jueves, septiembre 04, 2014

Famosas desnudas, bugs de Apple y la filtración en 4Chan

Sin duda, la noticia de esta semana ha sido la filtración de una buena cantidad de fotos de famosas desnudas. En la lista se encuentran fotos de Jennifer Lawrence, Kate Upton, Ariana Grande, Mary E. Winstead, etcétera. Un buen número de famosas del cine y la televisión, entre las que también se encuentra Penny, la chica rubia de "The Big Band Theory", en una desafortunada fotografía como una metáfora del artículo que publiqué titulado "Mea Culpa, Penny" en el que decía que las medidas de seguridad no están creadas para todo el mundo.

Figura 1: Sección de la lista de famosas afectadas por la filtración

La filtración se hizo a través del popular foro 4Chan, y como podéis imaginar, las reacciones comenzaron en seguida por Twitter, donde algunas famosas negaron que las fotografías fueran suyas y otras confirmaron su veracidad, y el robo de las mismas. Como suele suceder en 4Chan, la historia rápidamente se enredó con fakes, comentarios, y hasta con una donación espontánea de BitCoins para el supuesto agresor de la intimidad de las famosas, que muchos, ávidos de más sangre y más material, decidieron apoyar rápidamente. La pregunta que queda en el aire y que todo el mundo quiere responder es... ¿Cómo lo han hecho?

Los Bugs de Apple: El cifrado de Apple iCloud

Casi todas las famosas afectadas usaban iPhone, así que rápidamente las miradas apuntaron hacia Apple y su popular sistema iCloud. Hay que tener presente que esta historia viene además como anillo al dedo para la promoción de la cinta de "Sex Tape", en la que los protagonistas tienen una filtración de un vídeo casero gracias a poner en un iPad la grabación y compartirlo por la "nube". Lo más gracioso de esa película es el trailer, cuando el protagonista dice: "Nadie sabe lo que es la nube".


Figura 2: Sex Tape: "Algo pasa en la nube"

La nube de Apple, conocida como iCloud, es una vieja conocida de todos los que trabajamos en seguridad. Cuando escribimos el libro de Hacking iPhone ya le echamos un ojo a todas las posibilidades, y se conocen bastante bien sus debilidades de las que han utilizado alguna sí o sí para perpetrar este ataque.

En primer lugar, cuando Apple introdujo iCloud, lo uso inicialmente como forma de hacer backup del contenido de iPhone & iPad, lo que hacía que fotos, vídeos, notas, marcadores de navegación, datos de apps, etcétera, se copiaran a los servidores de Apple. Una mala idea para la privacidad personal, pero al final, para la gente que ha dejado de utilizar PCs en su vida cotidiana, el contar con un backup en la nube podría ser muy útil.

Lo que se sabe de ese backup en la nube es importante que todo el mundo lo tenga presente y es que NO está cifrado con nada más allá que tu clave. Es decir, todos los archivos que están en el backup se encuentran sin cifrar sin ningún tipo de clave de ningún tipo. Cuando se hace un backup usando Apple iTunes, se puede elegir si el backup se quiere hacer cifrado o sin cifrar, pero en Apple iCloud el backup se hace sin cifrar más que con tu clave. Así que si tienen la clave de Apple iCloud tienen el cifrado.

La empresa ElcomSoft tiene una herramienta muy popular y conocida llamada ElcomSoft Phone Password Breaker, que entre otras cosas permite que, dado un usuario y una contraseña de Apple ID, se pueda acceder a la carta a los backups de un terminal en la nube. Es decir, alguien podría estar monitorizando constantemente los backups de la nube - por ejemplo los WhtasApp o las nuevas fotografías - que el terminal iPhone o iPad va subiendo periódicamente. 

El protocolo de acceso a Apple iCloud está analizado y re-analizado, y en una conferencia no hace mucho tiempo se publicó un estudio y unas librerías en Python para todo aquel que quisiera hacerse su propia herramienta, así que si las famosas tenían activado Apple iCloud - que parece que está más que confirmado - es de donde se sacó el material.

