Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 100 reacties
Submitter: oohh

Een ontwikkelaar die schuilgaat onder de naam Pr0x13 heeft een tool ontwikkeld die met een brute force-aanval probeert om iCloud-wachtwoorden te achterhalen. De tool zou werken ondanks dat Apple hiervoor beveiliging heeft ingebouwd. Inmiddels zou het probleem alweer verholpen zijn.

Apple heeft zelf niets naar buiten gebracht over het beveiligingslek, maar de tool van Pr0x13 zou inmiddels al niet meer werken wat suggereert dat het bedrijf de problemen heeft verholpen. Op zijn Github-pagina heeft de ontwikkelaar code online gezet waarmee aanvankelijk de beveiliging in iCloud om brute force-aanvallen tegen te gaan zou zijn te omzeilen. De maker noemt de bug die dat mogelijk maakte 'pijnlijk voor de hand liggend'.

Het is onduidelijk of in de korte tijd dat de tool, die de naam iDict draagt, heeft gewerkt en er gegevens van iCloud-gebruikers zijn buitgemaakt. Op sociale-netwerksites zoals Twitter en Reddit werd gemeld dat iDict functioneert zoals beschreven, wat het aannemelijk maakt dat er data is gestolen. Inmiddels wordt dus gemeld dat de tool juist niet meer werkt.

Om met iDict te werken moesten gebruikers wel weten welk e-mailadres er bij het te hacken iCloud-account hoorde, zo meldt Business Insider. Vervolgens probeert de tool een lijst met 500 veelvoorkomende wachtwoorden. Om die reden is niet elk account kwetsbaar: als het gebruikte wachtwoord niet op de lijst staat kan iDict niet inbreken. Wel zou de tool gemakkelijk voorzien kunnen worden van een langere lijst met mogelijke wachtwoorden.

Er was eerder al kritiek op Apple vanwege de gevoeligheid van iCloud voor brute force-aanvallen. De kwetsbaarheid hield in dat gebruikers ongelimiteerd wachtwoorden konden raden voor iCloud. De bug kwam naar buiten toen bleek dat er foto's uit iCloud-accounts van Amerikaanse actrices en andere beroemdheden waren gestolen. Apple nam toen maatregelen, maar deze konden dus blijkbaar worden omzeild.

iDict iCloud hack

Moderatie-faq Wijzig weergave

Reacties (100)

en nog zijn er mensen die geloven dat de cloud veilig is. Als een mega toko als Apple al vatbaar is, dan wil ik eigenlijk helemaal niet denken aan de kleinere jongens als KPN of Vodafone's eigen clouds, hoe het daar geregeld is.

Ik ga gewoon weer terug naar de floppydisk.

[Reactie gewijzigd door ZeroSect0r op 3 januari 2015 09:52]

Wat is veilig? Mijn moeder heeft al haar fotoboeken t/m 50 jaar terug in de kast liggen, slechts enkele meters verwijderd van een ruitje wat eenvoudig in te tikken is. Is dat veiliger dan de cloud?

Echter, mocht mijn huis afbranden, dan zal ik geen foto kwijt zijn, ondanks het feit dat al mijn data onversleuteld is geupload naar Dropbox (waar de NSA gewoon bij kan, wat een durfal ben ik!).

Het gaat om de afweging tussen gemak en veiligheid en daarin scoort de cloud gewoon zeer goed (ik heb immers 2-staps verificatie aan, knappe jongen die dat omzeilt). Het ergste wat mij kan overkomen is dat de NSA in mijn bestanden gaat lopen snuffelen. Liever dat dan dat ik mijn foto's kwijt ben als mijn harde schijf crasht of mijn huis wordt leeggeroofd.

[Reactie gewijzigd door TMC op 4 januari 2015 15:39]

Om maar te zwijgen over je eigen pc!
Bij je eigen PC sta je zelf in voor de veiligheid en moet je dus op jezelf vertrouwen en ben je zelf schuldig als je het nalaat van voldoende te beveiligen. In het geval van commerciële cloud oplossingen plaats je dat vertrouwen in een partij die er ook nog eens aan verdiend. Vele mensen gaan er gemakshalve vanuit dat de data daar veilig staat, zowel tegen verlies als tegen diefstal en schuiven zo de verantwoordelijkheid af op een ander zonder er bij stil te staan dat hun idee niet altijd correct is.
Niet alleen zit de veiligheid van je data in de veiligheidsystemen van de aanbieder, maar wordt het bij buitenlandse en Nederlandse aanbieders ook van belang welke wetgeving er speelt.
Daarnaast heb je gelijk dat de cloud, per definitie aan het internet moet hangen natuurlijk. Terwijl dat niet hoeft te gelden voor je eigen data.

En zo zijn er meer nadelen:
  • Je hebt de data niet onder eigen controle.
  • Je data staat op afstand.
  • Beveiliging voor je data is afhankelijk van de beveiliging van de cloudprovider.
  • Je cloudprovider kan vanwege wetgeving jouw data aan de overheid moeten overhandigen zonder, dat jij daarvan in kennis wordt gesteld.
  • Je moet vaak doorlopend blijven betalen om toegang te houden.
Er zitten ook voordelen aan:
  • Data overal, en op elk apparaat voor jou.
  • Door schaalvoordelen relatief lage maandkosten,
  • Geen hoge eenmalige investeringskosten
  • Vaak hogere beveiliging dan via eigen nas.
Voor mijzelf, heb ik niet de voorkeur voor de cloud, omdat ik controle en veiligheid van m'n data belangrijker vind dan het gemak van de cloud. Maar ik kan mij voorstellen dat veel particulieren een andere keuze maken.
Je hebt de data niet onder eigen controle.
Met een up-time van 99,9% kan ik er altijd bij. Dat is in mijn beleving behoorlijk volledig. Daarnaast maak ik (gewoon voor de zekerheid) toch maar een back-up per kwartaal.
Je data staat op afstand.
Ik verneem dat echt niet.
Beveiliging voor je data is afhankelijk van de beveiliging van de cloudprovider.
Beveiliging voor je data is natuurlijk veel breder dan alleen de beveiliging van je cloud provider. Maar je kunt hier inderdaad op selecteren. Ik zie niet waarom dit een nadeel is t.o.v. normale (non- cloud) online of offline data. Neem bijvoorbeeld een NAS, daar ben je ook afhankelijk van de implementatie van de fabrikant.
Je cloudprovider kan vanwege wetgeving jouw data aan de overheid moeten overhandigen zonder, dat jij daarvan in kennis wordt gesteld.
Ook daarop kun je selecteren. Een goede cloud provider stelt je in ieder geval op de hoogte dat een overheidsinstantie jou data heeft.
Je moet vaak doorlopend blijven betalen om toegang te houden.
Ook hier kun je op selecteren welke cloud provider je kiest. Een goede cloud provider zal je toegang niet direct blokkeren als er geen betaling is geweest en zal je proberen te benaderen via je contactgegevens. Daarna wordt de dienstverlening ingeperkt en als je echt niet betaalt na geruime tijd, dan wordt het pas opgeruimd.

