirms pāris dienām , kas padara draudus ticamus.



    Lai gan joprojām ir kājnieku kolonisti vainot dziedātājiem un filmu zvaigznēm par to, ka, pirmkārt, telefonos ir pliki selfiji, lielākoties mediju troksnis šoreiz ir ļoti garlaikots gaiss par to. Varbūt Reddit un 4chan kājstarpes pļāpātāju ēstgribas ir radījušas plašsaziņas līdzekļiem graudainu-boob-shot nogurumu. Galu galā zagt tumšos, slikti ierāmētos momentuzņēmumus, kurus cilvēki steidzas, lai paziņotu “Es esmu ragveida” saviem nozīmīgākajiem citiem, nav gluži tāpat kā zagt viņu pulētos buduāra attēlus. Patiesībā tas ir solis virs krūšu rentgena nozagšanas un saraustīšanas līdz sprauslu kontūrām.

    Citiem vārdiem sakot, šie politiski motivētie draudi pret Emmu Vatsoni ir kā visneefektīvākās, mazo kartupeļu teroristu grupas darbs pasaulē. Bet, ja bijušais hakeris un vadošais interneta drošības emuāru autors Niks Kubrilovičs ir pareizi, iespējams, vienīgais, kas ir mazāk iespaidīgs nekā paši fotoattēli, ir process, ko mēs dāsni saucam par “uzlaušanu”.

    ziema-a-mas

    Es runāju ar Kubriloviču par to, kā šīs fotogrāfijas tiek nozagtas. Sākumā es domāju, ka mēs apspriedīsim, kas vainojami, kad rodas šīs velnišķīgās fotoattēlu noplūdes, taču mūsu sarunas laikā es uzzināju vairāk, nekā es jebkad domāju, ka varētu darīt par mākoņu glabāšanu. Lai gan tā, iespējams, bija vecā skola, iekļūstot ugunsmūrī, lai piekļūtu lieldatoram uzlaušana, ir ļoti iespējams, ka šie fotoattēlu zagļi veic savus kvēpus, vienkārši stundām ilgi tiešsaistē pētot slavenības un pēc tam sakot virkni melu, lai iegūtu to, ko viņi meklē - vairāk vai mazāk Hannas Horvathas prasmes no Meitenes.



    Autorizēts vietnes selfijs Niks Kubrilovičs , pieklājīgi no Nik Cubrilovic

    VICE: Sveiks, Nik! Kas vainojami visās kailfoto noplūdēs?
    Nik Cubrilovic: Mēģinot nodot stāstu plašākai sabiedrībai, viņi bieži uztver jautājumu kā ļoti bināru: labs puisis, slikts puisis. Un tas ir gadījums, kad ārpus faktiskajiem hakeriem, kas ielauzās kontos, vaina - un pat vainošana, iespējams, ir spēcīgs vārds -, bet atbildību var sadalīt diezgan plaši.

    Vai pareizi ir vainot Apple?
    Vai Apple ir atbildīgs par savu datu drošību? Viņi dara. Tāpēc, ka lietotāji viņiem uzticas.



    Bet kas padara Apple mazāk drošu?
    Labākais veids, kā izskaidrot viņu vainu (labāka vārda trūkuma dēļ), ir domāt par to šajā perspektīvā: ir trīs galvenie mobilo sakaru pakalpojumu sniedzēji - visi pieder vienai no šīm trim ekosistēmām: jums ir Apple, kas ir pieejams iPhone tālrunī, jums ir Google mākoņpakalpojumi, kas ir pieejami Android ierīcēs, pēc tam jums ir Microsoft mākoņpakalpojumi, kas ir pieejami Nokia un citās ierīcēs. No šiem trim Apple ir vienīgais uzņēmums, kuram joprojām ir jautājumi par drošību.

    mamutu nezāļu burvju nieks

    Tātad viņi dara kaut ko citu, un notiek tikai tas, ka šajā gadījumā viena no tām lietām, ko viņi dara savādāk nekā pārējie divi galvenie pakalpojumu sniedzēji, tika izmantota, lai ielauztos šajos kontos.