Figura 4: Análisis de protocolo iCloud y Find My iPhone

Evidentemente, como son backups, si hay una copia de seguridad de una fotografía antes de que esta sea borrada, permanece en la nube. Esa es la explicación de que alguna famosa afirmase que esas fotos ella las había borrado. Sí, pero no de la nube - hay que revisar Sex Tape -.

Los bugs de Apple: La autenticación en 2 pasos

Hasta que no sucedió el escándalo Mat Honnan, el periodista de la revista Wired que fue "hardly hacked", desde la nube de Apple iCloud, la compañía no sacó un sistema de 2FA (Second Factor Authentication) llamado Verificación en 2 Pasos. Un 2FA es una de las formas más seguras de proteger una identidad digital. Como ya expliqué en el artículo de "Cómo proteger identidades digitales", existen diferentes alternativas, como el caso de Google Authenticator, Verificación en 2 Pasos de Apple que usa también SMS - y puede ser robado con el terminal bloqueado usando la previsualización  - o nuestro Latch para poner pestillos digitales a cualquier identidad.


Figura 5: Verificación en 2 Pasos de Apple

Con una verificación de segundo factor, si alguien quiere acceder a la cuenta con la contraseña correcta, es necesario que se verifique la aprobación desde un terminal móvil, en este caso. En el caso del periodista Mat Honan, antes de que estuviera disponible este sistema, el atacante convenció a un Genius de Apple para que se la resetera y se la diera.

Ninguna de las famosas había activado la Verificación en 2 Pasos, así que para el atacante sería fácil utilizar las credenciales de las víctimas sin preocuparse, pero aún hay más. Apple desplegó la Verificación en 2 Pasos primero solo para Apple ID en algunos países, pero no para los servicios de Apple iCloud. Después extendió los países pero no llegó a Apple iCloud. Por último creo un nuevo servicio de Verificación en 2 pasos en Apple iCloud (en Julio de este año) que debía ser configurado nuevamente para que se activase también. Y aún así, la Verificación en 2 Pasos no está activada en el acceso al backup, luego es posible acceder al backup sin esa verificación.

Los bugs de Apple: El robo de las cuentas

Por supuesto, aunque se pueda acceder al backup y los ficheros estén sin cifrar, hace falta conseguir las credenciales. La gran pregunta es ¿cómo las han podido conseguir? Lo más sencillo para el gran público es pensar en un ataque a iCloud, y cuando apareció iBrute, el script en Python que permite hacer fuerza bruta a Apple iCloud para sacar las passwords pareció un buen camino.

Figura 6: iBrute

Este podría haber sido uno de los métodos, aunque no creo que fuera el único. Hacer fuerza bruta a través de Internet a un servidor de Apple iCloud - en concreto de Find My iPhone - para sacar una password puede ser largo y tedioso debido a que el usuario está obligado a poner contraseñas complejas, lo que dificulta la creación de diccionarios. Aún así, contando con una botnet sería posible hacerlo y explotar este bug de Apple.

Es un bug de Apple, ya que todos los sistemas deben tener protección contra el Brute Focing, ya sea bloqueando la dirección IP o la posibilidad de autenticarse durante un espacio de tiempo para acabar con este ataque. Apple lo ha arreglado ya para cerrar este camino.

Figura 7: Bloqueo de cuentas de Apple ID

Ahora, cuando hay muchos intentos de acceso desde cualquier punto, la cuenta pasa a estar bloqueada, lo que no sé si será una buena idea, ya que si una implementación de este tipo se hace, se corre el riesgo de que los usuarios sufran Denegación de Servicio como forma de ataque, que junto con un ataque de ingeniería social llamado desde el "Call center de Apple" podría ser una nueva vía de ataque.

Los Bugs de Apple: Los otros sistemas de recuperación de contraseña

Además de esto, Apple no destaca por tener unos sistemas de recuperación de contraseña robustos. Teniendo en cuenta que podrían haber robado también la contraseña de cualquier otro correo electrónico asociado a la cuenta Apple ID de las famosas para solicitar un envío de una nueva contraseña, lo peor es que el sistema de recuperación con preguntas de seguridad no permite elegir las preguntas, así que lo más probable es que las famosas acaben poniendo preguntas cuyas respuestas pueden ser públicas.

