domainhostcentre
9-3-2014 9-35-03 AM
فناوری

سِلِب‌گیت: اخبار و درس‌هایی از جریان درز عکس‌های ستارگان مشهور آمریکایی

بسیاری از سایت‌ها و وبلاگ‌های ایرانی به خاطر رعایت ملاحظاتی از بررسی ابعاد مختلف جنجال اخیر در مورد هک شدن آی‌کلاد تعدادی از ستارگان مشهور آمریکایی که در صدر آنها هنرپیشه برنده جایزه اسکار -جنیفر لارنس- قرار دارد، خودداری کرده‌اند. به دنبال این امر، تعداد زیادی از عکس‌های خصوصی این ستاره‌ها، در فضای اینترنت منتشر شده است و نام جالب سلب‌گیت Celebgate بر داستان نهاده شده است.

اما ما در «یک پزشک» فکر می‌کنیم که این مطلب می‌تواند حاوی درس‌ها و نکاتی برای همه کاربران باشد و اتفاقا رسالت رسانه‌ای حکم می‌کند که به کاربران ایرانی هشدارهای لازم را بدهیم.

در پی این امر و حتی وارد شدن FBI در تحقیقات، همان طور که انتظار می‌رفت، اپل رویکردی محافظه‌کارانه را در پیش گرفت.

اپل در بیانیه‌ای اعلام کرد که بعد از اطلاع از قضیه، مهندسانش به سرعت مشغول تحقیق شدند. اپل تأکید کرد که امنیت و حریم خصوصی کاربرانش، برای این شرکت اهمیت بسیار زیادی دارد. مهندسان این شرکت بعد از ۴۰ ساعت تحقیق متوجه شدند که سرویس‌های آی‌کلاد یا Find My iPhone هک نشده‌اند، بلکه صرفا اکانت‌های قربانی‌ها مورد حمله قرار گرفته‌اند.

به عبارت دیگر هکر یا هکرها با آزمون و خطا و حدس، توانسته‌اند، نام و نام کاربری یا پاسخ به سؤالات امنیتی را پیدا کنند و وارد اکانت‌های قربانی‌ها شوند.

به گمانم، ادعای اپل شفاف و صادقانه نیست:

در رمزنگاری، حمله جستجوی فراگیر brute-force attack یا حمله جستجوی فراگیر فضای کلید exhaustive key search attack حمله‌ای است که در آن تمام حالات ممکن تا رسیدن به جواب بررسی می‌شود.

برای هر الگوی رمزنگاری می‌توان زمان لازم برای آزمودن کلیه حالات ممکن برای کلید را محاسبه نمود و معمولاً الگوهای رمزنگاری آنچنان طراحی می‌شوند که آزمودن تمامی حالات ممکن در یک زمان قابل قبول غیر ممکن و یا غیر مؤثر باشد. به طور معمول نرم‌افزارها پس از چند بار وارد کردن گذرواژه نادرست حساب کاربر را مسدود نموده و یا در فرآیند اعتبارسنجی تأخیر زمانی ایجاد می‌کنند تا از آزمودن دیگر حالات جلوگیری شود.

تجربه شخصی ما نشان می‌دهد که هنگام کار با آی‌دیوایس‌ها، بعد از چند بار درج اشتباه پسورد حساب‌های آی‌تونز، جلوی وارد کردن مجدد پسوردها گرفته می‌شود، پس باید مشکل چیزی فراتر از اینها باشد و برخلاف ادعای محافظه‌کارانه اپل قضیه چیزی فراتر از «حملات هدفدار روی نام‌های کاربری، پسورد و سؤالات امنیتی» بوده است.

9-3-2014 9-32-53 AM

در همین راستا در سایت Github یک اسکریپت پیدا شده است که به هکرها از طریق یک رخنه امنیتی در Find My iPhone امکان حمله جستجوی فراگیر را می‌داده است.


از سوی دیگر سایت Wired خبر جالب‌تری منتشر کرده است، این سایت ادعا کرده است که اصولا مقامات قانونی آمریکا مجهز به ابزاری برای دانلود بک‌آپ‌های حساب‌های آی‌کلاد مجرمین هستند و هکرها موفق شده‌اند از همین ابزار استفاده کنند.

