Feature Nacktfotos: Apple untersucht angeblichen iCloud-Hack

[staettler]

Nach der aktuellen Statistik von Suchmaschinen und dem Anklang des Themas hier scheint es doch zur Zeit kein wichtigeres Thema auf der Welt zu geben. Voyeurismus ist offensichtlich doch ein sehr beliebtes Hobby.

Na ja, wenigstens hat das Netz für einen Tag die "ice bucket challenge" vergessen!

 

[CharlieBrown]

Ich bin der Meinung, dass der Schuldige natürlich der Hacker ist, aber wie kann man nur, gerade als "Promi", so sorglos sein... :rolleyes:

 

[staettler]

Ich frage mich warum man, wenn man schon überhaupt solche Fotos macht, diese dann auch noch in die Cloud läd. Naja des einen Leid..

Und wieder: Die Hälfte hat bestimmt keine Ahnung, was das iPhone wann und wo hin läd!

 

[Benutzer 176034]

Ich bin der Meinung, dass der Schuldige natürlich der Hacker ist, aber wie kann man nur, gerade als "Promi", so sorglos sein... :rolleyes:

"Promis" wischen sich den Hintern auch nur mit Papier ab, warum sollte deren Nutzerverhalten anders aussehen, als das des "Nicht-Promis"?

 

[CharlieBrown]

"Promis" wischen sich den Hintern auch nur mit Papier ab, warum sollte deren Nutzerverhalten anders aussehen, als das des "Nicht-Promis"?

Weil die, mit all den Millionen Dollar, doch einen Stab von Helfern und Beratern haben. Fürs Aussehen, Pressearbeit, einen Manager, usw.
Aber gut, ganz offensichtlich hatte die gute Frau Lawrence niemand zum Thema Internet.

 

[Benutzer 176034]

Die Helfer und Berater helfen und beraten sicher auf einer anderen Ebene als die der Smatphone-Bedienung. Ganz sicher...

 

[CharlieBrown]

Ja, offensichtlich...

 

[AgenturRiegler]

Ich wundere mich nur das man in Zeiten von WhatsaApp und und Co überhaupt noch irgendwas Digital speichert.
Selbst wenn die Personen darauf hinweist ist es den meisten egal. Da brauchst dich auch nicht wundern wenn mal etwas irgendwo landet wo es nicht hinsoll.
Kann mir auch nicht vorstellen das Apple davon eine Imageschaden nimmt. Es sein denn es gelingt jemand mit einem andren OS völlige Sicherheit glaubhaft zu machen.

 

[Bio Exorzist]

Jepp der Image-Schaden ist da! Und letztendlich hat sich Apple auch mit der BrutForce-Lücke einen Schnitzer geleistet...

Aber zumindest lässt sich eine ordentlich gesicherte Apple ID damit nicht knacken

BTW: http://www.apple.com/pr/library/2014/09/02Apple-Media-Advisory.html

 

[Guy.brush]

Auf der anderen Seite haben wir einen Dienstleister, hier Apple mit der iCloud von dem ich erwarte, dass sie alles daran setzen, dass kein Unberechtigter auf meine Daten jeglicher Art Zugriff bekommen kann. Klar sind diese Stars einem besonderen Angriff ausgesetzt, aber auch diese Stars sind Menschen und verdienen Privatsphäre und wenn sie Bilder in die iCloud laden, dann ist das ihre Entscheidung und geht sonst niemand anderen etwas an.

Die Wörter Cloud und Privatsphäre in einem Satz zu verwenden, könnte man durchaus als gewagt bezeichnen.

Richtig, es sind Menschen - Menschen, die mit dem richtigen Bild im richtigen Käseblatt zur richten Zeit Millionen vedienen können. In meinen Augen ist das so, als würde eine Firma XY dort Dokumente mit Betriebsgeheimnissen hochladen. Die Situation ist also schon eine andere als bei Lieschen Müller, denn die Motivation dort anzugreifen steigt dann um ein Vielfaches. Versicherungen würden das wahrscheinlich dann als fahrlässig bezeichnen.

Nenne uns einen Dienstleister, bei dem du 100%ige Sicherheit hast. Ich möchte gar nicht wissen, wie Handwerker o.ä. Branchen mit ihren Kundendaten umgehen...

 

[matzexcom]

Hier ein paar insights von einem "Hacker"
https://www.nikcub.com/posts/notes-on-the-celebrity-data-theft/

The first pictures were posted nearly a week ago, but didn’t get much attention since they were being ransomed (censored previews being shared in the hope somebody would purchase them). It was only after a number of intermediaries purchased the images and posted complete nudes in public forums that the story exploded.