No obstante, no parece que este fallo lo hayan utilizado, ya que ese fallo hubiera permitido cambiar la contraseña, y no acceder a la antigua, generando una alerta en el usuario que no parece haber sucedido.

Los bugs de Apple: Los Client-Side Attack

Si yo tuviera que elegir un método de cómo han hecho esto, apostaría que a que ha sido un APT (Advance Persistent Threat) o "Ataque dirigido" contra todas y cada una de ellas. Yo creo que los atacantes han estado seleccionando las famosas, viendo sus selfies en la red y de todas ellas han sabido que usaban iPhone. Después han localizado sus cuentas de correo electrónico o usando Twitter les han enviado algún enlace de phishing para robarle tranquilamente las contraseñas.

Las técnicas de phishing siguen funcionando bien, pero en el libro de Hacking iOS le dedicamos un capítulo entero debido a lo problemas de las Webwiews de las apps que ocultan las direcciones de conexión, con lo que es facilísimo hacer un phighing que cuele en el móvil. Esto lo hemos visto en las apps de Twitter que tenían un Address Bar Spoofing de libro, en las apps de Gmail o Facebook. En todas ellas, un enlace abierto hace creer que se está en la web correcta.

Figura 8: Un Phishing a un banco fake usando un Address Bug Spoofing en Gmail para iOS

Yo creo que se puede haber hecho el Brute Forcing para alguna cuenta, pero tiendo a pensar más en un ataque dirigido, uno a uno, de un coleccionista que ha ido eligiendo sus víctimas y disfrutando cómo las cazaba. De hecho, creo que ha podido ser más de uno.

A esto hay que sumar que Apple no te obliga a cambiar la contraseña y que las alertas que ofrece con los accesos son pequeñas, así que si han ido recolectando contraseñas de famosas una a una, entonces han podido monitorizar durante meses y/o años e ir viendo las fotografías que se van subiendo una a una.

El hackeo de la WiFi de los EMMY

Una de las teorías que han circulado por la red ha sido la de que podrían haber hackeado la WiFi de los premios EMMY y haber hecho un man in the middle para robar las credenciales de todas ellas. Podría ser, pero mi tendencia es a pensar que no. El ataque man in the middle con una WiFi falsa o conectándose a la de los EMMY hubiera tenido que hacerse junto con un SSLStrip para la web, y/o usando certificados falsos. 

Aunque este ataque es posible en algunas apps vulnerables y más que posible en los navegadores de los terminales móviles, hacerlo para robar una contraseña de Apple ID implicaría que hay que hacer un phishing y pedirla en algún momento, algo que normalmente no se hace y que puestos a hacer el phishing no es necesario hackear la WiFi. Eso sí, si se consigue una contraseña de cualquier otro servicio y la persona reutiliza la contraseña, entonces también vale.

Conclusiones

Ahora las famosas están demandando a Apple y a los sitios que no eliminan las fotos, lo que ha llevado a que muchos blogs y sitios web que inicialmente las publicaron con mucha soltura, ahora las estén borrando. Si eres usuario de iPhone o iPad, ya sabes que si tienes Apple iCloud activado, tu backup está sin cifrar más que con tu clave en la nube esperando a que alguien te quite la password.

Por otro lado, como aviso para navegantes, todas las famosas se van a poner de acuerdo para hacer una demanda colectiva también a Apple, por no ofrecer medidas de seguridad suficientes para proteger su intimidad, y que puede que en breve se convierta en una costumbre. Al final, los que almacenan datos de las personas deben ser responsables de ellos y dotar al sistema de todas las mediadas de seguridad posibles para protegerlos.


Figura 9: Tutorial detallado de configuración y uso de Latch en WordPress

Pon una Verificación en dos pasos en tu cuenta Apple, pon Google Authenticator en tu cuente Google y pon Latch en todos los sitios que puedas - en tu WordPress, tu Joomla, tu RoundCube, tu Windows...  - que tener el control de cuando se puede o no se puede acceder a tu identidad es más que necesario hoy en día.

Saludos Malignos!

11 comentarios:

  1. @Silverhack, está cifrado con tu clave, no hay una clave extra de cifrado como en Apple iTunes.

