Apple pustio hakere u iCloud

Previse tendenciozan naslov... ovo nisu bili hakeri, vec lopovi koji su covjeku ukrali identitet.

Pa pomislili ovi iz supporta da su obicni korisnici koji veze sa zivotom nemaju, po obicaju, pa da se ne maltretiraju sa njima ceo dan. Frustrirajuce je raditi sa mac korisnicima.

Zato ja u cloud, bilo koji ne stavljam nista privatno.

obično resetuju šifru, ne daju je korisniku jer je i sami ne znaju.

A moze i da potplatis nekog u korisnickoj sluzbi i da spijuniras nekog nesmetano.

Neka proba neko gugl da zezne ako moze.
(Gagi, 6. avgust 2012 14:04)

:) odlično pitanje ali je to već urađeno, nasamarali su ih samo tako i to kroz sigurnosna pitanja su ih lepo raščlanili...

Pa Apple, naravno. Jednom sam imao Live Chat sa Apple-ovom podrskom preko njihovog sajta pre godinu dana. Zena sa kojom sam razgovarao nije mogla da mi podesi Find My iPhone na nalogu, kao "iz nepoznatih razloga" a samo krije cinjenicu da je glupa. Ovo sad sto se desilo tom coveku me uopste ne cudi.

Veliki Apple!

A sta tek zlonameran radnik tehnicke podrske moze da uradi?

Neka proba neko gugl da zezne ako moze.

Ovo mi nije palo na pamet da moze da se desi...

Kakvi crni hakeri, to su sigurno bili prijatelju gos'n Honana, kojima se smučilo da svakog dana slušaju "Apple ovo, Apple ono...", "Najbolji, najlepši, bla, bla..." i rešili ljudi da mu "promene" telefon...

kako podrska zna password?

Socijalni inzinjering. Procvetace to i kod nas za godinu ili dve. Uskoro zavrsavam fakultet, radim jedva mesec dana u IT firmi, principi su zastiti kod ko 'ebe korisnika.
Kod svih firmi, od kojih neke imaju veoma osetljive informacije, na serveru je stalno ukljucen neki tip remote kontrole. Sutra da neko nazove njihovog 'administratora' i da ga pita za parametre pristupa ovaj bi to dao bez razmisljanja.

Sve je ok sto ste napisali ali niste preneli da je njegov Apple ID, koji je user name za iCloud hackovan na Gmailu. Posle su od Applea uradili Password Reset i ostalo je vec na B92.

zaista je frustrirajuce raditi sa mek korisnicima, nekad je mek bio sinonim za profesionalnu pripremu za stampu, prelom... danas je samo izvikani brend pa shodno tome postao je prestiz, kao sto neko kupi bmw od 80,000 € tako usput kupi i mek posto to sad ide zajedno...

Mozes imati najsigurniju sifru na svetu ali ona nece pomoci ako je najslabija karika u lancu zastite - covek, kao u ovom slucaju. Bizaran dogadjaj, naneta steta jednom coveku, ali je vecu stetu pretrpeo Apple. I sada ce neko u Apple dobiti otkaz, dok se neko raduje sto je nekom tamo izbrisao fajlove sa tri divajsa. Meni ovo lici da je neko, ko poznaje zrtvu, to uradio iz osvete. Apple je kolateralna steta.

Upravo saznao da je zrtva bivsi urednik casopisa Macworld.

Poenta je u tome da oni koji pružaju "cloud" usluge (uključujući svaki Web mail servis - gmail, yahoo, hotmail) imaju pristup svim skladištenim podacima. Podaci na serveru nisu šifrovani, čak i kada je veza između korisnika i servera šifrovana kako treća lica ne bi lako prisluškivala.
Većina ovih kompanija se nalazi u SAD. Po američkom zakonu (PATRIOT Act) državna bezbednost ima nesmetan pristup svim podacima. Zamislite koje se tu igre i nameštaljke dešavaju "u državnom interesu"...

