miércoles, 10 de septiembre de 2014

Bug de Apple con las fotos de famosas desnuda y Repercusión

Mientras estaba fuera de casa por vacaciones y demás, saltó la noticia de las fotos robadas de más de 100 famosas. La lista de famosas es bastante grande y aparecen nombres como Jennifer Lawrence, Kate Upton, Ariana Grande, etc...y nuestra querida Penny (Kaley Cuoco) a la que le dediqué un pot diciendo que pasamos de ella y que se deberían cambiar las medidas de seguridad. No he podido contar esto antes ya que como ya dije en mi Twitter, programo muchos posts y hasta hoy no he podido contarlo.

Pero hoy no voy a hablar solamente sobre esta noticia que ha dado la vuelta al mundo. También me gustaría comentar aquellas empresas que escuchan y las que pasan de consejos que se les hacen para que mejoren la calidad de artículos y el nombre de la empresa en general. Pero primero lo primero. Así que siéntate tranquilo,que este post será largo.


Figura 1: Lista de famosas a las que les han robado fotos personales
Todo esto empezó cuando a través de un foro llamado 4Chan (bastante conocido) se realizaron una serie de filtraciones de fotos comprometidas de famosas, obviamente esto "incendió" las redes sociales-por donde me enteré de la noticia-. Y rápidamente las respuestas de las perjudicadas; algunas dijeron que era falsas, pero otras no negaron lo que era imposible.


Figura 2: Mary E. Winstead sobre lo ocurrido
Pero...¿Cómo lo han hecho?

Como se podía observar en las selfies, los dispositivos eran casi todos iPhone y se suponía que fue un hackeo a iCloud, que como dijo Chema en su Blog, viene como anillo al dedo para la promoción de Sex Tape "Algo Pasa en la Nube".


Figura 3: Sex Tape "Algo Pasa en la Nube"

La película va sobre un vídeo casero que realizaron los protagonistas y que lo compartió a través de la nube y lo podían ver todas las personas a las que le regalaron un iPad, además deja una frase que viene pero que muy bien para este caso "Nadie entiende la nube, es un puto misterio".

Pues para que quede claro, la nube de Apple -iCloud- se encarga de realizar backup de todo lo que haya en el terminal, además ya vimos lo sencillo que podía ser robar los contactos del iPhone de Pipi. Lo que hay que tener en cuenta es que esta backup NO VA CIFRADA, lo que es un FAIL desde el punto de vista de la Seguridad.

¿Fue hackeada iCloud?

Pues sí y no.Aunque como ya he comentado, se dijo que alguien había penetrado en iCloud, pero no fue así; fue un fallo en la API de FindMyPhone y que supuestamente se habría realizado con un script llamado iBrute:

"https://fmipmobile.icloud.com/fmipservice/device/'+apple_id+'/initClient"

En donde pone "apple_id", se tendría que escribir el nombre de usuario -el correo- de la víctima...Sí, habéis leído bien, el correo de TODAS LAS FAMOSAS, y lo que os estaréis preguntando es "¿Cómo se obtiene el correo de una famosa?" Pues será por maneras, una de ellas es averiguarlo y...¿cómo? Pues se podría aplicar un Man In The Middle como el que se le realizó a "rafa1", y así podríamos saber el correo de las víctimas (cosa no tan sencilla, ya que se tendría que -por ejemplo-montar una red wifi y que con suerte se conecten) pero claro tendríamos el nombre de correo de una cuenta a la que se conecten...también una contraseña, pero imaginemos que ninguna de las 100 famosas, reutiliza ninguna contraseña; entonces esto no es rocket science como dirían los ingleses. Esto llevaría mucho tiempo.

Además como esto es cuestión de backup, aunque se borren las fotos, la backup sigue en la nube. Es por eso que alguna famosilla dijese que esas fotos no eran suyas  y que eran falsas...Menudo crack del "Fotochop" entonces.

Por eso siempre lo mejor es disponer de un 2FA como puede ser Google Authenticator o Latch, ya que si alguien quiere entrar, debe introducir un OTP o que el Latch esté abierto- solo le deja un tiro al atacante-.

Pero volviendo al tema de iBrute-que dicen que fue como se hizo, pero yo no me lo acabo de creer de que fuese la única forma-. porque realizar fuerza bruta puede llevar tiempo, y más a servidores de Apple y a tanta cantidad de gente.

Figura 4: Scipt iBrute
Además esto puede pasar por el protocolo HTTP tradicional , y los usuarios y contraseñas se transmitirían en texto claro y los podríamos tener almacenados con un simple base64.

También hay que decir que puedes activar el segundo factor a tu cuenta de Apple  y una "pregunta de seguridad", que no es muy aconsejable ya que en las redes sociales hay multitud de información nuestra para contestar correctamente a estas preguntas. Por eso es casi mejor no decir la verdad en Internet debido a estas "medidas de seguridad" . Y encima puede ser que averiguar la contraseña no sea algo tan complicado como dicen desde Hispasec.

Al final, nadie sabe bien cómo se ha podido hacer realmente y solamente hay teorías, que si man in the middle, que si Phishing, etc y al final los que hablan son los periodistas, y desafortunadamente; muchos no entienden que los Hackers NO SOMOS ciber-criminales

¿Fue solamente con fuerza bruta y MITM?

No es una de las ideas que se me pasan por la cabeza, yo pienso bastante en un posible Phishing -pero no a todas- al igual que no pienso que haya sido solamente una ppersona la que haya realizado todo esto...más de 100 famosas son muchas famosas. Una de las posibilidades, la contó Chema Alonso en el Hormiguero y en su Blog recientemente. No tiene desperdicio y por algo es mi ídolo *Lof is in di er*

Repercusión en los medios

Como he comentado al principio, los medios se dieron cuenta de este escándalo y empezaron a escribir artículos para sus respectivas empresas, pero casi nadie las redactaba del todo bien, ya que decían que el que había hecho esto era un Hacker, cuando era un cibercriminal.

Figura 5: Noticia en FormulaTV

Esta noticia sobre todo me enfadó bastante, y decidí escribir a los señores de FormulaTV y demostrarle mi malestar con la noticia y les aconsejé que la cambiase ya que si no de lo contrario estarían engañando a la gente .

Figura 6: Correo enviado a los señores de FormulaTV

Pero aún no tengo respuesta alguna, y eso que también les envié un Tweet- o si no revisad mis Tweets del día 1. Pero bueno, también quiero hablar de una empresa que SÍ ESCUCHA ESTOS CONSEJOS, esta empresa es Kaspersky, que se molestaron en contestarme y corregir lo que les dije. Por eso tengo decir a Kaspersky ¡GRACIAS por escuchar!

Figura 7: Gracias por escuchar caballeros de Kaspersky


Ya para terminar, me gustaría dejar una frase que ha recogido el libro HackStory escrito por Mercè Molist y que me ha gustado bastante, es más, ya me he leído el libro. Enhorabuena a Mercè.

Figura 8: Sí, soy un delincuente
Saludos Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...