Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 117 reacties

Een kwaadwillende slaagde erin om toegang te krijgen tot het iCloud-account van een Wired-redacteur door de afdeling technische ondersteuning van Apple om de tuin te leiden. Vervolgens kreeg de aanvaller toegang tot andere accounts.

Apple logoWired-redacteur Mat Honan schrijft dat op zijn weblog. De aanvaller deed, na toegang gekregen te hebben tot Honans iCloud-account, een remote wipe op zijn iPhone, iPad en MacBook Air. De Wired-redacteur had geen backup van zijn apparaten, behalve op iCloud.

Ook wist hij via het iCloud-account van Honan toegang te krijgen tot zijn Gmail- en Twitter-account. Daarnaast wist hij via Honan in te loggen op het Twitter-account van Gizmodo, waar Honan een voormalig medewerker van is, en plaatste daar 'racistische en beledigende' berichten.

Aanvankelijk dacht Honan dat zijn wachtwoord via een brute force-aanval was achterhaald, aangezien hij een redelijk simpel wachtwoord op zijn iCloud-account had. Na contact met de aanvaller kwam de journalist echter tot de conclusie dat de support-afdeling van Apple om de tuin is geleid door de kwaadwillende, wat bekendstaat als social engineering. Apple zou dat tegenover Honan hebben toegegeven. Hoe de aanvaller daar precies in is geslaagd, is onduidelijk. Inmiddels heeft de journalist weer toegang tot de meeste accounts.

Moderatie-faq Wijzig weergave

Reacties (117)

Het verbaasd me dat Apple medewerkers geen training krijgen in dit soort scenario's. Wel weer een leuk voorbeeld dat de mens de zwakste schakel blijft wat betreft beveiliging.

Als je geïnteresseerd bent lees dan The Art of Deception van Kevin Mitnick
http://www.bol.com/nl/p/t...ception/1001004001981570/

Er staan best handige tips in om te voorkomen dat dit soort aanvallen succesvol zijn. De voorbeelden zijn soms wat overdreven, maar geven wel een aardig beeld.
Misschien krijgen ze wel training en zijn er policies. Het is alleen maar net hoe iemand achter de telefoon er mee omgaat. De valkuil is gewoon het willen verder helpen van de gebruiker en dus toch aannemen dat het wel goed zit, omdat de gebruiker zo geloofwaardig en aardig overkomt.
Het aard van vele beestje is om iemand te helpen en daarbij wordt wel eens vergeten waarom er policies bestaan. Die komt zo vaak voor, je hebt gewoon met mensen te maken.
Tsja kun je dit nog een hacker noemen? Dit is, zoals het artikel vermeld, gewoon social engineering. Het is eigenlijk alleen hacken als je de techniek ' verslaat' niet als je iemand van de helpdesk gewoon om de tuin leidt. Uiteindelijk zullen mensen altijd de zwakste schakel zijn in dit soort kwesties.
Ja, want de algemeen geaccepteerde definitie van een hacker is 'iemand die beveiligingsmaatregelen van een computersysteem weet te omzeilen'. Dat hierbij Social Engineering in veel gevallen essentieel is, is ook een feit: hoeveel mensen hebben wel niet de geboortedatum van zichzelf of een vriend(in) als wachtwoord of andere, aan de persoon gerelateerde, strings. Dan is social engineering dus interessant.

Bewijst maar weer eens dat vaak de zwakke schakel in het hele proces de 'human factor' is...
social engineering wordt dan ook steeds makkelijker nu iedereen alles op facebook&co zet...

Maar dit is wel een goede eye-opener voor mensen.
Slimme Tip: Zet zoveel mogelijk op facebook en reageer over zoveel mogelijk dingen. Als er weinig op staat is alles intressant en makkelijk te achterhalen. Staat er veel op dan zien dataminers en Social engeneers de bomen door het bos niet meer!

Zie het als iemand op school of op het werk die heel gesloten is, en weinig zegt:

Als iemand deze of gene aanspreekt over prive dingen dan willen ze gelijk alles van diegene weten. Schreeuw je van de daken alles over je prive leven (maar laat je echt de belangrijke dingen weg) Dan zal iemand er ook nooit naar gaan vragen! ;)

Of je nauw voor de CIA werkt of voor een helpdesk iedereen breekt een keer. De kunst is daarom ook valse info loslaten die toch echt echt lijkt en vaak dicht bij de waarheid ligt om de boel zo te vertragen.