[...]

8. Authentication tokens can be stolen by a trojan (or social engineered) from a computer with iTunes installed easily. Elcomsoft provide a tool called atex which does this. On OS X the token is installed in the keychain. The authentication token is as good as a password.

9. Two-factor authentication for iCloud is useless in preventing passwords or authentication tokens being used to extract online backups. 2fa is used to protect account details and updates.

[...]

12. The darknet forums provide a lot of tips in terms of the hacking steps and also provide databases of passwords, users and dox but in terms of distributing content are usually a step behind the publicly available image boards. They are definitely more resilient in terms of keeping content up once it is published, and might become more popular with users if more data is leaked. Overchan and Torchan have in the past day or longer been full of new users requesting darknet links to the leaked content, and they receive them.

Auch interessant zu lesen, dass die Two-factor authentication keinerlei Schutz gegen diese Arten von Angriffen bietet.

Two-factor authentication for iCloud is useless in preventing passwords or authentication tokens being used to extract online backups.

siehe auch hier http://arstechnica.com/security/201...e-two-step-protection-wont-protect-your-data/

 

[Basti82]

Gegen einen Brute-Force-Angriff helfen auch keine Passwörter mit 50 Stellen; wenn man die Hacker nicht während der Attacke aufspürt und die Login-Versuche begrenzt, dauert es bei 50-stelligen Codes nur länger als bei "password1234".

Also von Mathe hast du nicht wirklich Ahnung, oder?

Die Möglichen Kombinationen eines Passwortes dass nur aus Buchstaben besteht sind 26 hoch x wobei x die Länge des Passwortes ist. Hast du Zahlen dabei sind es 36 hoch x. Ein Passwort mit sieben Stellen (nur Buchstaben) hat acht Milliarden Möglichkeiten, mit acht Stellen sind es schon 200 Milliarden. Bei einem Passwort mit 50 Stellen bist du bei einer Zahl mit 70 Stellen! Dafür brauchst du Jahrtausende um es mit den heutigen Computern via Brute-Force zu knacken. (Unter der Voraussetzung es ist ein gutes Passwort).

Aus dem Grund macht das ja auch (fast) niemand. Es ist weitaus effizienter dem Opfer einen Keylocker unterzujubeln.


Sent from my iPhone using Apfeltalk

 

[Bio Exorzist]

Also von Mathe hast du nicht wirklich Ahnung, oder?

Die Möglichen Kombinationen eines Passwortes dass nur aus Buchstaben besteht sind 26 hoch x wobei x die Länge des Passwortes ist. Hast du Zahlen dabei sind es 36 hoch x. Ein Passwort mit sieben Stellen (nur Buchstaben) hat acht Milliarden Möglichkeiten, mit acht Stellen sind es schon 200 Milliarden. Bei einem Passwort mit 50 Stellen bist du bei einer Zahl mit 70 Stellen! Dafür brauchst du Jahrtausende um es mit den heutigen Computern via Brute-Force zu knacken. (Unter der Voraussetzung es ist ein gutes Passwort).

Aus dem Grund macht das ja auch (fast) niemand. Es ist weitaus effizienter dem Opfer einen Keylocker unterzujubeln.

Zudem auch noch die Frage besteht, wie viele Kennwörter man überhaupt pro Minute ausprobieren konnte. Der Angriff musste schließlich über Apple's Server laufen...

 

[Basti82]

Zudem auch noch die Frage besteht, wie viele Kennwörter man überhaupt pro Minute ausprobieren konnte. Der Angriff musste schließlich über Apple's Server laufen...

Wobei man natürlich aus ganz klar sagen muss, dass Apple da geschlampt hat. Nachdem man ein paar Mal das Passwort falsch eingegeben hat, sollte sofort eine Email geschickt werden und der Account fur ein oder zwei Stunden gesperrt werden.

 

[Bio Exorzist]

Wobei man natürlich aus ganz klar sagen muss, dass Apple da geschlampt hat. Nachdem man ein paar Mal das Passwort falsch eingegeben hat, sollte sofort eine Email geschickt werden und der Account fur ein oder zwei Stunden gesperrt werden.

Zumindest haben sie es gestern direkt geändert und nun wird nach 10 Versuchen dicht gemacht!

---

Hmm, müsste man nicht eigentlich auch eine Benachrichtigung bekommen, wenn sich ein bisher unbekanntes Gerät mit der eigenen iCloud verbindet? Über iCloud.com kommt man eigentlich nicht an die Bilder...

