法客 wrote:
我本身是程式設計人員...(恕刪)
同意+1...
雲端看似很方便!!但是卻很恐怖!!
就好像你把所有的財產拿去放在別人家的保險櫃一樣!
你有一把鑰使..但是保險櫃主人也有一把!!
恐怖得事是這保險櫃常常被開來開去的而你根本就不知道!!
個人積分:1337分
文章編號:51930162
個人積分:0分
文章編號:51930207
個人積分:970分
文章編號:51930322
lfjadsflk wrote:
============================
這起事件起源於,某位駭客將好幾位好萊塢女星的照片公佈在某個網路分享空間,接著一傳十、十傳百,這些不僅是生活私密照,還是Jennifer Lawrence、Ariana Grande、Rihanna等名女星,事件已傳得沸沸揚揚。這些照片大多來自女星的iPhone,而iPhone裡的照片,一般而言,都會自動備份到iCloud上。因此,如果手機沒遺失,就是iCloud被有意人士侵入。
根據外媒The Guardian,趨勢科技的安全研究部副總裁Rik Ferguson認為,這起事件的背後原因,不可能是駭客大規模攻擊Apple的iCloud。而許多追究的解釋原因,都來到郵件與密碼資訊洩漏這個問題上。
Apple的iCloud有雙重認證防護機制(two-factor authentication,2FA),除了輸入密碼外,還得輸入手機簡訊收到的驗證碼,才能登入帳號。但是,這項驗證必須使用者自己設定為開啟才會生效,如果使用者沒有事先開啟這項功能,無論是誰,只要擁有使用者的郵件與密碼,就能登入iCloud,下載空間上的照片與其他隱私資料。
目前Apple並未對這件事件下任何結論,只對外聲明內部已開始調查這件事件的背後原因。FireEye分公司Mandiant的資安研究人員則表示,根據目前所得知的訊息,這起事件很有可能是直接的資料竊取攻擊,瞄準某幾個帳號,並且避開雙重認證防護機制,來竊取資料。
============================
你不覺得你在貼廢話嗎?
第一段 廢話
第二段 現在流出的版本暴力破解本來就不算駭入iCloud啊.....先生你有事嗎?
第三段 還是廢話 沒開就是沒有這個防護 你乾脆說使用者可以選擇把照片放保險箱
第四段 廢話
然後少在那邊台不台媒的了
外媒一樣是寫brute force attack to crack果粉都只看想看的?
閣下的邏輯問題真的不小
個人積分:173分
文章編號:51930519
ulyssesric wrote:
重點是過程中帳號被盜的受害人會收到 iCloud 寄來的 Email 通知,
說有一台新的機器和你的 iCloud 帳號關連!
不管有沒有注意到這些信,其他的iDevice早就已經可以進行復原,這些大明星就算注意到也已經無力回天
難道每個明星發現自己Apple ID有新設備被關聯時,都得上新聞公告週知嗎?
ulyssesric wrote:
iCloud 帳號列表雖說不算是什麼最高機密,
但是要取得並破解這麼多帳號、回復這麼多設備,做這件事要花多少時間多少成本?
而且,如果真有人厲害到能發現未公開漏洞、或是人脈足以駭客社群密切來往,能夠做到這種事,
還會刻意跑去 4Chan 兜售艷照換 BitCoin 嗎?
「有可能」不代表「合乎情理」。
與其自己猜來猜去努力自圓其說,不如上GitHub看看吧!
知道漏洞的人不僅無私地提供破解範例,也直接了當說明問題出在Find My iPhone的API,
所以ZDNet才說此事可能是有這個專案出現,被其他惡意駭客作為基礎才進一步盜取資料
https://github.com/hackappcom/ibrute
(Apple已補強,已不work)
至於復原iPhone花時間所以不合理的說法,其實花時間的是安裝軟體與同步音樂及影片,選復原後重開機就已經可以先看到照片一一出現,根本不需等到整支手機復原完成
個人積分:3595分
文章編號:51931028
..
...
...
..或是..容量無限...
個人積分:366分
文章編號:51931660
botdf wrote:
不管有沒有注意到這些信,其他的iDevice早就已經可以進行復原,這些大明星就算注意到也已經無力回天
難道每個明星發現自己Apple ID有新設備被關聯時,都得上新聞公告週知嗎?
最大的問題是:駭客不可能只駭侵名單上的那些列表。
就算是演藝界,會有多少人把自己的裸照放在手機上?
駭客要收集到這些照片,實際上受害者可能是數十甚至數百倍。
一個人、兩個人受害沒注意到,一點都不稀奇。
數百人、數千人受害都沒發現,這完全說不通。
就算你不是明星,當你發現你的 ID 有新設備被異常關連,你第一個反應是什麼?
『我帳號被盜了?!!』這是人之常情。
而像這些大明星,別的可能沒注意,一旦事關自己的隱私,他們可不會輕易放過。
他們可能不會本人去弄,但是一旦發現,他們絕對會找伴侶、助理去處理,不會放著不管。
當然,接下來會做的動作,不外乎就是去找 Apple 客服拍桌子,
然後他們就會告訴你一些無關痛癢的換密碼、開二次驗證、有的沒的。
做這些事情確實無法挽回已經被盜走的資料,
但是一個人兩個人三個人四個人回報,尤其是名人,絕對會讓所有人提高警覺。
而帳號是否有異常行動,這種事情一查就知道;
像這種牽連這麼廣的案子,搞到有人揭露 Zero day 漏洞內容才急急忙忙補起來,
這完全不合常理。
botdf wrote:
與其自己猜來猜去努力自圓其說,不如上GitHub看看吧!