یکی از این ابزارها نرم‌افزاری به نام شکننده رمز گوشی Elcomsoft یا به اختصار EPPB است. این ابزار محبوبیت زیادی در بین مقامات قضایی و امنیتی دارد، اما در عین حال به دست آدم‌های دیگر هم افتاده است.

این ابزار، اجازه‌نامه ورود یا authentication token را از پی‌سی یا مک سینک شده با آی‌دیوایس می‌دزدد.

جالب است بدانید که این ابزار اصلا چیز تازه‌ای نیست و سال‌هاست که وجود دارد.

9-3-2014 9-28-29 AM


حالا سؤالی که پیش می‌آید این است که آیا نگرانی ما از هک شدن فضاهای ابری به صورت عام و آی‌کلاد به صورت خاص، باید باعث شود که کار کردن با آنها را کنار بگذاریم.

من و شما ممکن است اطلاعات محرمانه خاصی نداشته باشیم، اما کار از محکم‌کاری عیب نمی‌کند.

هر کسی که عکس یا سندی را در در هارد دیسک یا حافظه گوشی خود ذخیره کرده باشد و بعد آنها را از دست داده باشد، می‌داند که فضاهای ابری، از این مشکل جلوگیری می‌کنند.

قدم اول امنیتی همه ما باید این باشد که پسوردهای قوی‌ای انتخاب کنیم. این پسوردها بهتر است که آمیزه‌ای از حروف، علایم و اعداد باشند. این پسوردها نباید چیزهای مثل تاریخ تولد یا شماره پلاک یا گوشی موبایل باشند. این پسوردها اصولا نباید قابل حدس زدن باشند.

از سوی دیگر قویا به شما توصیه می‌کنم که برای ورود به کلیه حساب‌‌های کاربری‌تان از سیستم احراز هویت دومرحله‌ای استفاده کنید.

در شیوه معمول برای ورود به مثلا جی‌میل، شما باید نام کاربری و پسورد خود را وارد کنید، اما در سیستم در مرحله‌ای بعد از ورود نام کاربری و پسورد، کدی برای شما پیامک می‌شود و تنها بعد از وارد کردن این کد است که می‌توانید وارد حساب جی‌میل بشوید.

از آنجا که یک هکر حتی با دانستن نام کاربری و پسورد شما، به خاطر در دست نداشتن گوشی شما، نمی‌تواند به این کد دسترسی داشته باشد، از ورود به حساب شما، بازمی‌ماند.

9-3-2014 9-31-40 AM


اما جالب است بدانید که علاوه بر عکس‌های خصوصی و نامناسبی که از ستارگان آمریکایی در فضای اینترنت منتشر شده است، در این قضیه سلب‌گیت، اطلاعات دیگر هم درز کرده است که اندکی داستان را بامزه می‌کند!

مثلا مشخص شده که یکی از این ستاره‌ها حداکثر امتیازی که در بازی Flappy Bird کسب کرده، تنها ۶ بوده است! حتی مشخص شده که دیگر چه کتاب الکترونیکی می‌خوانده و چند صفحه از کتاب باقی مانده بود.

9-3-2014 9-28-00 AM


در پایان باید بگویم این جنجال، حاوی درس‌هایی برای کاربران آماتور و عادی ایرانی هم هست:

۱- در هنگام کار در شبکه‌های اجتماعی و اپلیکیشن‌های پیام‌رسانی چنان رفتار کنید که انگار در برابر توده‌ای از مردم هستید. همیشه امکان ردیابی شما وجود دارد.

در اینترنت هیچ چیزی خصوصی‌ای وجود ندارد و هر سرویسی قابل هک شدن است.

۲- هیچ سند و اطلاعات مهمی را در فضای اینترنت آپلود نکنید! برای داشتن یک بک‌آپ از اطلاعات حساس خود بهتر است به هارد دیسک‌های غیرمتبط به اینترنت تکیه کنید و اطلاعات خود را با استفاده از نرم‌افزارهای معتبر، رمزنگاری کنید.

