Τα στοιχεία πρόσβασης των διασημοτήτων που ήταν στο iCloud βρέθηκαν στα χέρια των κακόβουλων χρηστών μέσω πολύ απλών μεθόδων δηλαδή κοινωνικής μηχανικής (social engineering) ακόμη και μέσω phishing αλλά και πάλι πολλοί ήταν οι χρήστες που έπεσαν θύματα μιας και δεν είχαν ενεργοποιημένο το two-step verification.
Αρκετές εταιρείες, στην προσπάθεια τους να διασφαλίσουν ευαίσθητα δεδομένα τα οποία διαχειρίζονται και αποθηκεύουν μαζικά οι χρήστες υπηρεσιών, εισάγουν όλο και πιο εξελιγμένες μεθόδους ασφάλειας. Μια από αυτές είναι και η αυθεντικοποίηση σε δύο στάδια, γνωστή και ως two-factor authentication.
Είναι γνωστό ότι η εταιρεία Apple σε αυτό το πλαίσιο, έχει εισάγει την υπηρεσία αυθεντικοποίησης σε δύο στάδια για τις εφαρμογές του iCloud, ακολουθώντας το παράδειγμα και άλλων εταιρειών που το έχουν κάνει ήδη, όπως μεταξύ άλλων η Google, η Microsoft και η Yahoo. Είναι επίσης γνωστό, ότι δεδομένα διασημοτήτων είδαν το φως της δημοσιότητας ύστερα από μη εξουσιοδοτημένη πρόσβαση στους iCloud λογαριασμούς των ανυποψίαστων θυμάτων.
Η εξαρχής σωστή συμβουλή που έχει προταθεί ως βέλτιστη λύση σχετικά με την πρόσφατη υπόθεση διαρροής δεδομένων από το Apple iCloud, είναι η ενεργοποίηση της αυθεντικοποίησης δύο παραγόντων ή όπως η ίδια η εταιρεία ονομάζει αυτή την υπηρεσία, two-step verification.
Μέσω του two-step verification το οποίο παρέχεται σε συγκεκριμένες εφαρμογές του iCloud, δίνεται η δυνατότητα στον χρήστη να προστατεύσει την πρόσβαση στον λογαριασμό του, προσθέτοντας ένα ακόμη “επίπεδο” αυθεντικοποίησης. Αντί λοιπόν μόνο για τον κωδικό πρόσβασης, ο χρήστης καλείται να εισάγει και έναν ακόμη κωδικό, ο οποίος αποστέλλεται σε αυτόν είτε μέσω μηνύματος κειμένου, είτε μέσω φωνητικού μηνύματος. Με τον ίδιο τρόπο περίπου που πραγματοποιούνται οι διαδικτυακές τραπεζικές συναλλαγές μέσω του web banking, απλά στην περίπτωση της αυθεντκοποίησης σε 2 στάδια του iCloud, το “token” αποτελεί η τηλεφωνική συσκευή του εκάστοτε χρήστη.
Η ενεργοποίηση του two-step verification είναι αρκετά εύκολη διαδικασία αλλά δεν εγγυάται 100% την ασφάλεια των αποθηκευμένων δεδομένων, τουλάχιστον για το iCloud της Apple.
Ενώ η εταιρεία προσφέρει το two-step verification για τους λογαριασμούς των χρηστών, το ίδιο το σύστημα δεν διαθέτει ασφαλιστική δικλείδα για τα αντίγραφα ασφάλειας που αποθηκεύονται στο iCloud. Τα αντίγραφα ασφάλειας του iCloud, δεν προστατεύονται από το two-step verification και μπορούν να εγκατασταθούν σε νέες συσκευές μέσω του Phone Password Breaker, από τη στιγμή που κάποιος κακόβουλος χρήστης παραδείγματος χάρη, διαθέτει το όνομα και τον κωδικό πρόσβασης. Ακόμη και στην περίπτωση που οι κακόβουλοι χρήστες δεν καταφέρουν να μεταφορτώσουν ολόκληρο το εφεδρικό αντίγραφο ή ακόμη και αν δεν υπάρχει καθόλου εφεδρικό αντίγραφο στον λογαριασμό, θα μπορούν να έχουν πρόσβαση στις φωτογραφίες του χρήστη (Photo Stream), αφού δεν προστατεύονται από το two-factor authentication. Ένα εξίσου μεγάλο πρόβλημα αποτελεί το γεγονός ότι η πρόσβαση στα εφεδρικά αντίγραφά μπορεί να πραγματοποιηθεί και μέσω ενός φακέλου που δημιουργείται από το iTunes, για τη δημιουργία του οποίου δεν θα ζητηθεί ούτε καν κωδικός πρόσβασης.