Probleem met datamining en social social engineering is:

Je staat vaak direct in contact met mensen (zijn vaak bekende--> men in the middle attacks) (Je moet vertrouwen van slachtoffer winnen en dat kan alleen door zelf dingen bloot te geven) Social Engineering wordt vaak toegepast door oud werknemers die wraak willen nemen. Je bent dan al binnen dus is in feite een man in the middle attack ;)

Je moet een aardig staaltje aan psychologische kennis hebben.

Er moet een directe verbinding zijn, zit er een vertraging in dat wekt vaak al argwaan. (je bent dus makkelijker traceerbaar!)

De zwakheden van een ander zijn vaak ook jouw zwakheden. (Deze hacker moest bijvoorbeeld de helpdesk bellen en heeft waarschijnlijk stap voor stap alles opgeschreven om het nog een keer uit te voeren) Aangezien alles bij een helpdesk wordt opgenomen, is deze vertraging ook te achterhalen!

IBM is ooit begonnen met kunstmatige intilligentie bij super computers omdat ze wisten dat hun werknemers zeer vatbaar waren voor social engeneering. Deze samenwerking wordt oa ook geleverd aan Apple en MS, Google. (de helpdesk hiervan aanvalen is dus ook niet echt verstandig) Daarnaast heeft een helpdesk standaard vragen en antwoorden maar ook standaard regels waar ze niet van af mogen wijken. Maar speel je op de gevoelens van een helpdeskmedewerker ja dan kun je veel meer. Dit houd wel in dat deze man/vrouw meerdere keren heeft moeten bellen met deze werknemer of een behoorlijk lang gesprek heeft gehad (of haar geprobeerd heeft te versieren)

Vaak worden deze aanvallen uitgevoerd met het moto dat er iemand ziek is, net is overleden of een gerelateerd onderwerp. Ook een goeie versiertruuk met complimenten kan mensen ver brengen. (en dan is het de vraag wat is waar en wat is verzonnen)

Daarnaast lijkt dit op een wraakactie van iemand. Zoek bloggegevens op van mensen die deze persoon haten en koppel die aan de rest!

Als hacker zijnde moet je geduld hebben. Als iemand wraakzuchtig is heeftie vaak geen geduld en zal hij de fout in gaan!

[Reactie gewijzigd door rob12424 op 6 augustus 2012 19:03]

Je lijkt me ze een makkelijk slachtoffer voor een social engineer, je wilt graag laten zien hoeveel kennis je hebt en hoe slim je wel niet bent ... Een paar uitdagende vragen en je vertelt alles wat je weet
Let goed op dat hij eigenlijk ook weer niet zoveel vertelt maar wel met heel veel woorden en dat ook nog eens matig opschrijft (onjuistheden, taalfouten). Eigenlijk houdt hij zich dus heel goed aan zijn waarschuwing.

[Reactie gewijzigd door mae-t.net op 6 augustus 2012 11:40]

@ (id)init Je moet als Social engineer en dataminer bepalen wat belangrijk is en wat niet. Als er veel staat is er moeilijker achter te komen wat belangrijk is. Immers een ww is vaak gealieerd aan een hobby en die hobby is weer een herkenings/herrineringspunt voor het ww. Als jij veel berichten op FB post met ja ik heb een nieuwe ponny enz. ja dan is het ww. waarschijnlijk de naam van de pony ;)

Ja stel maar een paar gerichte vragen:

1. Als je ze stelt ben je of geintreseerd in het onderwerp of je wilt weten wat mijn ww. is.
2. Stel je meer vragen over meer onderwerpen dan heb ik toch gelijk al argwaan?
3. Je hebt contact gemaakt. --> het slachtoffer weet al wie de dader is! ;)


Elke hacker moet zowiezo ergens Social enginering gebruiken in combinatie met datamining (dat is vaak de zwakke plek van een hacker)
Immers als je een blueprint hebt van zijn vorige programma's weet je ook wat zijn zwakheden zijn!
Een goeie social engineer weet dat hij met een social engineer poging 100% kans van slagen heeft! Daar staat wel tegenover dat hij ook 90% kans heeft om gepakt te worden!

