Apple, iCloudun hacklendiği yönündeki iddialara yönelik sonunda resmi bir açıklama yayınladı. Fotoğrafların sızmasının ardından yaklaşık 40 saat süren bir araştırma sonrasında bulgularını paylaşan Apple, saldırının iClouddan kaynaklanan bir güvenlik zaafından kaynaklandığına yönelik suçlamaları reddetti.
Apple, açıklamasında söz konusu şöhretlere ait hesaplarının kullanıcı adları, şifreleri ve güvenlik sorularının çok hedefli bir saldırıyla hacklendiğini doğruluyor. Ancak bunun Appleın iCloud ya da Find My iPhone dahil olmak üzere herhangi bir sistemindeki güvenlik açığından kaynaklanmadığı belirtiyor.
Apple, kullanıcılarını bu tip bir saldırıdan korunmak için daha güçlü şifre oluşturmaları ve two step verificationı kullanmaları yönünde uyarıyor.
https://github.com/hackappcom/ibrute
adamlar burada yapmış. brute force ile hacklendiğini zaten defalarca duymuştuk.
brute force şu demektir:
bir kullanıcı adı için üretilen devasa büyüklükteki parolaları tek tek denersiniz ve doğru parola gelene kadar bu işleme devam edersiniz.
brute force'a karşı diğer sistemler nasıl savunur?
brute force yöntemine karşı 2 savunma yöntemi vardır.
1- iki adımlı doğrulama sistemi:
bu sistemde parolanız tahmin edilse bile, bankalardaki 3d güvenlik ödeme seçeneği gibi telefonunuza bir kod gelir, bu kodu girmeden siteye giriş yapamazsınız. kodu 3 defa yanlış girerseniz tekrardan kod gelir veya bloke olur bir süre için
2- hesabı geçici süre bloke etme:
yukarıdakinden daha farklı bir sistemdir. bu sistem, 10-15 kere parola denemesi yapıldığı takdirde parola denemesi yapılan hesabı geçici bir süre için askıya alır ki deneme-yanılma ile parola tahmin edilemesin. dez avantajı, savunma sisteminin zaafını kullanarak istediğiniz kişinin hesabını askıya alıp baş ağrıtabilirsiniz. ancak amaç hesabı değil, hesabın içindeki bilgileri ele geçirmek olduğundan kimse bununla uğraşmaz. yöntem 1'de anlatılan "kodu yanlış girme" durumu da bu şekilde işlemektedir. gene temeli buna dayanmaktadır.
apple'ın find my iphone uygulamasının apisi kullanılarak, icloud veya apple-id hesaplarına saldırı olduğunda, herhangi bir brute force savunması ile karşılaşmazsınız. işlemciniz ve internetiniz kuvvetliyse, dakikada 100 tane parola denersiniz. belki saatler içinde de şifreleri çözersiniz. tek hacklenen kısım icloud değil, dropbox da işin içinde. benim teorim, find my iphone apisi kullanılarak telefondaki bütün apilere brute force yapılması. zaafiyet aslında icloud, dropbox'da değil, find my iphone'da.
burada find my iphone'un küçük bir bugı bulunuyor. apple'ın bu konuda suç kabul etmemesi, lansman öncesi kendini garantiye almak istediği içindir.
diğer nokta, eğer hacker çıkıp da teknik detayları ile birlikte hacki nasıl yaptığını anlatır da, açığın apple'dan dolayı kaynaklandığı görülürse, apple çok pis göt olacaktır.
(bkz: şimdi onlar düşünsün)