 

[technikelse]

Ich möchte gar nicht wissen, wie Handwerker o.ä. Branchen mit ihren Kundendaten umgehen...

Wenn ich regelmäßig email Adressen [email protected], [email protected] etc. auf Handwerkerpritschen lese, weiß ich wo die Kundendaten liegen. Es gruselt mich, denn da werden Freemaildienste für gewerblich Zwecke genutzt, anstatt sich für ein paar lächerliche Euros im Monat eine vernünftige Lösung (z.B. hosted Exchange) zu beschaffen, die auch für den gewerblichen Einsatz taugt.

 

[rootie]

Also von Mathe hast du nicht wirklich Ahnung, oder?

...

Es ist weitaus effizienter dem Opfer einen Keylocker unterzujubeln.

Bitte nicht immer anderen Leuten mangelnde Ahnung unterstellen. Zunächst vor der eigenen Haustüre kehren. Er hat nicht behauptet, dass es in menschlicher Zeit errechenbar ist. Er hat lediglich (korrekterweise) gesagt, dass es bei 50-stelligen Passwörtern länger dauert, einen Brute Force - Angriff durchzuführen als bei einem 10-stelligen.

In den seltensten Fällen müssen bei einem BruteForce - Angriff alle Kombinationen ausprobiert werden. Wenn Du nur um der Passwortlänge Willen einfach 50 Mal die 1 als Passwort nimmst, hat zwar Dein Passwort 50 Stellen, ist aber trotzdem in weniger als 10 Sekunden geknackt!

Es ist in der Tat absolut korrekt, dass man einen Brute Force - Angriff nur wirkungsvoll unterbinden kann, wenn man dem Hacker keine Möglichkeit bietet, unbegrenzt oft zu versuchen. Das geht zum Beispiel mit serverseitig gesteuerten Login-Versuchen. Was auch noch wichtig ist, dass der Hacker nicht an den serverseitig gespeicherten Hash kommt, da er sonst im schlimmsten Falle offline probieren kann, bis das Passwort den Hash ergibt.

Das nur als kleiner Input, was die fehlende Ahnung betrifft. Und ich wäre nicht rootie, wenn ich noch einen draufsetzen könnte Es heißt "Keylogger" und nicht "Keylocker". Also immer erst dann über andere herziehen, wenn man selbst keine Angriffsfläche bietet

 

[Mitglied 167063]

Die Wörter Cloud und Privatsphäre in einem Satz zu verwenden, könnte man durchaus als gewagt bezeichnen.

In meinen Überlegungen habe ich immer von iCloud und Apple gesprochen. Natürlich gibt es im Internet keine absolute Sicherheit, aber mir ist es wichtig, dass Apple alles für den Schutz der Kunden unternimmt und bis zu einer bestimmten Grenze fühle ich mich auch bei Apple am sichersten. Das mag naiv sein, bei jedem anderen IT-Unternehmen würde ich mich unsicherer fühlen.

Wenn Unbefugte durch eine Lücke im System Zugriff erhalten ist das in meinen Augen schlimmer, als wenn ich ein einfaches Passwort verwende. Dann bin ich nämlich selbst schuld. Was bringt mir mein 21-stelliges Passwort mit Zahlen, Sonderzeichen und Klein-/Großbuchstaben, wenn der Kriminelle durch eine Lücke im System eindringt.

Durch die ganze Aktion hat Apple klar ein Imageschaden erhalten. Mit dem Namen Apple kann man natürlich gut Presse machen, ich werde heute mal verfolgen ob auch insoweit Apples Presseinformation in den Medien erscheint um das ganze "richtig zu stellen".

Außerdem finde ich es schade, wie auch hier teilweise, diese Kriminellen gefeiert werden. Der Schutz unserer Privatsphäre scheint einigen im Zeitalter von Google, FB und WhatsApp nicht mehr viel zu bedeuten. Nein - falsch ausgedrückt - die eigene Privatsphäre ist heilig, aber wenn im Internet Nacktbilder von weiblichen Prominenten auftauchen hat man ja auch was von dieser Straftat.

 

[Balkenende]

Da gibt's natürlich nix zu feiern. Kriminell ist kriminell.

Man darf es denen aber gleichwohl nicht zu einfach machen.

Ich habe da meine ganz eigene Lösung. Kein icloud, kein Fotostream. Fotos sind persönliche Sachen.

Meine Fotoalben oder Dias habe ich früher auch zu Hause aufbewahrt und nicht Dritten zur Lagerung gegeben.

 

[technikelse]

Wenn demnächst Nacktfotos von Jenny Elvers oder Naddel auftauchen wissen wir, dass der iCloud Hack gefaked war.