Als ik ga lopen dataminen laat ik sporen achter (heb ik veel op FB staan, dan moet je per se inloggen --> en elke link naar een intresse van mij of profiel is al een spoor! )

Als FB op zoek is naar een hacker checken ze gewoon wie de meeste links heeft aangeklikt en je bent er al aardig. Daarnaast zijn het vaak wraakacties en een goeie hacker heeft geduld, een wraakzuchtig iemand niet!

(PS.: ik typ dit in mijn pauzes dus sorry voor taalfouten! ;) )

[Reactie gewijzigd door rob12424 op 6 augustus 2012 18:54]

'Man in the middle attack' valt in het technische kader van hacken. Heeft helemaal niets met jou verhaal te maken.
Dit is absoluut geen hacking.
Natuurlijk wel. Als hacker breek je via de zwakste schakel in en steeds vaker is dat via social engineering, oftewel een mens zover krijgen dat hij iets doet waarmee de veiligheidssystemen buiten werking worden gezet (of op z'n minst op een lager niveau gaan functioneren).
Dit is absoluut geen hacking.
Dit is juist een van de meest klassieke vormen van hacking. Kevin Mitnick was er berucht om.
Dit is absoluut geen hacking.
Hacken gaat om het doel, niet om de manier waarop je het voor mekaar krijgt. Of je nou aan social engineering hebt gedaan of een briljant brute-force op een functie of algoritme hebt gedaan, aan het eind van de rit heb je de controle over de machine en social media accounts van je target (en dat was het uiteindelijke doel).
Ik deel je mening hierin dat dit niet echt Hacken is. Maar of je het links om of rechts om doet het resultaat is het zelfde. Vaak genoeg zie je dat als je verzekerd genoeg overkomt mensen je helpen.
Voor mijn werk ook vaak genoeg gemerkt dat er op locatie iemand niet afwist van mijn komst, maar mij toch hielp om bij werkplekken/serverruimte te komen. Het was wel de bedoeling dat ik daartoe toegang had maar heb mij vaak genoeg verwonderd hoe makkelijk het wel niet als om er te komen als ik kwade bedoelingen had...
Ik ben ook regelmatig in MER's geweest doordat iemand de deur voor mij openhielt terwijl het protocol duidelijk voorschreef dat iedereen die daar naar binnen mocht geregistreerd moest zijn en dat toegang via de badge geregeld moest zijn.

Je ziet echter tegenwoordig wel een ontwikkeling dat aan iedere individuele node security requirements worden opgelegd, daar waar vroeger er vaak van werd uitgegaan dat dat niet nodig was "want het staat in een beveiligde omgeving". En als iedere individuele node beveiligd is wordt de locatiebeveiliging weer minder relevant.
Was Kevin Mitnick een hacker? Volgens velen wel. En dat was ook gewoon social engineering wat hij deed.
niet goed opgelet zeker, was niet alleen social engineering. en het social engineering dat hij deed, was van een heel ander kaliber als een helpdesker om de tuin leiden.
Social engineering is hacker techniek #1. Het is een van de meest doeltreffende en gevaarlijke technieken. Phishing zou je kunnen zien als een black-hat versie van social engineering.

Na social engineering ga je verder kijken: achtergronden van de persoon die je probeert te hacken, zoals namen en geboortedata van partner, kinderen, ouders. Namen van huisdieren, de boot, vakantiebestemmingen enz. Met een klein scriptje weet je daarmee duizenden variaties te maken die je allemaal probeert in je aanval. Als je ooit een wachtwoord bestand in handen krijgt, moet je maar eens kijken hoeveel wachtwoorden hiermee gevonden hadden kunnen worden. Het is schrikbarend.

Als je toegang hebt tot oud papier, oude harddisks, vuilnis enz. van de persoon die je probeert te hacken, dan is dat vaak ook een goede bron van informatie.

Pas in laatste instantie ga je technisch aan de gang, in eerste instantie probeer je eventuele vulnerabilities op te sporen en uit te buiten. Daarnaast is brute-force ook een mogelijke methode.

De technische hacks komen wel het meest in het nieuws, stomweg omdat je, doordat vaak gebruik wordt gemaakt vandezelfde standaard softare, met een gevonden vulnerability (een zero day exploit) meteen talloze websites kunt hacken en daar zit soms gewoon een grote vis bij waarmee je het nieuws haalt.