    Saludos!

    ResponderEliminar
  2. Estaba esperando leer tu opinión sobre este tema. Esta claro que el ataque se ha focalizado sobre un grupo determinado de usuarios con passwords débiles aprovechando el script en pyton que hacia fuerza bruta. Yo creo que el problema esta en como se diseño el servicio icloud, que no tubo en cuenta este tipo de problemas. Creo que los backups de icloud deben ir cifrados obligatoriamente.

    ResponderEliminar
  3. Atención al "analista de tecnología" de la CNN http://www.mediaite.com/online/cnn-tech-analyst-thinks-4chan-is-a-person-he-may-have-been-a-systems-administrator/

    ResponderEliminar
  4. Esto les pasa por no tener un departamento HackingXcracking, para que se harten a hackear y esas cosas, y si ya lo tienen, por no aumentar la plantilla, :)

    Me ha gustado tu artículo, y tu opinión al respecto. Incluso parece un ataque indirecto a Apple, porque coger fotos de mindundis no trae la misma repercusión mediática, y porque una demanda colectiva escuece...

    Nunca se deja de aprender, me encanta tu blog.

    Saludos.

    ResponderEliminar
  5. Yo pienso que sería un ataque de fuerza bruta, aunque tendremos que esperar haber si lo detienen....

    ResponderEliminar
  6. Bueno, aunque hay que ser francos, si se van a tomar fotos desnudas, procuren no hacerlo con algo que tenga conexión a internet, haganlo con esas camaras digitales que no se conectan a la red y pasen la información a dispositivos que no tengan conexiones externas, ellas se expusieron y acá están las consecuencias...

    ResponderEliminar
  7. Gracias por el consejo, @Maligno
    Y una pregunta que, perdóname sí no viene al caso... ¿Podrías escribir un día de estos una solución para los que utilizamos programas P2P, esencialmente clientes torrent, mediante la fibra óptica de Movistar? ¿El firmware del router bloquea éstas descargas como he oído decir?
    No se sí la cara de Movistar es tan dura como para ofrecerte 100Mb de fibra mediante un router capado.
    Te lo preguntaba porque a lo mejor serias el primero en dar explicaciones honestas en el entorno de Movistar.
    Gracias y me alegro de retomar el blog.
    David.

    ResponderEliminar
  8. Para mi, el problema tiene dos vertientes, una es de donde se consiguieron las cuentas de correo de las "famosillas". De eso no hay nada, me decanto a que alguien ha hackeado alguna web con BBDD de tipo asociación de actores, o similar. Luego es como entraron. Cada vez esta mas claro que fue en iclud, eso creo que nadie lo discute o algún servicio de apple. Como entraron, curiosamente se filtro el famoso "escript en python", si miramos ese script hace uso del AppleID que "es un numero aleatorio", osea que cuela cualquiera. Y luego por lo que se deduce del script no tenían sistemas para limitar el numero de intentos por credencial.
    En resumidas cuentas una cagada de Apple, pero claro no lo dirán por que eso significa demandas millonarias por parte de las "famosillas".
    Por cierto, tener una password mas o menos larga con números, letras y demás, no implica que no te hackeen o no te la averigüen. Con el suficiente tiempo se puede hacer, el punto esta en saber cuanto de valor para el que ataca acceder a esos datos. Y por lo que parece este ataque se planeo y ejecuto en mucho tiempo.
    Un saludo

    ResponderEliminar
  9. Que Apple 'hace la brutada' de guardar automáticamente todos esos datos, estoy seguro que ahorita todo el mundo le sacará la madre a esa idea, pero también apostaría que muchísima gente apenas días atrás le prendía velas a esa función.
    He conocido a varios ya que en sus iCosas lo perdían todo y pasaron del infarto a la alegría gracias al respaldo de iCloud que les salvó la vida.
    Nunca he usado una iCosa por lo que no tengo idea de cómo y porqué tanta gente 'por error' borra todo de sus aparatos, pero pasó un montón (me he preguntado si ese sistema tiene un popup sorpresa con un botón 'formatear').
    Y es aún más gracioso porque la primera vez que hice de 'soporte técnico' para alguien con ese problema, como no sabía nada del tema me fui a Internet y llegué a tutoriales 'por y para gente' con el mismo problema exacto ¿tanto asi pasaba por dios?.
    Te apuesto a que más de una famosa (y público general) de esas que hoy se muere por demandar a Apple en algún momento idolatró a iCloud por salvarlas de su torpezas. De hecho estoy seguro que vi twitts de famo@s exclamando por eso.