Ako ikada budem skladištio išta poverljivo ili lično van sopstvene glave, fioke, ili šifrovanog diska, koristiću cloud kompanije tipa Wuala ili Spideroak, jer se podaci šifruju na mom računaru, i skladište na njihovim serverima šifrovani, tako da čak i kada bi hteli ne bi mogli da im pristupe. Ako se pitate zašto veliki servisi tipa Apple, Google, Yahoo ne rade tako, nego dešifruju podatke pre skladištenja - odgovor je u prethodnom paragrafu.

Poenta je u tome da oni koji pružaju "cloud" usluge (uključujući svaki Web mail servis - gmail, yahoo, hotmail) imaju pristup svim skladištenim podacima. Podaci na serveru nisu šifrovani, čak i kada je veza između korisnika i servera šifrovana kako treća lica ne bi lako prisluškivala.
...
Ako ikada budem skladištio išta poverljivo ili lično van sopstvene glave, fioke, ili šifrovanog diska, koristiću cloud kompanije tipa Wuala ili Spideroak, jer se podaci šifruju na mom računaru, i skladište na njihovim serverima šifrovani, tako da čak i kada bi hteli ne bi mogli da im pristupe.
...
(samo polako, 7. avgust 2012 00:19)

Savetovao bi vam da procitate nesto o kriptografiji pre nego sto iznesete ovakav set neistina.

Svaka komunikacija sa sajtom koja se odvija preko https-a je kriptovana.
Mailovi se skladiste u baze podataka. Baze podataka su "sifrovane".

Skydrive, Dropbox, Google Drive - podatke mozete prvo "sifrovati" (kriptovati) pa tek onda prebaciti na cloud. Cak mozete namestiti da vam se sve kriptuje automatski sa 3rd party programom ako ste paranoik.

Stvarno razumem i postujem to sto velika vecina Srba ima podatke o Titovom Space programu, Kenedijevom ubistvu, raznim masonskim zaveravama i slicnim dokumentima... Tako da zaista smatram da svaki od ovih dokumenata treba kriptovati nekoliko puta raznim tehnikama kriptografije (tipa aes, triple des)...

@samo_polako: sve mora da bude zavera, tajne sluzbe, masoni, iluminati, trilateralci, gmizavci ... inace nije zanimljivo. :)

Ja se ne bih slozio da u ovom slucaju ima bilo kakvih elemenata zavere. Administrator cloud sistema ima potpuni uvid u sve sto je na cloudu hostovano i lozinke korisnika mu za to NISU POTREBNE! Bas kao sto i root na Linuxu moze da pristupi svim fajlovima na sistemu bez potrebe da zna lozinke svojih korisnika. Tu dileme nema. Ako se korisnik sam ne postara da sifruje svoje fajlove nekom metodom (PGP, TrueCrypt i sl.) sve sto stavi na Cloud dostupno je u cleartext formi.

Meni ovo lici pre na zbiljan problem u dizajnu visekorisnickog sistema nego na bilo kakav nameran potez. Bas kao na LinkedIn-u pre par meseci. Vecina klasicnih operativnih sistema lozinke cuva u sifrovanom obliku i koristi jednosmerne hash funkcije prilikom provere identiteta korisnika. Time se sprecava da lozinke korisnika procure ako se neko domogne kopije baze korisnika (npr. passwd i shadow fajla na Linuxu).

Ocigledno je da je Apple poverio kritican deo sistema nekom jevtinom programeru iz neke zemlje treceg sveta, kome je najlakse bilo da lozinke cuva u citljivoj (cleartext) formi, da za svoj posao uzme nadnicu i ode.

Sada ce se Apple cesati tamo gde ih ne svrbi i dobro ce razmisliti o bezbednosnim rizicima outsourcinga. Ustedeli su sto nisu platili dobrog i iskusnog softver inzenjera, ali ce sada ukaljati imidz i pretrpeti indirektnu stetu.