In het kort: social engineering is een volwaardige en bijzonder krachtige hack techniek. De zwakste schakel in computer beveiliging is immers vaak de gebruiker.
Ik begrijp wel dat mensen op hun Apple account een eenvoudig wachtwoord hebben. Iedere keer dat je een App wilt installeren/updaten op je iPad/iPhone moet je dit wachtwoord ingeven. Soms moet je dit dus welk een aantal keer per dag opgeven, dit kan voor veel mensen een redden zijn om een 'redelijk simpel' wachtwoord te gebruiken voor je Apple ID, overigens is dit in de meeste gevallen hetzelfde account wat je ook voor iCloud gebruikt!

Nu lees ik wel dat het wachtwoord van Honan niet d.m.v. een brute force aanval is buit gemaakt, maar aangezien de meeste wachtwoorden bij iCloud (waarschijnlijk) heel eenvoudig zijn...zou dat volgens mij wel een optie kunnen zijn. Gelukkig heeft Apple met iOS 6 de hoeveelheid keren dat je je Apple ID wachtwoord hoeft te gebruiken beperkt, dan is het bij het updaten van Apps niet meer nodig om je wachtwoord in te geven...
Mooi verhaal maar de "hacker" heeft dus niet het password achterhaald maar de helpdesk gebeld en dmv knap lullen toegang gekregen.

Het staat hier dan ook los van en de assumptie dat het eenvoudig zou kunnen zijn gaat kort door de bocht anders had dit iedere dag voorgekomen.
Someone claiming to be my hacker has been in touch. I can’t be at all certain of his authenticity, but he says he “didnt guess ur password or use bruteforce. i have my own guide on how to secure emails.”

I did, however, get an urgent call from AppleCare ten minutes after emailing Mr. Cook, informing me that my situation had been escalated and there is now only one person at Apple who can make changes to my account.
Mooi verhaal maar de "hacker" heeft dus niet het password achterhaald maar de helpdesk gebeld en dmv knap lullen toegang gekregen.
De hacker heeft hem dus gewoon achterhaald, hoe wat en wanneer is helemaal niet relevant...
Sowieso is brute force gebruiken om wachtwoorden van online diensten te achterhalen volkomen onmogelijk. De enige reden om een sterk wachtwoord daar te hebben is wanneer er weer eens eentje hun database kwijtraakt en ze direct met GPUs die database kunnen gaan kraken.

Zelfs als je wachtwoord "pony" ofzo is (wat nergens geaccepteerd zal worden vanwege te weinig tekens), dan nog heb je een fikse hoeveelheid pogingen nodig voor je daar op komt, zoveel dat tegen die tijd hopelijk elke online dienst het account geblokkeerd heeft, of op zijn minst steeds langere tijd gaat eisen tussen volgende pogingen.
Als je weet dat het account van een meisje tussen de 10 en 14 jaar oud is, is de kans groter dan 50% dat het wachtwoord met pony of paard te maken heeft... ;-)
Het is wel niet aangeraden om dezelfde Apple ID te gebruiken voor je iCloud en je iTunes account. Op mijn iCloud account heb ik bvb een paswoord dat ik niet uit mijn hoofd ken maar voor iTunes wel. Maar een paswoord van 7 cijfers is natuurlijk echt wel te dom voor woorden.
het grappige is dat ik bijna voor iedere GRATIS app mijn wachtwoord moet ingeven en voor een betaalde App niet! Heeft me al 15 euri's gekost (maar wel leuke games/apps ;-))
Ik zal wel ergens aan de instellingen geknoeid hebben ofzo maar helemaal normaal is dit volgens mij niet!
Als je in korte tijd meerdere aankopen doet hoef je alleen de eerste keer je wachtwoord op te geven, ik weet niet wat de tijds spanne is maar het zorgt er wel voor dat je het wachtwoord niet altijd hoef op te geven.
15 minuten. Je kunt dat uitzetten, maar default staat het aan.
Heel logisch als je eenmaal in de sessie zit dan hoeft het niet meer.
op die fiets..weer iets geleerd!