    Lo de las passwords no descarto el ataque a iCloud, pero como dijo alguien arriba primero se debieron haber averiguado sus mails y/o IDs y si a eso le sumamos que la operación aparentemente llevaba años, yo me inclino a pensar por pacientes y eficientes ataques dirigidos.
    De hecho, hace casi un año fue que me interesé con Twitter así que me puse a jugar con sus funciones. También como un newbie en Twitter mi primer interés fueron las famosas ¿quién sino?, en especial mis favoritas.
    Jugando con las funciones hice el trivial descubrimiento que poniendo su nombre en el buscador me aparecían todos (sólo en la versión escritorio) los twitts que les enviaban, osea lo que ellas verían en su pestaña Contacto (o como se llame).
    Además de con frecuencia ver twitts Realmente espeluznantes, en ocasiones vi ataques dirigidos. Recuerdo uno en especial por ser el primero que vi y por suceder contra una de mis top favoritas, pero quién además es de muy bajo perfil, tanto que a la mayoría quizás le suene de algo si acaso la recuerdan, que sea una hasbeen y en el twitter no tendría ni 60mil seguidores; de hecho creo que por esos meses fue que hizo algo de 'noticia' y la gente se acordaría de que estaba viva. Aunque eso sí, tiene buen cuerpo y foticos de ella valdrían mucjo la pena, y si se lo están preguntando, su nombre NO está en la lista de 100ypico.
    En fin, el ataque era de una cuenta pretendiendo ser un club, revista, medio local, nomeacuerdo, que había sorteado viajes y premió a varias cuentas Twitter 'al azar', entre esas la de la actriz. El resto de las cuentas premiadas parecía gente común, supongo que para disimular. Cuando entrabas en el link (en el twitt) del premio, el link 'no podía' redirigirse porque el login en Twitter 'se había caducado' entonces había que logearse de nuevo en (una réplica d) el formulario de Twitter. Típico, pero funcional.
    No me acuerdo si le avisé, pero creo que no.

    Y por cierto, creo que la versión ya aceptada es que no fue causada por un Mitnick o un agente de la NSA, sino de un grupo informal underworld en el que cada miembro se hacía merecedor de la membresía aportando 'su propio' material (juro que siento DeJavu). Hasta que un día uno se volvió loco y filtró todo.
    En éste escenario el ataque dirigido tiene más sentido para mi.

    ResponderEliminar
  10. No estoy de acuerdo contigo con el uso del concepto "bug". Siempre entendería un bug como un fallo en la implementación pero en este caso la cagada está en el diseño del sistema. Es una chapuza integral, fallo de diseño, planificación, procedimientos.

    Lo que se saca de lo que expones es que hay alguien muy arriba en la cadena de mando que es un total incompetente, pero si se piensa dos veces, esta es la estrategia de Appel, que son muy bonitos. Hasta hace dos telediarios Microsoft tenía un problema muy parecido.

    Por último se demuestra la incosciencia de la gente. Mi pene no le interesa a nadie (excepto a mi novia, espero) pero los labios menores de una famosa sí, y se ve que no tienen el menor interés en cuidarlos. Además, ¿quién es tan incosciente de sacarse fotos desnudo, subirlos a un ordenador de gente que no conoces y además eres famosa? Pues lo estaban poniendo muy tentador para lo que ha pasado.

    ResponderEliminar
  11. Hola,

    muy buen análisis técnico de como ha sido posible el robo de las fotos. Lo estaba esperando, sobre todo por la desinformación al respecto de los medios generalistas.

    Por cierto, no son los premios EMI, si no EMMY.

    La EMI es la discográfica que despidió a los Sex Pistols

    ResponderEliminar