    Vai esat pret drošību vērsts jautājums?
    Ak jā[…]. Drošības jautājumi ir milzīgs trūkums. Google no tiem atbrīvojās apmēram pirms apmēram četriem gadiem. Apmēram pirms trim gadiem Microsoft tos pilnībā pameta. Tātad, ja vēlaties apkopot, šīs problēmas būtība ir iespēja atiestatīt lietotāja paroli, vienkārši norādot viņa dzimšanas datumu un pēc tam divus drošības jautājumus.

    Šie drošības jautājumi man liek justies droši. Kas ar viņiem nav kārtībā?
    Kad nospiedīsit atiestatīšanu, tas parādīs divus no trim jautājumiem, kad reģistrējāties, un, ja jums tie būs pareizi, tas ļaus jūs iekļūt kontā. […] Drošības jautājumu shēma ir tāda, ko agrāk bezsaistē izmantoja bankās un tādās vietās 1960. un 1970. gados, lai pierādītu savu identitāti. Tā tika pieņemta tiešsaistē 1990. gados, taču uzņēmumi ātri saprata, ka to ir ļoti viegli apiet, jo šodien tīmeklī visi tikai dalās ar šo informāciju. To ir daudz vieglāk atrast. Ir daudz vieglāk pāriet uz Facebook un uzzināt dažas no šīm lietām, piemēram, dzimšanas datumu. Daudz vieglāk ir atrast, kādā vidusskolā viņi mācījās, kāda ir viņa mājdzīvnieka vārds, kāda veida automašīnu viņi brauc. Un slavenībām tas ir pat vieglāk atrast, jo liela daļa šīs informācijas ir vai nu Vikipēdijā, vai kādā no tenku vietnēm.

    Ja es varētu saprast, ko Dženifera Lorensa iekļūs iecienītākajā pilsētā un iecienītākajā sporta komandā, kā arī es zināju viņas dzimšanas datumu, tad es varētu iekļūt?
    Pareizi, jā. Un kāds to izdarīja.

    Kā jūs zināt, ka tas viss ir vajadzīgs?
    Tas nav apstiprināts simtprocentīgi. [Tomēr] es zināju, kur šie puiši karājas. Es zināju forumus, kuros viņi bieži apmeklēja, un es zināju, ka viņi visi bija daļa no šāda veida subkultūras, kurā tika uzlauzti tiešsaistes dublējumi un nozagtas pornogrāfiskas bildes, “atriebības pornogrāfija” vai kā jūs to vēlētos saukt. Tātad [es esmu] pavadījis laiku šajos forumos un runājis ar dažiem no tiem dalībniekiem. Ja jūs izlasīsit dažas viņu apmācības par konta uzlaušanu - un tas faktiski ir forums, no kurienes šie attēli nāca, - apmācība numur viens paskaidro, kā atbildēt uz drošības jautājumiem.

    Vai tas ir forums, kur apmainīties ar padomiem?
    Es ļaus jums ieskatīties, kā tas izskatās forumā: jūs kādam būtu jāpublicē automašīnas attēls, un tas varētu būt, piemēram, sarkanbrūns Mercedes, 1990. gadu vidus modelis, novietots pludmalē. Vienkārši automašīna pilnīgi nekurienes vidū, un blakus būtu jautājums: Kāda veida automašīna šī ir? Es turpināju tos redzēt. Tur bija automašīnas salona attēls, un kāds puisis jautāja, kāda veida automašīna tā ir. Es nevarēju saprast, kāpēc viņi to jautāja. Un man tikai vēlāk ienāca prātā, ka viens no iCloud drošības jautājumiem ir tas, kāda veida automašīnu jūs vadāt?

    pilnmēness 2016. gada decembra astroloģija

    Tātad [šeit], ko šie puiši darīja: aplūkojot publiskās fotogrāfijas ar cilvēkiem, kurus viņi mēģināja uzlauzt, un mēģinot atrast viņu automašīnu fotogrāfijas. Tad, kad viņi paši tos nevarēja identificēt, viņi ievietoja šīs bildes šajos forumos, lai citi cilvēki viņiem palīdzētu.