知道漏洞的人不僅無私地提供破解範例,也直接了當說明問題出在Find My iPhone的API,
所以ZDNet才說此事可能是有這個專案出現,被其他惡意駭客作為基礎才進一步盜取資料
同學,暴力硬解的作法不是萬能。
暴力硬解最大的問題,就是要花很多時間。
尤其是透過網路的硬解,一來一回,網速再怎麼神通廣大,少說也要幾秒。
就算他能夠 500ms 取得回應好了,一部英文字典三十萬字,從頭跑到尾至少也要一天半。
而 ibrute 是三天前發佈的,也就是說,
這個駭客除非是厲害到自己也能發現這個未公開漏洞、或是和地下駭客社群有關,
不然他能夠使用 ibrute 來竊取資料的時間,只有兩天。
而且就算有 ibrute,這個工具使用的方法也只是猜「前 500 名最常用的密碼組合方式」,
不是真的把所有組合給他用暴力硬解跑下去,
真的能用 ibrute 給破掉的帳號密碼,機率已經很低了。
而這些能夠破解的帳號是屬於定義上的「名人」所有,機率更低。
而這些被破解的「名人帳號」裡面還含有艷照的,機率又再更低。
換句話說,駭客有兩個選項,但是兩個選項都有問題:
1. 採用 ibrute 原理針對特定清單,給他暴力硬解下去 → 兩天連一個帳號都跑不完。
2. 使用原生 ibrute 猜 500 次,完全碰運氣亂槍打鳥打下去 → 能破解掉的帳號可能連 1% 都不到。
無論採用哪個選項,兩天的時間都絕對不夠收集這麼多「名人」帳號,更遑論一一回復檢查了。
所以說,根本不需要猜測,「破解 iCloud」這個選項本身就不合情理:
結論一:如果駭客是在 ibrute 公開之前就動手,
花了幾個月甚至一兩年的時間大量收集資料然後從中過濾出有用的「艷照」,
在這整個過程中沒有任何人抱怨「ID被不明裝置關連」,這完全不合常理。
結論二:如果駭客是在 ibrute 公開之後才動手,
兩天的時間要嘗試成千上萬個帳號、
碰運氣看有多少能破解、然後碰運氣看看裡面有沒有名人、然後碰運氣回復備份檢查艷照,
這個機率低到不如去買樂透。
而依據我的論點,結論只有一個:
結論三:在 4Chan 上 PO 艷照賣 Bitcoin 的那個死屁孩說謊。
依據奧卡姆剃刀法則,哪個解釋才是最可能的解釋,我想不用多說了。
個人積分:74分
文章編號:51931963
ulyssesric wrote: 最大的問題是:駭客不可能只駭侵名單上
以蘋果的密碼強度要求來看,要暴力解出一個帳號的密碼至少要好幾個月、好幾年以上,甚至破解不了,我覺得被釣魚信件騙密碼的可能性更高(無論從哪個雲端空間洩漏的)
http://support.apple.com/kb/HT4232?viewlocale=zh_TW&locale=en_US
個人積分:366分
文章編號:51932219
L.H.O.O.Q. wrote:
以蘋果的密碼強度要求來看,要暴力解出一個帳號的密碼至少要好幾個月、好幾年以上,甚至破解不了,我覺得被釣魚信件騙密碼的可能性更高(無論從哪個雲端空間洩漏的)
有一個漏網之魚:.Mac 與 MobileMe 時期的老帳號,不會強制要求改密碼。
不過畢竟那是少數中的少數,因為那時候 Apple 帳號是要錢的,而且不便宜。
另外,ibrute 的工作原理已經確定,是從「500 個最常被使用的 iCloud 密碼組合」中依序測試。
這種作法或許能破解部分帳號,但是機率實在太低了。
無論如何,Apple 搞出這種允許別人暴力硬解的白痴漏洞就是該罵無誤,
但是我不認為這次的艷照事件和這個漏洞有關。
個人積分:46分
文章編號:51932674
a425769 wrote:
請問閣下是如...(恕刪)
駭客寫程式去爆解"用戶"的密碼然後取得回復該用戶備份或photostream的權限 他有取得主機的管理權限嗎?他有跑進資料庫嗎? 他是利用漏洞去猜用戶密碼 不是用漏洞去資料庫裡找用戶的資料 資料庫裡的都是加密的東西 駭那個不如直接駭用戶的電腦
依照你的講法 蘋果的漏洞讓人利用了就是主機被駭
所以我拿我女友的fb,YouTube,ptt或itunes帳密登入 我就變成cracker囉!???? 或是我拿已知的某帳號密碼去嘗試登入其他服務結果成功 我就是駭進該服務摟?!!!!
有沒有人也在玩X-Plane 10!!!有沒有人也在玩X-Plane 10!!!有沒有人也在玩X-Plane 10!!!
個人積分:46分
文章編號:51932769
ulyssesric wrote:
那是 iTunes...(恕刪)
大大 我貼那個是在跟你說我找來找去從來沒有收過icloud登入的提醒email 只有在新裝置下載東西會提醒
然後我剛剛重置我的ipad 確認從登入icloud到回復完備份 不會有任何警示或者email說有人登入icloud
從頭到尾只有重置前的find my iphone關閉的email跟imessage,FaceTime,handoff的警示 這警示也要等回復完成才會有
所以只要有帳密 對方又沒有兩階段驗證 回復別人備份取得聯絡電話、相簿、對話記錄、簡訊等等根本輕而易舉
有沒有人也在玩X-Plane 10!!!有沒有人也在玩X-Plane 10!!!有沒有人也在玩X-Plane 10!!!
關閉廣告