Het belangrijkste is denk ik dat je vertrouwen hebt in je cloud provider.
Dat geldt eigenlijk voor elke manier van data opslag natuurlijk.
Met een up-time van 99,9% kan ik er altijd bij. Dat is in mijn beleving behoorlijk volledig. Daarnaast maak ik (gewoon voor de zekerheid) toch maar een back-up per kwartaal.
Als je een conflict hebt, kan je cloudaanbieder in het ergste geval altijd je data gijzelen. Dan ben je alles vanaf het laatste kwartaal kwijt.
Je data staat op afstand,
Ik verneem dat echt niet.
Het kan zijn dat je gigabit fiber hebt,
Anders is menig eigen infrastructuur sneller met muteren of overpompen van grote files dan internet.

[...]
Beveiliging voor je data is natuurlijk veel breder dan alleen de beveiliging van je cloud provider. Maar je kunt hier inderdaad op selecteren. Ik zie niet waarom dit een nadeel is t.o.v. normale (non- cloud) online of offline data. Neem bijvoorbeeld een NAS, daar ben je ook afhankelijk van de implementatie van de fabrikant.
Klopt,
Maar bij een eigen server kun je wel alles precies zoals je het wilt finetunen. Je krijgt zelf de meldingen als iemand aan je firewall klopt, je hebt minder kans doelwit te worden van een ddos.

[...]
Ook daarop kun je selecteren. Een goede cloud provider stelt je in ieder geval op de hoogte dat een overheidsinstantie jou data heeft.
Er zijn veel overheden, die cloud aanbieders verbieden individuele gebruikers op de hoogte te stellen hiervan.
Een externe server die je zelf configureert zou je wel alarmbellen kunnen doen afgaan als er toegang tot genomen wordt.
Ook hier kun je op selecteren welke cloud provider je kiest. Een goede cloud provider zal je toegang niet direct blokkeren als er geen betaling is geweest en zal je proberen te benaderen via je contactgegevens. Daarna wordt de dienstverlening ingeperkt en als je echt niet betaalt na geruime tijd, dan wordt het pas opgeruimd.

Het belangrijkste is denk ik dat je vertrouwen hebt in je cloud provider.
Dat geldt eigenlijk voor elke manier van data opslag natuurlijk.
Hoe je het uiteindelijk ook afspreekt,
Het fundamentele verschil tussen de cloud en eigen opslag, is dat de hard disks waar jouw data opstaat, bij de cloud uiteindelijk altijd eigendom zijn van een ander. En bij eigen opslag komt het eigendomsrecht van de data-dragers, het volledige configuratierecht (en daarmee ook de verantwoordelijkheid voor veiligheid) en alle overheidsverzoeken altijd bij jezelf terecht.
Als ik mag kiezen, ben ik liever baas over eigen data, dan afhankelijk van een derde.
Als je een conflict hebt, kan je cloudaanbieder in het ergste geval altijd je data gijzelen. Dan ben je alles vanaf het laatste kwartaal kwijt.
Als je een cloud provider kiest die dat doet zal het niet lang overleven.
Het kan zijn dat je gigabit fiber hebt,
Anders is menig eigen infrastructuur sneller met muteren of overpompen van grote files dan internet.
Ziggo 100Mbit. Zeg maar bijna vergelijkbaar met een 100Mbit ethernet netwerk.
Er zijn veel overheden, die cloud aanbieders verbieden individuele gebruikers op de hoogte te stellen hiervan.
Weet je één overheid te noemen? (liefst met bron)
Het fundamentele verschil tussen de cloud en eigen opslag, is dat de hard disks waar jouw data opstaat, bij de cloud uiteindelijk altijd eigendom zijn van een ander.
Dat is dus een misvatting, tenminste, mijn cloud provider is NIET de eigenaar van mijn data. Dat ben ik zelf. Baas over eigen data.
Zakelijk, is het niet gek om levering van je dienst op te schorten, bij conflict of wanbetaling.

100mbit infrastructuur voor je lan is iets dat stamt uit halverwege de jaren '90. Sinds 15 jaar,1999 heb je de gigabit standaard.

Dat overheden burgers en bedrijven standaard niet informeren bij een geheim data verzoek, dus als ze hen tappen of zich toegang tot iemands data verschaffen is standaard. In Nederland maar ook in de VS. In de vs was er onlangs zelfs heisa over het publiceren van het 'aantal' keren dat bedrijven zo'n verzoek krijgen.
nieuws: Twitter klaagt overheid VS aan om geheime dataverzoeken te mogen publiceren
nieuws: Microsoft en Google klagen overheid VS aan om dataverzoeken
Klopt, maar, bijvoorbeeld facebook wordt almaar meer een vorm van "cloud-computing" voor bijvoorbeeld foto's en videos. De normale tweaker deelt niet heel zijn leven op facebook, maar vere jantjes modaal doen dat wel.
Facebook krijgt via de nieuwe privacyvoorwaarden die eind januari ingaan, volledig zeggenschap over jouw data (en surfgedrag). Dat vind ik het gevaar van cloud computing...
Google scant gmail ook om je persoonlijke aanbiedingen te kunnen doen. Gmail biedt je ook online opslag, dus valt het ergens ook onder de term "cloud-computing".
Als facebook en google dit zomaar "mogen", dan vrees ik dat andere provider ergens ook wel kleine lettertjes hebben of kunnen hebben...
Goed voorbeeld is het hele verhaal van Lavabit, over wat een bedrijf niet mag zeggen tijdens dat er een rechtszaak loopt.