    Vai viņi savā ziņā pārspiež savu uzlaušanu?
    Jā. Un santīms man nokrita, kad kāds atbildēja: Dažreiz meitenes savām automašīnām piešķir segvārdu. Viss forums - 90 procenti no tā - ir centrēts, pirmkārt, iemācot cilvēkiem šo metodi, un, otrkārt, palīdzot cilvēkiem - pūļa atbildes uz jautājumiem. Tātad, mācot cilvēkiem tādas metodes kā, kā meklēt kādu tiešsaistē.

    Lai atbildētu uz dažiem no šiem jautājumiem, jums patiešām ir cieši jāzina savs mērķis. Jums jāpavada daudz laika, absorbējot pēc iespējas vairāk informācijas par viņiem. Tad jūs atgriezīsities un mēģināsiet atbildēt uz viņu jautājumiem. Ieejot Apple kontā, redzēsit desmit vai divpadsmit jautājumus, no kuriem lietotāji var izvēlēties. Bet visi viņi ar pietiekamu neatlaidību var atrast atbildes.

    Kā ar izaicinājumu sākt atrast personas galveno e-pasta adresi?
    Tas, kā viņi to dara, maksājot par piekļuvi tiešsaistes tiešsaistes datu bāzēm, piemēram, intelious.com, un ir vēl daži pakalpojumu sniedzēji, kuros varat piekļūt un pieslēgt kāda vārdu. Jūs maksājat no 2 līdz 60 ASV dolāriem, un jūs saņemsiet visus viņu publiskos ierakstus. Tātad, ja jūs zināt kāda pilnīgu, kristīgu vārdu un vietu, kur viņš ir dzimis, varat doties un pieteikties viņu publiskās datu bāzes ierakstiem.

    Vai ir kāda cita metode, ja viņi ir slaveni?
    Otra metode ir sociālā inženierija, kur jūs sazināties ar aģentu vai tamlīdzīgi, izliekoties par kādu citu, un jūs mēģināt uzzināt e-pasta adresi šādā veidā. Trešais veids ir tāds, ka pēc tam, kad esat uzlauzis vienu slavenību, jūs iegūstat viņu adrešu grāmatu un pēc tam esat ieguvis kontaktus daudzām citām slavenībām. Tas notika šajā gadījumā. Viena uzlauzta slavenība noveda pie tā, ka šīs slavenības adrešu grāmatā bija citas slavenības, kas pēc tam noveda pie pārējām slavenībām.

    Vai cilvēkiem vajadzētu sevi uzskatīt par visu viņu pazīstamo cilvēku drošības ievainojamību?
    Mēs runājam par to, ka tas ir sava veida vājākais posms ķēdē. Ar sociālajiem tīkliem un adrešu grāmatām vāju saiti bieži ir viegli atrast. Uzbrucējam kaut kur jāatrod tikai viena vāja saite, turpretī [upuris] ir sava veida aizsardzība. Jums ir jāaizsargā un jāaizsargā viss, kas saistīts ar norādēm, un visi, ar kuriem esat kādreiz sazinājies, jo lielākā daļa mūsdienu e-pasta klientu automātiski automātiski pievienos ikvienu, kuram esat nosūtījis e-pastu.

    ķīniešu jauno gadu māņticība

    Tad man būs jābūt uzmanīgākam. Paldies Nik!

    Sekojiet Maikam Pērlam Twitter

    Interesanti Raksti