۳- تصاویر خجالت‌آور از خود تهیه نکنید! روی رفتار کودکان و نوجوانان نظارت داشته باشید و دقت کنید که آنها مورد سوء استفاده قرار نگیرند.

9-3-2014 9-35-03 AM

۴- اپلیکیشن‌های پیام‌رسانی از نظر امنیتی، بسیار ضعیف هستند، به آنها اعتماد نکنید. حتی آن دسته‌ای که مشکل امنیتی کمتری دارند، باز هم در صورت تمایل پیشبینی‌نشده مخاطب شما، برایتان دردسر درست کنند: گرفتن یک اسکرین‌شات از حرف‌ها و عکس‌های شما توسط مخاطب شما که کاری ندارد!

۵- همان طور که اشاره کردم، از سیستم تأیید دومرحله‌ای استفاده کنید.

۶- دوست و همراه قابل اعتماد فعلی شما، می‌تواند فردا تبدیل به یک مزاحم و باجگیر شود!

9-3-2014 9-34-55 AM

۷- در صورتی که سرویس‌های ابری مثلا آی‌کلاد برای بک‌آپ گرفتن از عکس‌هایتان استفاده می‌کنید، به یاد داشته باشید که حذف کردن عکس‌ها از گوشی و Camera Roll لزوما باعث حذف کامل عکس نمی‌شود.

۸- یک مطلب قدیمی اما مهم: گوشی‌های خود را برای تعمیر به دست هر کسی ندهید، اطلاعات روی مموری کارت‌ها قابل بازیابی هستند. در مورد هارد دیسک‌ها هم وضعیت مشابهی حکم‌فرماست، ترفندها و نرم‌افزارهایی برای غیرقابل بازیابی کردن اطلاعات روی حافظه وجود دارند، اما شاید بهتر باشد اگر آدم بی حوصله‌ای هستید کلا هنگام فروش سیستم‌های قدیمی خود، هاردهای خود را نفروشید و کنار بگذارید!

در بحث شرکت کنید

  • 4486
    30

    ممنون از وقتی که گذاشتین
    ولی وسعت فاجعه خیلی عظیم هست حالا چرا نفوذ به فضاهای ابری سایر شرکت ها مثل گوگل و مایکروسافت صورت نگرفته و این هک عظیم مال سرویس icloud Apple بوده؟

    • 207
      330

      چون تقریبا هیچ کدوم از افراد مشهور از محصولات شرکت هاى مایکروسافت و گوگل استفاده نمى کنند!

    • 2521
      50

      جواب ساده است.
      نفوذ به ایکلود افراد مشهور شانس بیشتری به دسترسی به تصاویر آنها میداد تا نفوذ به جیمیل یا … آنها.

    • 30
      1k

      چون سرویس های اپل امنیت کمتری دارند و اینکه افراد هک کردن اپلی ها بدلیل سواد فنی و کامپیوتری پایین آنها معمولا راحت تر است.

    • 826
      120

      ./

      یه نکته دیگه اینه که اگه به چیزی اشاره نشده دلیل نمیشه انجام نشده! طرف حتما باید هکر خبره ای باشه، و حرفه ای ها همه دستشون رو یه دفعه رو نمیکنن که.
      اگر به شرکت های دیگه هم نفوذ کرده باشه و اگه ما هم یه کمی منفی تر فکر کنیم، ببینید میتونه با این اطلاعاتی که داره چقدر از شرکت های بزرگ باج گیری کنه.

  • 30
    1k

    ممنون از نکات بسیار خوبی که نوشتید.
    اپل باز هم دروغ گفت، مثل مشکل آنتن دهی آیفون ۴ که گفت مشکل از کاربره که گوشی رو درست نمیگیره!
    آخه با بروت-فورس؟!! حالا خیلی از اپلی ها شاید قانع بشن چون اطلاعات فنی کمی دارن ولی سیستم آنلاینی که با بروت-فورس هک بشه به درد لای جرز هم نمیخوره. یعنی اپل اعلام کرده که هکرها چندبار رمزهای مختلف رو امتحان کردن تا رمز واقعی رو پیدا کنن!
    در کل دلم برای همه کاربران آیکلاد میسوزه، نه تنها از سیستم بدون امنیت استفاده میکنند بلکه اپل هم خودشو زده به اون راه و فقط فکر پوله.