@arjankoole: ik heb het idd over iOS

[Reactie gewijzigd door Hubman op 6 augustus 2012 09:12]

op die fiets..weer iets geleerd!
en vanaf iOS 6 (ik neem aan dat je 't over iOS hebt iig) hebben ze 't wat verbeterd, voor gratis apps en updates hoef je je wachtwoord niet in te voeren. Voor betaalde apps en in-app aankopen natuurlijk wel.
Dat is in een van de betas zo geweest, korte tijd, daarna is het weer uitgezet. De huidige betas werken hetzelfde als iOS 5 in dit opzicht. Kan natuurlijk betekenen dat het in iOS 6 toch gaat veranderen bij de release, maar dit hebben we al vaker meegemaakt -- ook een van de iOS 5 betas had even dit soort features.
Het kan voor veel gebruikers verwarrend zijn als je soms wel en soms geen password hoeft op te geven. Je kunt het wel weer uitleggen maar je moet ervan uit gaan dat heel veel gebruikers al afhaken na 2 woorden.
Geen lokale backup, serieus zeg...ik gebruik wel de cloud uit praktische overwegingen, maar ik heb wel een offline backup. Niet al uw eieren in één mand leggen...
Voor zover ik het begrijp is het juist hetgeen dat in de cloud staat dat hij nog heeft kunnen recoveren... Al de lokale data is via een remote wipe verdwenen.. Logisch ook, ik gebruik Dropbox, als mijn data verwijderd wordt of mijn toestel crasht staat alles nog op Dropbox of kan ik dit via dropbox.com recoveren. Wanneer Dropbox zou failliet gaan/niet beschikbaar is dan staat al je data ook nog lokaal op de computer. Je zou dus al pech moeten hebben dat Dropbox zonder waarschuwen niet meer beschikbaar is én dat je computer het begeeft...
maar de kwaadwillende had toegang tot de cloud en dus ook die backup, daarom is het gewoon dom/stom geen lokale back up te hebben, daarbij anje niet altijd toegang hebben tot de cloud en dan? gewoon dom
Volgens mij begrijpt nog niet iedereen 100% de werking van dergelijke cloud oplossingen. Wanneer Dropbox niet beschikbaar is omdat het down is of omdat mijn internetverbinding down is dan kan ik nog steeds offline verder werken op mijn computer (waar mijn volledige dropbox beschikbaar is) Wanneer de verbinding met Dropbox terug actief is wordt alles terug gesynchroniseerd.. In mijn geval betekent dat dat ik dus 30GB aan data in mijn online Dropbox heb en diezelfde 30GB heb ik ook lokaal op mijn computer staan..

Je kan trouwens altijd via de website van Dropbox een restore uitvoeren van je bestanden zelfs al zijn die verwijderd uit je Dropbox en je computer.

Dropbox is zeker niet 100% veilig maar het is wel de veiligste manier om met je bestanden om te gaan. Alles lokaal opslagen en daar dan om de x-aantal tijd een backup van nemen is zeker ook niet de beste manier. Daar is de kans dat er iets misloopt veeel groter en in praktijk zie je dat mensen het maken van die backups vergeten/niet meer doen...
Wat betreft "veiligste" manier, daar ben ik helemaal niet mee eens.

Het nadeel van dropbox is dat alle bestanden ongeencrypt worden opgeslagen. Als jouw laptop, tablet, pc of wat dan ook gestolen wordt, dan kunnen de bestanden zo opgehaald worden.

Ik zet er dan ook geen gevoelige informatie in. (deze zitten in een truecrypt container)

Er zijn betere en echte opties. Crashplan bv. Daarmee kan je WEL encrypted backups maken. remote naar hun servers, en/of naar een vriend die ook een crashplan client heeft draaien en/of naar een lokale server/HDD.

Dat gebeurt op de achtergrond, je hebt version control, en meerdere backupopties die je tegelijkertijd kan laten uitvoeren

Thematopic: Backups

[Reactie gewijzigd door kmf op 6 augustus 2012 09:58]

Moet je wel vermelden dat lokale bestanden ongeencrypt worden opgeslagen. Bestanden op de servers van Dropbox worden wel encrypted namelijk.
En als je wilt kan je natuurlijk je bestand encrypten voordat je ze op dropbox zet.
Zelf encrypten lijkt me verstandiger dan erop vertrouwen dat een bedrijf de beveiliging op orde heeft.
je kunt ook gewoon truecrypt installeren op alle PC's die met jou dropbox werken, in dropbox zet je vervolgens een encrypted container en klaar, alle files encrypted, dropbox kan op geen mogelijkheid zien wat er in staat.