Maar China, Iran etc. zijn ook geen lieverdjes natuurlijk.

Tevens kun je natuurlijk ook gewoon thuis een interne-cloud opzetten met de voordelen van schaalbaarheid en BYOD.
Als je een conflict hebt, kan je cloudaanbieder in het ergste geval altijd je data gijzelen. Dan ben je alles vanaf het laatste kwartaal kwijt.
Welke aftandse cloudprovider is dat? Ik heb zelf Box, Dropbox, Google en iCloud en allemaal zijn het synchronisatiediensten die data naar je lokale opslag pushen. Als er morgen een kernbom ontploft in Silicon Valley, ben ik geen bit aan data verloren. Data gijzelen is daarom onmogelijk. Dus: waar heb je het over?
Maar bij een eigen server kun je wel alles precies zoals je het wilt finetunen. Je krijgt zelf de meldingen als iemand aan je firewall klopt, je hebt minder kans doelwit te worden van een ddos.
Alsnog is het een illusie om te denken dat je eigen server beter beveiligd is.
Het fundamentele verschil tussen de cloud en eigen opslag, is dat de hard disks waar jouw data opstaat, bij de cloud uiteindelijk altijd eigendom zijn van een ander. En bij eigen opslag komt het eigendomsrecht van de data-dragers, het volledige configuratierecht (en daarmee ook de verantwoordelijkheid voor veiligheid) en alle overheidsverzoeken altijd bij jezelf terecht.
Als ik mag kiezen, ben ik liever baas over eigen data, dan afhankelijk van een derde.
Dit klopt, alleen even realistisch: voor hoeveel % van de mensen is dit relevant? :? En als de overheid een bevel heeft om jouw data te bekijken doen ze dat heus wel, dan laten ze zich echt niet tegen houden door het feit dat jouw data op je eigen server staat.
Met een up-time van 99,9% kan ik er altijd bij. Dat is in mijn beleving behoorlijk volledig. Daarnaast maak ik (gewoon voor de zekerheid) toch maar een back-up per kwartaal.
Aan je data kunnen is verre van hetzelfde als volledige controle hebben erover hoor.
Wel. Om te beginnen heb je al volledig GEEN controle over wie er zo nog allemaal toegang heeft op je data, of waar het gerepliceerd wordt. En dan hebben we het niet eens over hackers, want dat is een totaal andere situatie. Je hebt helemaal 0 controle. Wat je wel hebt, is toegang tot je data, maar dus helemaal geen controle. En dat is ook het ENIGE wat je hebt.

Eigenlijk al erg dat dit moet uitgelegd worden. Vrij logische shit dit.

[Reactie gewijzigd door Nha op 4 januari 2015 02:02]

Eigenlijk al erg dat dit moet uitgelegd worden. Vrij logische shit dit.
Er zijn vele voordelen en nadelen van je bestanden in de cloud hebben, en dat besef jij niet. Dat is met name erg.

Er zijn 1000 redenen te bedenken waarom Dropbox the way to go is. Er zijn ook 1000 redenen te bedenken waarom Dropbox niet the way to go is.

De grootste fout die je kan maken is dat niet te beseffen, en die fout maak jij.
"Er zijn vele voordelen en nadelen van je bestanden in de cloud hebben, en dat besef jij niet. Dat is met name erg."

Hij heeft net de belangrijkste punten op een rij gezet. Ik weet compleet niet wat jij hieraan nog probeerde toe te voegen, maar als ik het zo overloop.... Helemaal niets. Toch bedankt!
Wat ik eraan toe wil voegen is de notie dat zijn visie beperkt is. Het gaat erom dat alles wat hij als een nadeel ziet, voor de ander een voordeel kan zijn. Het is essentieel om je dat te beseffen om een respectvolle discussie te kunnen voeren, en dat lukte hem niet omdat hij iemand met een andere mening meteen denigrerend ging behandelen. Dat vind ik vrij dom, aangezien geertdo gewoon een goede discussie probeert te voeren. Hij verdient het niet om respectloos behandeld te worden.
Als je nu nog altijd blijft volhouden dat volledige toegang hetzelfde is als volledige controle dan ben je nog steeds verkeerd. En dat is geen mening, dat is gewoon een feit. Het zou leuk zijn dat je de mensen die er wat minder van kennen en hier misschien voor het eerst wat over lezen geen verkeerde informatie aansmeert.
Wat is jouw definitie van 'controle' dan?

Je geeft zelf terecht aan dat het essentieel is dat je over de juiste dingen praat. Maar dan moet je wel beseffen dat je goed moet definiëren waar je het over hebt. Wat in jouw ogen 'controle' betekent hoeft niet de universele waarheid te zijn. Dat is niet erg, maar maak dan expliciet wat je ermee bedoelt.
Prima dat je +3tjes krijgt hoor, maar
Hij heeft net de belangrijkste punten op een rij gezet.
nee, hij heeft ZIJN belangrijkste punten op een rij gezet. Niet 'DE'.
Hoezo heb je "0 controle"? Welke controle mis je? Hoe definieer je 'controle'? Als je het definieert als toegang hebben tot, heb je bij Dropbox 100,00% van de tijd toegang (Dropbox is immers slechts een mirror in de cloud) en dus wel degelijk volledige controle.

Je doet hele stevige uitspraken terwijl je helemaal geen stevige uitspraken erover kan doen zonder de nuance op te zoeken. Alsof het een feit is dat je '0 controle' hebt. Dat is helemaal geen feit en dat besef je niet.