Βάσει των συνολικών στοιχείων που μέχρι τώρα έχουν αποκαλυφθεί, είναι φανερό ότι οι κακόβουλοι χρήστες που κατάφεραν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στους συγκεκριμένους λογαριασμούς χρηστών, δεν χρησιμοποίησαν κάποια εξειδικευμένη μεθοδολογία ούτε έγινε κάποια εκμετάλλευση zero-day exploit. Τα στοιχεία πρόσβασης βρέθηκαν στα χέρια των κακόβουλων χρηστών μέσω πολύ απλών μεθόδων όπως το να μαντέψουν τις ερωτήσεις ασφάλειας που είχαν τεθεί από τους χρήστες, μέσω κοινωνικής μηχανικής (social engineering) ακόμη και μέσω phishing.
Από τη μια πλευρά βλέπουμε ότι η εταιρεία έχει βοηθήσει τους χρήστες να προστατευτούν έως έναν βαθμό, από την άλλη βλέπουμε ότι δεν το έχει καταφέρει επαρκώς. Η λύση της Apple για την προστασία των χρηστών μέσω της αυθεντικοποίησης σε 2 στάδια είναι φανερά ελλιπής. Το ότι τα εφεδρικά αντίγραφα του iCloud δεν προστατεύονται από αυθεντικοποίηση δύο παραγόντων είναι γνωστό εδώ και αρκετό καιρό, πολύ πριν βγουν στο φως της δημοσιότητας τα συγκεκριμένα δεδομένα χρηστών. Θα πρέπει να αναφέρουμε βεβαίως ότι οι περισσότεροι χρήστες που πέφτουν θύματα, συνήθως δεν έχουν ενεργοποιημένο το two-step verification.
Σε αυτό ακριβώς το σημείο καλείται η ευαισθητοποίηση των χρηστών σε θέματα ασφάλειας.
Πέρα από τις εφαρμογές ασφάλειας που εισάγουν οι εταιρείες για την προστασία των προσωπικών δεδομένων, τις οποίες σε κάθε περίπτωση θα πρέπει οι χρήστες να χρησιμοποιούν αφού πρώτα ελέγξουν από άποψη λειτουργικότητας, θα πρέπει να υπάρχει μεγάλη προσοχή κατά τη δημιουργία κωδικών πρόσβασης, ώστε να μην είναι εύκολο αφενός να τον μαντέψει κάποιος, αφετέρου να περιλαμβάνει συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και συμβόλων. Επίσης, οι ερωτήσεις ασφάλειας θα πρέπει και αυτές να είναι συνδυαστικές και να μην σχετίζονται με προσωπικές πληροφορίες. Να αντιμετωπίζονται δηλαδή σαν άλλοι κωδικοί πρόσβασης.
Η Apple οφείλει να καλύψει το σύνολο των εφαρμογών iCloud μέσω της αυθεντικοποίησης δύο παραγόντων και να δώσει ιδιαίτερη έμφαση στην ασφάλεια των εφεδρικών αντιγράφων.
Από την άλλη πλευρά, οι χρήστες θα πρέπει να είναι αρκετά προσεκτικοί όσον αφορά τα δεδομένα που διαχειρίζονται εντός των προσωπικών ή/και των εταιρικών τους συσκευών.
Αναμένουμε βεβαίως από την εταιρεία να εισάγει την υπηρεσία αυθεντικοποίησης δύο παραγόντων και στην Ελλάδα το συντομότερο δυνατό και χωρίς παραλήψεις.
Κωνσταντίνος Βαβούσης
Strategic Manager
Trust Information Technologies