Neka proba neko gugl da zezne ako moze.

Veliki Apple!

Pa Apple, naravno. Jednom sam imao Live Chat sa Apple-ovom podrskom preko njihovog sajta pre godinu dana. Zena sa kojom sam razgovarao nije mogla da mi podesi Find My iPhone na nalogu, kao "iz nepoznatih razloga" a samo krije cinjenicu da je glupa. Ovo sad sto se desilo tom coveku me uopste ne cudi.

Pa pomislili ovi iz supporta da su obicni korisnici koji veze sa zivotom nemaju, po obicaju, pa da se ne maltretiraju sa njima ceo dan. Frustrirajuce je raditi sa mac korisnicima.

Zato ja u cloud, bilo koji ne stavljam nista privatno.

zaista je frustrirajuce raditi sa mek korisnicima, nekad je mek bio sinonim za profesionalnu pripremu za stampu, prelom... danas je samo izvikani brend pa shodno tome postao je prestiz, kao sto neko kupi bmw od 80,000 € tako usput kupi i mek posto to sad ide zajedno...

Sve je ok sto ste napisali ali niste preneli da je njegov Apple ID, koji je user name za iCloud hackovan na Gmailu. Posle su od Applea uradili Password Reset i ostalo je vec na B92.

A moze i da potplatis nekog u korisnickoj sluzbi i da spijuniras nekog nesmetano.

Neka proba neko gugl da zezne ako moze.
(Gagi, 6. avgust 2012 14:04)

:) odlično pitanje ali je to već urađeno, nasamarali su ih samo tako i to kroz sigurnosna pitanja su ih lepo raščlanili...

Previse tendenciozan naslov... ovo nisu bili hakeri, vec lopovi koji su covjeku ukrali identitet.

kako podrska zna password?

obično resetuju šifru, ne daju je korisniku jer je i sami ne znaju.

Ovo mi nije palo na pamet da moze da se desi...

Kakvi crni hakeri, to su sigurno bili prijatelju gos'n Honana, kojima se smučilo da svakog dana slušaju "Apple ovo, Apple ono...", "Najbolji, najlepši, bla, bla..." i rešili ljudi da mu "promene" telefon...

Mozes imati najsigurniju sifru na svetu ali ona nece pomoci ako je najslabija karika u lancu zastite - covek, kao u ovom slucaju. Bizaran dogadjaj, naneta steta jednom coveku, ali je vecu stetu pretrpeo Apple. I sada ce neko u Apple dobiti otkaz, dok se neko raduje sto je nekom tamo izbrisao fajlove sa tri divajsa. Meni ovo lici da je neko, ko poznaje zrtvu, to uradio iz osvete. Apple je kolateralna steta.

Upravo saznao da je zrtva bivsi urednik casopisa Macworld.

@samo_polako: sve mora da bude zavera, tajne sluzbe, masoni, iluminati, trilateralci, gmizavci ... inace nije zanimljivo. :)

Ja se ne bih slozio da u ovom slucaju ima bilo kakvih elemenata zavere. Administrator cloud sistema ima potpuni uvid u sve sto je na cloudu hostovano i lozinke korisnika mu za to NISU POTREBNE! Bas kao sto i root na Linuxu moze da pristupi svim fajlovima na sistemu bez potrebe da zna lozinke svojih korisnika. Tu dileme nema. Ako se korisnik sam ne postara da sifruje svoje fajlove nekom metodom (PGP, TrueCrypt i sl.) sve sto stavi na Cloud dostupno je u cleartext formi.

Meni ovo lici pre na zbiljan problem u dizajnu visekorisnickog sistema nego na bilo kakav nameran potez. Bas kao na LinkedIn-u pre par meseci. Vecina klasicnih operativnih sistema lozinke cuva u sifrovanom obliku i koristi jednosmerne hash funkcije prilikom provere identiteta korisnika. Time se sprecava da lozinke korisnika procure ako se neko domogne kopije baze korisnika (npr. passwd i shadow fajla na Linuxu).