[Reactie gewijzigd door TMC op 4 januari 2015 22:24]

Wel. Om te beginnen heb je al volledig GEEN controle over wie er zo nog allemaal toegang heeft op je data, of waar het gerepliceerd wordt. En dan hebben we het niet eens over hackers, want dat is een totaal andere situatie. Je hebt helemaal 0 controle. Wat je wel hebt, is toegang tot je data, maar dus helemaal geen controle. En dat is ook het ENIGE wat je hebt.
Typische anti-cloud opmerking, maar dat mag hoor. Het gaat om het vertrouwen dat je hebt over de locatie waar jij je gegevens neerzet. Ik heb meer vertrouwen in mijn cloud provider dan bijvoorbeeld in een NAS die je aan het internet zou hangen. Ik zou niet weten bij welke oplossing jij wel 100% controle hebt, maar misschien wil je dat met ons delen. Volgens mij wil iedereen dat graag weten.
Eigenlijk al erg dat dit moet uitgelegd worden. Vrij logische shit dit.
Dat is een respectloze opmerking. Dat is nog veel erger.
Typische anti-cloud opmerking, maar dat mag hoor.
Ik ben niet per se anti-cloud. Ik gebruik het zelf voor wat nutteloze, onbelangrijke documenten.
Het gaat om het vertrouwen dat je hebt over de locatie waar jij je gegevens neerzet.
Helemaal niet. Het ging er om dat je beweerde dat je volledige controle hebt over je data. Welke je dus helemaal niet hebt.
Dat jij je cloud providers vertrouwt hangt daar volledig los van.
Ik zou niet weten bij welke oplossing jij wel 100% controle hebt,
Wat loop je dan te lullen dat je het WEL hebt?
Dat is een respectloze opmerking. Dat is nog veel erger.
Respect hoor je te verdienen. En met objectief verkeerde opmerkingen en er zo hard aan blijven vasthouden heb je dat alvast niet.

[Reactie gewijzigd door Nha op 4 januari 2015 16:41]

Wat loop je dan te lullen dat je het WEL hebt?
Lezen he. Ik heb alleen maar gezegd dat ik behoorlijk veel controle heb. Jij zegt dat ik 0 controle heb.
En met objectief verkeerde opmerkingen en er zo hard aan blijven vasthouden heb je dat alvast niet.
Huh? Zo hard aan blijven vasthouden? Objectief verkeerde opmerkingen? Je hebt geen weerwoord, dus alleen JOUW beweringen tellen hè.
Respect hoor je te verdienen.
Inderdaad. Trek je conclusie maar.
Je hebt ook 0 controle. Vertel mij dan eens welke controle je hebt? Ik wacht vol spanning.

Je hebt niet eens controle over eventuele backups die je cloud provider stiekem bijhoudt in het geval je later denkt "he had ik die data nou maar niet van mijn cloud gekegeld". En er zijn inderdaad providers die dit doen. Dus hoezo volledige controle?

[Reactie gewijzigd door Nha op 4 januari 2015 23:47]

Vaak hogere beveiliging dan via eigen nas.
Ja, je hebt in principe gelijk, maar in de praktijk niet.

Een enkele NAS is veel makkelijker te kraken dan bv de sites van Google, Apple of Amazon. Maar als ze mijn NAS gekraakt hebben, dan hebben ze alleen mijn gegevens (en dan nog niet eens mijn credit card gegevens). Als ze één van de hierboven genoemde sites kunnen kraken, hebben ze gegevens van duizenden tot een miljard gebruikers, inclusief credit card gegevens.

Als je het vanuit een crimineel bekijkt, waarom zou je veel moeite doen voor één kraak met gegevens waar je mogelijk niks aan hebt, als je met iets meer moeite heel veel "nuttige" data kunt bemachtigen?
Veel nasjes zijn prefab en gebruiken allemaal hetzelfde os. Toegang krijgen tot veel dezelfde nasjes is makkelijk, want als je er een kan kraken, kun je er meerdere kraken.

De synolocker affaire toont dat ook een nas-hack opschalen geen probleem is: nieuws: Ransomware richt zich op Synology-opslagsystemen

Ook je gedachtegang dat het hacken van 1 specifiek iemand per definitie niet de moeite waard is, kan ik niet inkomen.
Daarom staat de echt privacy gevoelige informatie, zoals belasting aangiften, bank gegevens, scan van paspoort en diplomas op een externe hardeschijf die in mijn kluis ligt.

Als ik ergens een kopie paspoort moet inleveren, dan haak ik de schijf aan en print het thuis. Waarbij ik twee versies kan printen, met BSN voor overheid e.d. die dat moeten hebben en zonder BSN voor de rest. Daarna gaat hij gewoon de kluis weer in.

Theoretisch kunnen ze bij mij inbreken, de kluis openbreken en mij dwingen het wachtwoord af te geven, en dan hebben ze alles om mijn identiteit te 'stelen'. Alleen weet ik dan wel dat dat zo is, wat je bij een cloud hack nog maar moet afwachten.
En wie zegt dat de overheid jouw kopie met BSN goed bewaard?
Niemand, maar ik ontkom er wettelijk gezien niet aan mijn BSN af te geven bij bepaalde zaken.

Overheid en IT is een drama, dat is ook de reden dat ik tegen het EPD was en er ook nu nog niet aan meedoe.
Ben ik de enige die dit overdreven vind? :D
Vast niet, maar gelukkig is het mijn beslissing ;-)
Je data staat op afstand.
Dit is veelgemaakte fout, maar het is simpelweg niet waar. Al mijn bestanden op Dropbox staan ook lokaal op mijn pc. Ik kan er zonder dataverbinding gewoon bij. Hetzelfde geldt voor mijn foto's op iCloud, kan ik ook zonder problemen benaderen als ik geen dataverbinding heb.
Net als je mag verwachten dat je geld "veilig" staat bij de banken, mag je inderdaad verwachten dat ook je data veilig is bij een commerciële cloud. Dat is voor beide bedrijfstakken volgens mij essentieel voor het bestaansrecht. En dan vind ik het niet vreemd dat consumenten daar vertrouwen in hebben en de verantwoordelijkheid afschuiven bij verlies of diefstal.
Ik denk dat die mentaliteit bij cloud-aanbieders e.d. enigzins anders is en dat de consument dat nog moet leren. Een bank die het geld van klanten laat verdwijnen is snel opgeruimd. Maar een cloud-aanbieder die data van klanten al dan niet moedwillig lekt heeft enkel last van een beveiligingsprobleem en kan vaak makkelijk de schuld aan een ander geven. Daar kom je relatief veel beter mee weg.

btw, dat van dat bestaansrecht is al lang niet meer zo. Ik denk dat de banken in geval van "nood" gewoon de pinautomaten uitgooien. Loketten zijn er zowat niet meer. Bij een eventuele beurskrach met het massaal leeghalen van bankrekeningen als gevolg kunnen ze eerst rustig selectief hun geld uitdelen aan de partijen die ze zelf het liefst vinden. De gewone rekeninghouder is daarna pas aan de beurt. (Als er nog wat over is).