het wordt inmiddels client side encrypted en daarna pas gesynct.

enige nadeel is dat je niet via de webaccess meer bij je files kunt
En dat je een enorme truecryptcontainer gaat syncen elke keer als je iets wijzigt.
Volgens mij begrijpt nog niet iedereen 100% de werking van dergelijke cloud oplossingen
Volgens mij ben jij degene die hier iets niet begrijpt. Je beschrijft precies hoe het slachtoffer te werk gaat, maar die zit nu met de gebakken peren omdat hij geen lokale backup heeft gemaakt. Het grote verschil tussen DropBox en iCloud is dat je via iCloud ook nog eens al je apparaten kunt managen - en dus remote wipen. Het is natuurlijk niet meteen een scenario waar je rekening mee houdt, maar laat dit iig een les zijn: iets opslaan in de cloud is op zichzelf nog geen goede backup.
Ik begrijp niet dat er op de website van Tweakers zoveel negatief commentaar is en zoveel onwetendheid over een dienst die één van de grootste problemen bij consumenten oplost..

De meest simpele manier om dit uit te leggen:
Je hebt je documenten centraal bij Dropbox staan, je hebt diezelfde documenten ook op je computer staan én indien je die beide kwijt speeltkan je die nog steeds restoren binnen de 30 dagen via een soort van admin panel op de Dropbox website.. Maw zelfs al wordt je account gehackt kan je al je documenten nog steeds terugzetten.. Wat wil je nog meer...?

Ik kan niet spreken voor iCloud maar ik veronderstel toch wel dat zij een soortgelijke restore optie hebben zoals bij Dropbox? In ieder geval ben ik geen fan van iCloud, ik heb nochtans alles van Mac maar ik hou liever mijn data bij een dienst die op alle software werkt..
Het is duidelijk dat niet iedereen 100% snapt wat er aan de hand was. Als je lokale toestel(len) gewist zijn, en iemand verschaft zich toegang tot je cloudaccount - of je internetverbinding ligt er simpelweg uit... Dan wilde je maar wat graag een offline-backup ergens hebben liggen.
En als iemand jouw Dropbox account hackt en alle bestanden via de website verwijderd? Dan worden ze toch ook op jouw lokaal werkstation verwijderd? Ben je dus mooi wel alles kwijt. Ik gebruik inderdaad Dropbox, maar heb ook meerdere lokale (en niet lokale) fysieke backups.
Nee je kan via de Dropbox website een volledige restore doen van al je documenten, zelfs al zijn die verwijderd uit je dropbox/computer.
Als je slim bent zorg je ervoor dat je lokaal een backup hebt, ook van je dropbox folder. Gewoon externe schijf met Timemachine et voila!
Al de lokale data is via een remote wipe verdwenen
Van de betreffende client ja, maar niet van een externe HDD (TimeMachine) of TimeCapsule. Kwestie van een verse OSX install doen met de optie 'restore from TimeMachine backup image'.
In iCloud staat geen backup van je PC. Dat zou ook veel te duur zijn, je krijgt 5GB gratis en voor de rest betaal je iets van 16E/jr/10GB.

Zijn PC was dus nergens gebackupt, niet met Time Machine (die denk ik zelfs als ie live aangekoppeld is niet door een remote wipe wordt gewiped), en al helemaal niet met een offline disk en/of een cloud backup dienst als crashplan of backblaze.
Misschien zijn documenten? foto's? ....

Maar het probleem is dat een wachtwoord nooit telefonisch doorgegeven mag worden.
En normaal gesproken is het zo dat de helpdesk medewerkers de wachtwoorden ook niet kunnen zien maar alleen een reset geven. Echter zou dit alleen per post mogelijk moeten zijn.

En je kan (in dit geval Apple) of ander bedrijf er wel flink op neer hameren maar et beleid is wellicht dat dit nooit is toegestaan. Echter een medewerker kan vatbaar zijn voor gladpraat.
Hij heeft geen back ups gemaakt. De remote wipe heeft zijn harde schijf gewist. Een remote wipe kan geen timemachine backups verwijderen.