    • 2521
      50

      نمیخواد دلت به حال کاربران اپل بسوزه
      برو حواست چهار چشمی به گوشی اندرویدت باشه که ویروسها توش دارن باهم کشتی میگیرند.

      • 30
        1k

        من حواسم هست و هیچ ویروسی نمیبینم. شما حواست باشه که یک وقت عکسهای خصوصیت لو نره آقای بدون ویروس.

  • 64
    660

    جالب و مفید بود. به قول بنجامین فرانکلین، سه نفر می توانند یک راز را حفظ کنند، به شرطی که دو نفرشان مرده باشند! من برای پسوردهایم از یک حقه ساده و قدیمی ولی ایمن استفاده می کنم. در این روش باید یک کلید کلی را حفظ کنید و هرگز به کسی نگویید یا جایی ننویسید. هر رمزی توسط آن کلید تبدیل به یک رمز جدید می شود که می توانید آن رمز جدید را در جایی بنویسید یا ذخیره کنید. هر موقع رمز یادتان رفت به نوشته مراجعه کنید و رمز اصلی را با استفاده از کلید پیدا کنید. ولی بهتر از آن، جرج اورول در ۱۹۸۴ می نویسد: اگر می خواهید یک راز را حفظ کنید، باید آن را از خود نیز مخفی کنید!

    • 2521
      50

      دوست گلم
      اگر دست نیروهای خاص بیفتید آنها از روش بروت فورس خودشان یعنی چک و لگد در سی ثانیه پسورد شما رو استخراج میکنند
      پس بهترین روش سر به راه بودن است.

  • 197
    340

    میتونم بپرسم دقیقا چرا باید کسی مثل جنیفر لارنس یا کلا افراد معروف که آبرو [اگر بهش اعتقاد داشته باشن.. :)] شون به یک تار مو بنده چرا تصاویر نامناسب از خودش رو “آپلود” می کنن!
    ولی خب پیام این پست مثل همیشه این بود که نمیشه هیچ جوره به هیچ فضایی در این فضای مجازی اعتماد کرد..

    • 207
      330

      همانطور که تو مقاله هم گفته بود، این افراد عکس ها رو براى خودشان گرفته بودند و گوشى هنگام بک آپ گرفتن، این عکس ها را هم بک آپ گرفته و هکر ها به بک آپ ها دسترسى پیدا کردند!

    • 2521
      50

      دکتر عزیز
      ضمن تشکر از شما که تا حدودی در این خصوص اطلاع رسانی کردید. ولی ظاهرا خود شما هم درست متوجه موضوع نشده اید.
      ۱٫هک صورت گرفته در قسمتی از خودش شامل الگوریتم جدید بروت فورس گزینشی بوده است. ( بروت فورس قدیمی رو کلا فراموش کنید)
      ۲٫درضمن اینکه چند بار اپل ای دی خود را اشتباه بزنید و اکانت شما موفتا غیر فعال گردد مربوط به ای تیونز و اپ استور است نه فاید مای ایفون تحت وب !
      ۳٫اپل قفل کردن اکانت را برای سیستم فاند مای ایفون به محض بروز این هک این سیستم را با یک اصلاح فعال کرد.
      ۴٫ در تائید دو مرحله ای یک مشکل وجود دارد و آن گم کردن گوشی همراه شما و ریکاوری پسورد باهم می باشد. (دادن شماره تلفن دوم برای تائید دو مرحله ای به همان میزان نداشتن آن خطرناک است اگر خط دوم همواره با شما نباشد)

    • 538
      170

      دوست عزیز فضای ابری مثل هار دیسک جداگانست و فقط شما به چیزی که آپلود میکنید دسترسی دارید.این با آپلودعکس در سایتهای آپلود فایل فرق میکنه!