[Reactie gewijzigd door blorf op 3 januari 2015 11:04]

Appe verdient niet direct aan iCloud, het is hun "lockin" tool. Je kan makkelijk alles syncen zolang je iOS of OSX devices hebt. Dus Apple heeft er best belang bij day mensen iCloud vertrouwen. Wat me wel opvalt is dat Apple de laatste tijd vaak relatief sullige security holes in allerlei software heeft zitten. Terwijl het security team van iOS jarenlang geprezen is.
Over je eigen PC heb je zelf de controle in handen. Je kunt de meest simpele veiligheidsrisico's afvangen door updates/malware scanners te installeren en geen poorten open te gooien, etc. En als je echt je gevoelige data 100% veilig wilt hebben, zet je die op een aparte geisoleerde machine die dus niet aan het netwerk/internet hangt.

Als je je data in de cloud zet, moet je er maar blind op vertrouwen dat de cloudpartij zijn zaakjes goed op orde heeft. Het is helaas keer op keer weer gebleken dat dat gewoonweg niet zo is.

Zo'n cloudpartij is voor een blackhat vele malen interessanter dan jouw PC omdat daar data van een grote groep mensen staat. Het loont niet om veel moeite te steken in het kraken van een thuis-PCtje als je met diezelfde moeite een cloudomgeving kan kraken en de data van een miljoen mensen kunt ophalen.

Alles wat je in de cloud zet, staat per definitie 'op het internet', en 'what gets on the internet, stays on the internet'. Ten tijde van de celeb hack van vorig jaar bleek dat er fotos buitgemaakt waren die ooit gemaakt waren, maar ook weer verwijderd.
Je kunt de meest simpele veiligheidsrisico's afvangen door updates/malware scanners te installeren en geen poorten open te gooien, etc.
Nee. Het omgekeerde kun je zeggen:

De meest eenvoudige maatregelen die je kunt nemen zijn regelmatig updates installeren, een goede virusscanner draaien en een firewall gebruiken.

Echter dat je hiermee de meest simpele veiligheidsrisico's kunt afvangen is helaas onzin. Je kunt zo vaak updaten als je wilt en een hele goede virusscanner gebruiken, maar helaas biedt dat geen enkele garantie. Zelfs voor de simpelste virussen / worms / trojans e.d. ben je dan nog steeds niet veilig. Alleen tegen de (bij je virusscanner) bekende bedreigingen ben je beschermd. Helaas.

Feitelijk ben je gewoon overgeleverd aan krachten die groter zijn dan jijzelf. Zo lang je software gebruikt waarvan je niet honderd procent zeker weet dat er geen lekken in zitten ben je gewoon niet veilig. Punt. En feitelijk betekent dat dat je nooit veilig bent want zulke software bestaat helaas (nog) niet. Op elk moment kan blijken dat er een lek zat in Internet Explorer, Firefox, Safari, Chrome, Thunderbird, Outlook etc etc etc. En dat lek kan dan gewoon misbruikt zijn. Ook al had je een virusscanner. Die beschermt je pas nadat de eerste duizenden systemen besmet zijn en de fabrikant snel een nieuwe signature aan de virusdefinitie toegevoegd heeft. En je virusscanner zichzelf bijgewerkt heeft. In de praktijk kan het weken of maanden (zelfs jaren wellicht) duren vanaf de ontdekking van een 0-day tot aan het moment dat de fabrikant het lek dicht en de virusscanner van de gemiddelde consument de virussen die het lek misbruiken weet weg te filteren.

Het is moeilijk voor de meeste Tweakers om toe te geven, maar als je je computer aan het internet hangt dan geef je een stukje controle weg. Ja er zijn tools om het risico daarvan te beperken maar ze kunnen het niet volledig wegnemen. Er blijft een zeer reeel risico op besmetting bestaan dat eigenlijk niet te vermijden is. Het is dan ook niet de vraag OF je ooit malware zult oplopen, maar meer van HOE VAAK dat gebeurt en HOEVEEL SCHADE de malware dan kan aanrichten.

Zorg dat je belangrijke data in een encrypted volume stopt en houd er gewoon rekening mee dat er wel eens software op je systeem zal draaien die niet jouw belangen dient maar die van een of andere crimineel.
Iedere computergebruiker is in principe kwetsbaar. Zelfs als je niet aan het internet hangt. Misschien zit er wel wat ingebakken in je OS, softwarepakket, hardware zelfs. Zo lust ik er nog wel één. Er wordt wel eens een beetje overdreven.

In de praktijk is het maar de vraag of er echt ooit wat van je 'gepikt' wordt. Een zwakte in je browser wil bijvoorbeeld nog niet zeggen dat je ook aan alle voorwaarden voldoet om te kunnen worden gehackt en dan moet ook nog iemand de moeite doen.

Vaak zijn hacks nogal 'theoretisch'.

Als je je NAS aan het web hangt zonder het wachtwoord in te stellen..

De helft van de zwakheden die hier voorbijkomen heeft voorwaarden als: 'maar je moet wel fysiek bij de hardware kunnen', zoals bij de efi-hack van 29 december. Ja sorry hoor maar dan gaat alle veiligheid toch sowieso het raam uit?

Natuurlijk is het belangrijk om zwakheden te bestrijden maar verreweg de meeste zwakheden worden vlot gepatcht of zijn überhaupt niet nodig als je als gebruiker netjes te werk gaat.
Over je eigen PC, dat zeg je dan goed. Er zijn een hoop computers waaronder smartphones waarop je helemaal niet de controle zelf in handen hebt maar wordt opgesloten in een stuk software met constant een deur naar buiten open. Eigenlijk is dat ook al bijna een cloud met als verschil dat de gebruikers de "serverhardware" zelf betalen en bij zich houden.
Speelt natuurlijk wel weer dat een kleinere cloud minder lucratief is om te hacken. iCloud heeft gewoon veel (veelal onervaren) gebruikers, dus valt er relatief makkelijk veel te halen.