Ocigledno je da je Apple poverio kritican deo sistema nekom jevtinom programeru iz neke zemlje treceg sveta, kome je najlakse bilo da lozinke cuva u citljivoj (cleartext) formi, da za svoj posao uzme nadnicu i ode.

Sada ce se Apple cesati tamo gde ih ne svrbi i dobro ce razmisliti o bezbednosnim rizicima outsourcinga. Ustedeli su sto nisu platili dobrog i iskusnog softver inzenjera, ali ce sada ukaljati imidz i pretrpeti indirektnu stetu.

Poenta je u tome da oni koji pružaju "cloud" usluge (uključujući svaki Web mail servis - gmail, yahoo, hotmail) imaju pristup svim skladištenim podacima. Podaci na serveru nisu šifrovani, čak i kada je veza između korisnika i servera šifrovana kako treća lica ne bi lako prisluškivala.
...
Ako ikada budem skladištio išta poverljivo ili lično van sopstvene glave, fioke, ili šifrovanog diska, koristiću cloud kompanije tipa Wuala ili Spideroak, jer se podaci šifruju na mom računaru, i skladište na njihovim serverima šifrovani, tako da čak i kada bi hteli ne bi mogli da im pristupe.
...
(samo polako, 7. avgust 2012 00:19)

Savetovao bi vam da procitate nesto o kriptografiji pre nego sto iznesete ovakav set neistina.

Svaka komunikacija sa sajtom koja se odvija preko https-a je kriptovana.
Mailovi se skladiste u baze podataka. Baze podataka su "sifrovane".

Skydrive, Dropbox, Google Drive - podatke mozete prvo "sifrovati" (kriptovati) pa tek onda prebaciti na cloud. Cak mozete namestiti da vam se sve kriptuje automatski sa 3rd party programom ako ste paranoik.

Stvarno razumem i postujem to sto velika vecina Srba ima podatke o Titovom Space programu, Kenedijevom ubistvu, raznim masonskim zaveravama i slicnim dokumentima... Tako da zaista smatram da svaki od ovih dokumenata treba kriptovati nekoliko puta raznim tehnikama kriptografije (tipa aes, triple des)...

Socijalni inzinjering. Procvetace to i kod nas za godinu ili dve. Uskoro zavrsavam fakultet, radim jedva mesec dana u IT firmi, principi su zastiti kod ko 'ebe korisnika.
Kod svih firmi, od kojih neke imaju veoma osetljive informacije, na serveru je stalno ukljucen neki tip remote kontrole. Sutra da neko nazove njihovog 'administratora' i da ga pita za parametre pristupa ovaj bi to dao bez razmisljanja.

A sta tek zlonameran radnik tehnicke podrske moze da uradi?

Poenta je u tome da oni koji pružaju "cloud" usluge (uključujući svaki Web mail servis - gmail, yahoo, hotmail) imaju pristup svim skladištenim podacima. Podaci na serveru nisu šifrovani, čak i kada je veza između korisnika i servera šifrovana kako treća lica ne bi lako prisluškivala.
Većina ovih kompanija se nalazi u SAD. Po američkom zakonu (PATRIOT Act) državna bezbednost ima nesmetan pristup svim podacima. Zamislite koje se tu igre i nameštaljke dešavaju "u državnom interesu"...

Ako ikada budem skladištio išta poverljivo ili lično van sopstvene glave, fioke, ili šifrovanog diska, koristiću cloud kompanije tipa Wuala ili Spideroak, jer se podaci šifruju na mom računaru, i skladište na njihovim serverima šifrovani, tako da čak i kada bi hteli ne bi mogli da im pristupe. Ako se pitate zašto veliki servisi tipa Apple, Google, Yahoo ne rade tako, nego dešifruju podatke pre skladištenja - odgovor je u prethodnom paragrafu.