    • 31
      990

      منم دقیقاً همین سوال رو دارم… عکس برهنه از خودشون می‌گیرن که چی بشه؟

  • 24
    1.1k

    وقتی خبر رو خوندم از چندتا موضو تعجب کردم
    امنیت کلود اپل
    باهوشی هکر
    عکس هایی که افراد معروف ممکنه تو فضای ابری آپلود کنن

    • 2521
      50

      عزیز من
      این دوستان عمدا این کار رو نکزدن
      تصمیمی ابلهانه مدیرات اپل در فعال سازی پیش فرض سینک تصاویر با ای کلود بصورت پیش فرض اینکار احمقانه را انجام میدهد که من همیشه به دوستانم گفته ام آنرا غیر فعال کنند)

  • 148
    410

    منتظر همچین چیزی برای واتس آپ هم باشید

  • 1532
    70

    دکتر جان با مورد سوم خیلی حال کردم: “تصاویر خجالت‌آور از خود تهیه نکنید!”

  • 4486
    30

    امیدوارم تعصبات بی مورد مانع از طرفداری کورکورانه نشه و انتظار عذرخواهی شرکت ها از کاربراشونو داشته باشیم.

  • 12
    1.6k

    با دیدن عکسها من بجای جنیفر لاورنس و بقیه از خجالت آب شدم چه برسه به خودشون.

    • 4309
      30

      مطمئن باش اونها خجالت که نکشیدن هیچ، از اینکه بازهم به هر دلیل مورد توجه رسانه ها قرار گرفتن قند توی دلشون آب شده. اگر رویدادهای سینمایی رو دیده باشی حتما دیدی که اینها برای جلب توجه بیشتر چه لباسهای عجیب و غریبی می پوشند (لباس هرچه کمتر بدنشون رو پوشیده باشه جلب توجه بیشتری می کنند). اینها خودشون انواع عکسهای نیمه برهنه شون رو در لباس شنا و … منتشر می کنند و مطمئن باش اگر بخاطر اینکه بهشون برچسب پ.و.ر.ن استار نخوره نبود عکسهای برهنه شون هم با افتخار منتشر می کردن. الان هم شاید فقط از این ناراحت باشن که تو عکسهایی که گرفتن خیلی خوب نیوفتادن و کیفیت عکسها خوب نبوده. فرهنگ و طرز فکر اونها خیلی فرق داره و درک اون برای ما چندان راحت نیست.

  • 270
    280

    داخل عکسها چند نفر هستن که وضعشون خرابه که از همه بدتر Kate Upton هست
    بقیه رو که من نگاه کردم منظورم تعدادی (اونقدر زیاده که حالت بد میشه) بیشتر عکسهای مراسم ها و کنسرت ها و … بود
    به هر حال هم خوبه و هم بد من ۱ترابایت عکس و فیلم بسیار ناب از زندگی شخصی خودم و اطرافیانم خصوصا پدرم که الان در بین ما نیست داشتم که هارد سوخت که هیچ وقت نتونستم اینا رو برگردونم از اون به بعد هر عکسی که میگیرم هم تو دراپ باکس – وان درایو و گوگل درایو بکاپ گرفته میشه ما که تو عکسها چیزی نداریم و مهم نیست حتی اگه هک بشه هرچند کی میاد اکانتهای ما رو هک کنه ولی امنیتش بیشتره حداقل از لحاظ از بین رفتن هارد

  • 7750
    20

    وقتی عکس بد می گیری باید فکر اینجاهاشم باشی. الله اکبر

  • 657
    150

    ما نباید با فرهنگ جایی و یا شخص خاصی کار داشته باشیم مهم سلامت و درست کار کردن تکنولوژی است بهتر است تعصبات را کنار بگذاریم و تمرکز را روی حل مشکلات بگذاریم زیرا در اینجا صحبت در باره تکنولوژی است نه معنویت و قضاوت در مورد افراد.

  • 643
    150

    خوشم می آد که کاربرهای اپل هر چقدر هم این شرکت سوتی می ده باز هم مثل کبکی که سرش زیر برفه، ندید می گیرند و دنبال توجیه می گردند که یک طوری دلشون برای پول هنگفت و مفتی که خرج کردند تنگ نشه! :)