Zelfde idee als wanneer mensen zeggen dat OSX veiliger is dan Windows. Windows wordt meer gebruikt en is dus een makkelijker doelwit waar meer te halen valt. Zelfde nu voor iCloud. Ik ben me er trouwens prima van bewust dat dit natuurlijk schijnveiligheid is.

Aan de andere kant blijft het zuur dat Apple zo weinig tegen het bruteforcen lijkt te doen, volgens mij is dit niet de eerste keer dat iCloud hiervoor gevoelig blijkt :/

[Reactie gewijzigd door Neko Koneko op 3 januari 2015 09:59]

En hier zijn we weer met security by obscurity mythe. OSX is out of the box voor de gewone consument gewoon veiliger dan Windows. OSX staat standaard in een walled garden modus. Je kan er gewoon niets gevaarlijks op installeren. Het is pas als je die walled garden uitzet dat een Mac ook kwetsbaar kan worden. Maar wie het uitzet weet waar hij mee bezig is en zal voorzichtiger zijn. Vandaar dat het gewoon moeilijker is om serieuze malware te schrijven voor Mac. Je moet oplettende mensen weten te misleiden en dat is in de praktijk niet zo gemakkelijk.

Een goed voorbeeld dat security by obscurity gewoon een mythe is was iOS toen het nog veel groter was dan Android. Terwijl er voor iOS amper malware te vinden was hield malware al lelijk huis op Android. Waarom richten de malware makers zich destijds op het platform met het kleine marktaandeel? Omdat het gewoon gemakkelijk kon.
Er is ook Windows die OOTB in walled garden modus zit.
En een aap een trukje leren kan iedereen, paar gegooglede stappen opzoeken om er uit te komen is niet moeilijk. Een Android toestel rooten lukt ook iedereen.

En iOS is veiliger? Meermaals dat een iPhone te jailbreaken was via een website of andere idiote manieren die niet zouden moeten.
Een aap? Trukje? Googelen? Ik heb de indruk dat je niet weet waarover je praat. De walled garden modus zet je gewoon af in preferences. Helemaal geen Google voor nodig.

En wat voor onzin is dat nu weer om te stellen dat iOS niet veilig zou zijn omdat je het kan jailbreaken? Jailbreaken is nog steeds een actie die door de gebruiker in gang moet worden gezet. En ja als je een iPhone jailbreakt is die onveilig.

Punt is en blijft dat een Mac of iPhone pas onveilig wordt als de gebruiker dit zelf wenst. Het volledige tegenovergestelde van Windows dus waar de gebruiker stappen moet ondernemen om het veiliger te maken.

[Reactie gewijzigd door monojack op 4 januari 2015 06:56]

Over het uitzetten van die walled garden in OSX, met een enkele search in Google komen Henk en Ingrid er wel uit. Net als Henk en Ingrid het lukt om androids te rooten en iphones te jailbreaken.

Een website openen is een actie die in gang gezet word, nu diezelfde jailbreak exploit malicious gebruiken via een advertentie op een standaard website.

En zowel OSX en iOS zijn ook niet wereld vreemd van exploits en misbruik, dus uitgaan van "pas onveilig wordt als de gebruiker dit zelf wenst" is ook niet alles. Veiliger als aan natuurlijk, das net zo iets als sudo su of uac uit.
Ik denk dat je echt niet weet waarover je praat. Waarom zouden Henk en Ingrid een search moeten doen op Google? Henk en Ingrid gaan echt niet beseffen dat ze in een walled garden zitten en wanneer ze dat wel doen zal OSX ze wel uitleggen hoe ze uit de walled garden komen. Ik snap dus echt niet wat je bedoelt dat Henk en Ingrid een Google search zouden moeten. Als Henk en Ingrid hun walled garden niet uit zichzelf kunnen uitzetten betekend dat ook dat ze niet zullen weten hoe ze zo'n Google search moeten uitvoeren.

Je jailbreakt je toestel niet door naar een URL te surfen. Je moet dan nog steeds een actie uitvoeren zoals toestemming verlenen.

iOS is wel heel extreem vrij van exploits en misbruik te noemen en OSX is dat sinds die walled garden modus ook geworden.

Sorry kerel maar je moet je wel wat beter informeren over de zaken waar je over wil praten hoor.
Alles wat on-line is blijft permanent kwetsbaar... 100% veiligheid bestaat alleen in tekenfilms.
Wat in de wered is 100% veilig dan? Een ouderwetse bank? ;)
100% veiligheid alleen in tekenfilms?
Ik denk dat Wile E Coyote daar wat genuanceerder over denkt :)

[Reactie gewijzigd door Carbon op 3 januari 2015 11:03]

De cloud is niet percé slecht,
Als die goed beveiligd is, en niet valt onder jurisdictie van een enge staat.

[Reactie gewijzigd door nul07 op 3 januari 2015 10:04]

Of wat zou je zeggen van een grote Nederlandse Hoster, die de beveiliging van zijn klanten systeem maar niet wilt verbeteren. Omdat overnames belangrijker zijn en er wordt toch aan een nieuw systeem gewerkt. Is wachten tot ze gehacked worden.

Dit soort ongein zie je te vaak terug.
Zoals Neko Koneko al zei, kleinere cloud is minder lucratief om te hacken, maar ik denk ook dat Apple de kennis niet in huis heeft om zulke systemen op een correcte manier te implementeren. Ze zijn heel snel op die kar van Cloud gesprongen en ze hebben hetzelfde gedaan met iOS maps, de eerste versie trok op niets omdat ze er niet genoeg ervaring mee hadden...
Als je dat vergelijkt met de knowhow op dat gebied van google, met zijn 135 diensten die allemaal op dezelfde account werken, staat het in schril contrast...

Hopelijk haalt Apple nu enkele mensen in huis die al even in de cloud-branche zitten...
Alweer een update op update en niemand gelooft het meer behalve de mensen die
teksten geloven zoals over de iPhone 6 met 8 MP camera f 2.2 met de tekst "De Camera die fotografie heeft veranderd doet voor video het zelfde" . Mooi marketings technisch brainwashen van mensen die echt alles geloven.