Ik kan begrijpen dat je in het pre-timemachine tijdperk geen backups maakte wegens te omslachtig maar vandaag de dag is het echt dom om als particulier geen back ups te maken.
Naja, je hebt het op drie verschillende apparaten (iPhone, iPad, MacBook Air) staan _en_ in je iCloud. Het is erg stom van Apple dat ze zomaar toegang geven tot iemands account. Ik snap wel dat hij zich redelijk veilig voelde, al is het wel dom om een simpel wachtwoord te gebruiken, zeker als je een publiek figuur bent. Dan is je "backup" ineens niet zo veilig meer.
Dat is wel een knullige actie van Apple, ondanks dat de medewerker natuurlijk alleen maar goeds bedoelde.
Misschien kan Apple dezelfde methode bij iCloud toepassen als die ze gebruiken bij FileVault2. Als ik mijn HDD van Full Disk Encryption wil voorzien, dan krijg ik een optie om het wachtwoord bij Apple op te slaan (icm 3 geheime vragen als passphrase) zodat ik de wachtwoorden evt via die weg kan bemachtigen. Voor iCloud kun je die vraag ook stellen met (net als bij FileVault2) een duidelijke opmerking dat als je het niet doet én je raakt je wachtwoord kwijt, jouw data als verloren kan worden beschouwd (Apple kan het in dat geval zelf ook niet meer decrypten). Zal wel niet gebruiksvriendelijk zijn (veel gehoorde klacht als het op security aankomt).
Als je voor veiligheid wil gaan dan is een wachtwoord bij een ander neerleggen naast het in je hoofd hebben nooit een verstandig idee. Daar moet je gewoon zelf voor verantwoordelijk zijn net zoals je pincode. Ik backup online bij de KPN en al die files worden encrypted opgeslagen. Jij bent verantwoordelijk voor de wachtwoorden en de KPN heeft die gewoon niet. En zo hoort het. Dat zorgt er wel voor dat je dus niet je wachtwoord moet vergeten maar dat is met de sleutels van je huis niet anders.
Dat zorgt er wel voor dat je dus niet je wachtwoord moet vergeten maar dat is met de sleutels van je huis niet anders.
Wachtwoord of sleutels kwijt zijn betekent niet dat iemand anders er ook niet in komt, met een slimmigheidje of bruteforce lukt het altijd. Er komen niet voor niets steeds updates voor firewalls, IDS, kernels, virusscanners, encryptie standaarden en veiligheidsprotocollen. Op het moment dat je een situatie als veilig beschouwt ben je zelf het grootste gevaar.
De analogie met de sleutels van je huis is an sich wel een goede. Die ben ik een keer kwijtgeraakt en ik schrok er bijna van hoe snel de slotenmaker binnen was. Van digitale beveiliging heb ik iets meer verstand en zal de gemiddelde "inbreker" iets langer duren, maar het is uiteindelijk altijd een "best effort".
met een slimmigheidje of bruteforce lukt het altijd
Nou, bruteforce kun je vergeten. Dictionary attach en social gedoe vallen onder "slimmigheidjes".

Een bruteforce attack op een 64-bit key duurt in de orde van miljoenen jaren. Kun je "jaren" van maken als je miljoenen machines gebruikt (botnet).

Een 128 bit key raden is zoiets als een atoom raden in ons zonnestelsel. (Is het deze? nee? Die dan? nee? ...)
Als je voor veiligheid wil gaan dan is een wachtwoord bij een ander neerleggen naast het in je hoofd hebben nooit een verstandig idee.
Waar, alhoewel Apple het wachtwoord bij FileVault2 niet in plain-text heeft. De antwoorden op de drie geheime vragen worden gebruikt om het wachtwoord te crypten. Die gecrypte string wordt vervolgens bij Apple opgeslagen. Weet je het antwoord op die vragen niet meer, dan kan je wachtwoord niet meer worden teruggehaald.
Ik werk zelf ook bij een helpdesk, en ik kan je vertellen dat een hoop mensen die geheime vragen niet meer weten als het zover is dat ze het wachtwoord niet meer weten. Dat zou de klantervaring dus niet ten goede komen, en voor zover ik weet is dat net een selling point van Apple.

Enige manier bij ons om het dan gereset te krijgen is een bepaalde code per post thuisgestuurd te krijgen waarmee vervolgens een nieuw wachtwoord ingesteld kan worden.