Het zijn ook die mensen die icloud moeten gebruiken met ios 8 omdat het instapmodel van 16 GB niet voldoende is en een simpel geheugenkaartje kopen kan al niet. Het 32 GB model hebben ze er uitgehaald puur om meer geld te verdienen op de 64 GB maar mensen kiezen veel voor het instap model en hebben later spijt omdat de kennis ontbreekt.

Een ander voordeel is dan de verkoop van icloud abonnementen aan de mensen met juist die 16 GB en zo is het verdien plaatje weer rond _/-\o_ .

De vraag is of icloud veilig is voor hackers dan weet je al dat je het niet moet gebruiken en dat is net als met je eigen computer. Veel bedrijven zijn al vaak gehacked dankzij medewerkers die onveilig werken met android, ios of gewoon gmail gebruiken. Dit is ook de reden dan SONY weer tijdelijk op BlackBerry is teruggestapt.

Icloud is al zo vaak gehacked en ios ook dat het niet meer boeiend is of het veilig is maar wat je op icloud allemaal zet aan data is waar je aan moet denken. En wellicht toch een toestel kopen met meer geheugen zoals een BlackBerry welke je kan uitbreiden en ja kan je iTunes daarnaast gewoon bljven gebruiken Heb je ook niks meer met icloud te maken.
"Icloud is al zo vaak gehacked" - wat een heerlijk hip yuppen statement! Gelukkig ook volledig onderbouwd, ik zou het nog eens nazoeken: iCloud is nog nooit gehacked.
http://www.telegraph.co.u...loud-hacked-in-China.html

http://bgr.com/2015/01/02/new-icloud-hacking-tool/

of vorig jaar dat in Nieuw Zeeland en Australie mensen hun account werden gehacked of de minister van buitenlandse zaken van Australie waar ook de icloud van was gehackt via haar telefoon (haar hele iPhone was overigens leeggetrokken :) ) of de Engelse regering die ipads verbiedt bij vergadering en meeting ivm hacks op iPad inclusief meeluisteren via de microfoon van de iPad.


Het is maar wat je wil zien en wilt geloven en die strijd wint Apple met veel geld.

Het is logisch dat Apple het beste toestel is voor 700 euro :O en dat voor een eco systeem dat helemaal met niks wil samenwerken en waar je vast zit aan apple produkten of iTunes.

[Reactie gewijzigd door nlb op 3 januari 2015 16:41]

Was mijn account compromised in die fantastische headline artikelen ? Nee.
Social engineering hacks en man in the middle - in China - die niet ver kwamen.
Waren de eerste 2 hits. Denk je dat ik al die miljoenen hits ga linken :)
Dus er zijn miljoenen hits en jij krijgt het voor elkaar om twee voorbeelden aan te dragen die eigenlijk jouw punt niet onderbouwen? Knap. :)

iCloud is nooit gehackt, zoals z1rconium zegt zijn alle 'hacks' het gevolg geweest van social engineering-achtige technieken.
Ik vind het vooral grappig toen die celebrity nudes uit kwamen elke Apple fanboy, en Apple zelf, liep te roepen dat iCloud niet te hacken viel en het dus helemaal geen zwakte was van Apple.
Wel.. ziehier het bewijs van het tegendeel. Jammer dat dit zo lang heeft geduurd, het zou echt grappig geweest zijn moest het vlak na die foto's gekomen zijn, dan kon iedereen zien hoe hard die stonden te liegen, nu is iedereen dat voorval alweer vergeten... Ah het Internet en zijn extreem korte aandachtspanne...
Ik vind het vooral grappig toen die celebrity nudes uit kwamen elke Apple fanboy, en Apple zelf, liep te roepen dat iCloud niet te hacken viel en het dus helemaal geen zwakte was van Apple.
Ik denk dat wat er bedoeld werd dat het op grote schaal kraken van het systeem volgens hen niet mogelijk is, maar brute force attacks op (beroemde) individuen is altijd mogelijk natuurlijk. Ik ben redelijk fan van apple's hardware, en ik heb het nooit geroepen, waarom zou ik een amerikaans bedrijf vertrouwen dat ze mijn data veilig kunnen houden in een land als de VS? (rethorische vraag)
Als je denkt dat je data ook ergens maar veilig is heb ik slecht nieuws voor je.
En toch heb ik er geen probleem mee mn foto's te uploaden naar iCloud. Het gemak weegt wel op tegen dit nadeel wat beperkt is tot gerichte aanvallen op enkele high-profile accounts. Wat heeft iemand te bereiken met het brute-force kraken van Corry's account van de supermarkt om de hoek? Begrijp me niet verkeerd: het is goed en vereist dat Apple continu verbeteringen toepast om dit uit te bannen, maar mensen zullen een weg blijven (proberen te) vinden.
Zo dachten JLaw en de andere celebs/gedupeerden er ook over, totdat het daadwerkelijk gebeurde.

Het gaat er niet zozeer om dat het mogelijk is, maar hoe simpel het bleek te zijn. Dat is waar ik zo'n moeite mee heb. En aangezien we in het verleden al vaak genoeg hebben gezien dat bedrijf Y totáál geen les trekt uit de hack op bedrijf X, blijft de cloud voor mij vooralsnog een publicatiemiddel en géén online kluis.
Het grootste probleem van de celebs was dat ze een veelste eenvoudig wachtwoord hadden gebruikt.
Ja, dat bruteforcen mogelijk was is slecht, maar met een goed wachtwoord waren ze nooit in die accounts gekomen.
Voor zover ik weet is het geen brutoforce geweest bij "celebratie", maar zijn wachtwoorden doormiddel van phishing buit gemaakt..
Maar dat is precies wat ik zeg: high-profile personen, en inderdaad een te simpel wachtwoord en geen twee-traps verificatie... Zo dachten die celebs er echt niet over anders hadden zij dat wel anders aangepakt
Als deze celebs 2 staps aan hadden staan, was dat nooit gebeurd.
2-staps verificatie werd omzeild: http://gizmodo.com/if-you...change-it-befo-1677091364 dus dat zou niet geholpen hebben.
Hoe werkt dat dan? Ik snap niet hoe je 2-staps verificatie kan omzeilen.
Hij stuurde de login requests via een server waar 2-FA niet aanstond. Dat is toch wat ik eruit begreep.
Alsnog, hoe kom je dan aan de foto's? Want daar kom je niet zonder 2-staps verificatie toe te passen.

[Reactie gewijzigd door TMC op 4 januari 2015 15:42]

Waar staat dat je foto's kunt bekijken? Het enige wat het deed was inloggen :)
Er werd geclaimd dat bij de iCloud hack van celebrities, waarbij foto's zijn buit gemaakt, 2-step verification was omzeild.
Dat heeft niets met dit programma te maken :) toen werd 2-FA zelfs nog bijna niet gebruikt.
Klopt, maar jij vroeg 'waar staat dat..?' en ik gaf het antwoord. Dat de claim onjuist was had ik zelf al door. :)
Want de bevestigingssmsjes zijnonmogelijk te onderscheppen voor mensen met een beetje verstand van het mobiele netwerk? ;(
Ik gebruik 2-staps verificatie en bij het inloggen in iCloud moet ik ook een bevestigingscode van mijn iPhone opgeven. Zonder deze stap kan ik alleen zien waar mijn iPhone is, en niks in iCloud doen. Dus deze "truc" werkt niet bij mij :). Daarnaast krijg ik ook direct een mail van Apple als ik met een andere computer inlog op iCloud. Met andere woorden: gebruik 2-staps verificatie bij Apple en het is veilig genoeg voor bijna alle "hacks".
Er wordt geclaimd dat het wordt omzeild, maar bewijs is er vooralsnog niet.
"The tool also claims to be able to evade Apple's rate-limiting and two-factor authentication security"
Volgens HLN: "De ontwerper van iDict laat nu echter weten ook in die gepersonaliseerde dubbele beveiliging een gat gevonden te hebben. Verschillende stemmen op Twitter bevestigen die claim."
Even zoeken :)

edit: Oh ik zie het al. Hij gebruikte URL's die niet nagekeken worden voor 2FA.
https://twitter.com/mikeymikey/status/551050753394368513

[Reactie gewijzigd door gangsta_playa op 3 januari 2015 14:27]

Was wel handig geweest om die bron erbij te vermelden. Bovendien vind ik die claim alles behalve bewezen. De bewijsvoering is zeer discutabel, aangezien willekeurige mensen op social media geen betrouwbare bron vormen. Ik ben benieuwd wat Apple ervan te zeggen heeft en denk eerlijk gezegd dat met 2 staps verificatie er geen probleem is.
Uit de wachtwoordlijst blijkt: ga geen relatie aan met iemand met een, of geef je kind geen, Anglicaanse naam en gebruik die naam daarna zeker niet als wachtwoord met of zonder een 1 erachter. :P

[Reactie gewijzigd door styno op 3 januari 2015 09:59]

Haha, viel me ook op. Zal wel als voorbeeld dienen. Verder stelt het scriptje weinig voor, blijkbaar was er niet veel fantasie voor nodig.
Inderdaad! Wat een simplistisch script is dat! Een delay tussen login pogingen, melding bij 3+ foute login pogingen, en een automatische IP blacklist totdat de user via e-mail aangeeft nogmaals in te willen loggen was het minste wat ik had verwacht van Apple.
Wanner je als bedrijf je gegevens in de cloud plaatst, mag je hopen dat je geen betalingsproblemen krijgt. Of erger faiiliet gaat. De curator zal dan deze gegevens nodig hebben. En hoelang wordt data bewaard als er geen betaling meer plaatsvind richting eigenaar cloud?
Over wat voor diensten heb je het dan precies? Zo'n beetje elke clouddienst werkt toch met lokale opslag die gesynct wordt?
Toch weer triest dat er eerst een hack programma uitgebracht moeten worden voordat een partij als Apple de beveiliging gaat verbeteren. Het programma (wat niet meer als een simpel scriptje is) had nooit mogen werken.

Vooral met de uitgelekte celeb fotos had Apple al een veel betere beveiliging moeten hebben.

Helaas zijn die celebs niet slim genoeg om Apple aan te klagen vanwege het niet goed genoeg beschermen van hun prive gegevens, als ze dat gedaan hadden dan was het ondertussen zo goed beveiligd dat zelfs de NSA gaat betalen aan Apple voor een backdoor (of Apple was miljarden armer geweest).
Dan moet je wel een verdomd goeie advocaat huren om het te winnen van dat leger van advocaten bij Apple...
Dat kunnen die 100den celebs samen echt wel betialen hoor! En Apple wilt immers dat deze celebs met een iPhone blijven lopen en showen!

Wanneer al die celebs samen een filmpje hadden gemaakt hoe ze hun iPhones kapot gooiden en allemaal een Android of WP toestel gekocht hadden dan hadden veel meer mensen\schapen gevolgd. En dan was Apple het merk geweest voor mensen die niets geven om hun privacy. Een groepje celebs (vooral met grote namen) kan heel veel druk uitoefenen op media bedrijven, zal Apple ook duur komen te staan als de iTunes store zal halveren qua content.
En zulke kwetsbaarheden zij nvoor de gebruiker relatief eenvoudig te voorokmen door gewoon een goed wachtwoord te kiezen.
gisteren zelf ook problemen gehad om het wachtwoord van de icloud account te wijzigen. Mijn vriendin was het wachtwoord vergeten maar er werden geen mails gestuurd naar het alternatieve mailadres zodat ze haar wachtwoord kan resetten. Hopelijk is dat nu ook opgelost.
Het is mij nog steeds niet helemaal duidelijk hoe deze tool de brute-force-techniek kon toepassen als Apple die laatst al had gefixed. Iemand die weet hoe dit omzeild werd?
Wauw, ik ben niet bepaald onder de indruk van deze tool, eerlijk gezegd. Een lijst met 500 wachtwoorden: of er is amper iets gepikt of vooral bij mensen die niet snappen dat ze een fatsoenlijk wachtwoord nodig hebben...

Daarbij, ik weet niet hoe dat bij anderen zit, maar ik word gewaarschuwd door Apple als iemand via een andere computer probeert in te loggen, ook als deze het correcte wachtwoord heeft ingegeven.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True