Verschil is natuurlijk wel dat in mijn geval de mensen fysiek een aansluiting op een adres hebben.
Ik vind het al erg vreemd als je encryption toepast, maar wel de sleutel aan een onbekende derde partij geeft... Social engineering + support = drama. Waarom niet gewoon persoonlijk moeten identificeren bij een apple store met je paspoort oid?
Wat ik niet snap is dat een verstokt Apple gebruiker, en kennelijk ook nog iemand die er regelmatig over schrijft, géén enkele vorm van back-up heeft behalve iCloud. Voor de iPhone en iPad is het begrijpelijk maar voor de MacBook had hij op z'n minst Time Machine in kunnen stellen of via Amazon S3 back-ups kunnen maken. Dit is toch iets waar Apple zoveel aandacht op heeft gevestigd en tóch doen dit soort gasten het niet.

Ook deze actie geeft aan dat clouddiensten lang niet altijd zo goed zijn als dat ze doen vermoeden. Ik begrijp dat alles valt te kraken en toegang toe is te krijgen, zelfs door een helpdesk om te tuin te leiden. Maar dat hierdoor al je apparaten "zomaar" te wipen zijn is wel erg knullig. Ook hiervan snap ik dat het een dienst is binnen iCloud.

Wat ik wel erg knullig vind is dat iemand z'n wachtwoorden voor andere accounts kennelijk ongecodeerd opslaat waardoor iemand op deze manier via allerlei wegen foutieve info kan plaatsen op het net onder iemand anders z'n naam.

Daarbij had de moeilijkheid van het wachtwoord geen invloed op deze actie, de hacker had toch wel toegang gekregen op deze manier. Op het moment dat het met brute force geprobeerd was zou het een ander verhaal zijn geweest.

Al met al best klote voor deze gebruiker.
Wat ik niet snap is dat een verstokt Apple gebruiker, en kennelijk ook nog iemand die er regelmatig over schrijft, géén enkele vorm van back-up heeft behalve iCloud. Voor de iPhone en iPad is het begrijpelijk maar voor de MacBook had hij op z'n minst Time Machine in kunnen stellen of via Amazon S3 back-ups kunnen maken. Dit is toch iets waar Apple zoveel aandacht op heeft gevestigd en tóch doen dit soort gasten het niet.
Er zijn zoveel mensen die geen backups maken. Zelfs hier op tweakers lees je mensen die denken dat een raid-setup of een dropbox-account als backup kan dienen.

Daarom bestaan de worldbackupday

Thing is... er zijn tal van goede backup mogelijkheden, maar het vereist wel eigen handelen. En zolang men zelf geen schade hebt ondervonden of zolang men denkt dat men veilig bent of zolang men denkt dat het niet nodig is, men zelf geen actie zal ondernemen.
Eigenlijk net zoiets als een UPS kopen voor je server, of een bliksemstop van 4 euro gebruiken om je gadgets van duizende euro's te beschermen....
is het niet dat diensten als iCloud ook voor een soort van backup zorgen? Of moet iedereen al zijn gegevens maar bij minstens 3 online opslag diensten opslaan?

En ter info als jij de info op iCloud en lokaal hebt opgeslagen dan telt iCloud wel degelijk als backup van jouw lokale gegevens. Dat Apple niet goed met security omgaat, tja dat is een wel bekend feit. En elke online backup dienst kan gehackt worden. En een backup op usbstick of externe harde schijf kan gestolen worden.

Ik neem aan dat jij jouw belangrijke data op minimaal 10 plaatsen hebt staan? Want stel je data wordt op een van de plaatsen gewist dan ben je het tenminste niet kwijt. Zodra je zelf geen actie onderneemt hebt je geen goede backup je zegt het zelf. Waarschijnlijk heb je ook een externe harde schijf bij de bank in de kluis liggen ofniet?

Je moet het ook in perspectief bekijken, hoe belangrijk is jouw data daadwerkelijk. Als normale PC gebruiker is het geen ramp als een deel van je data verdwijnt. Het is hooguit jammer. In een bedrijf kan het een hoop geld kosten.

Ik heb mijn echt belangrijke documenten opgeslagen op een usbstick en op mijn VPS zodat ik ze ook online kan benaderen. Maar complete backups van mijn systeem zijn echt niet nodig hoor. Al mijn muziek kwijt, jammer dan en opnieuw downloaden maar... de muziek waar ik het meeste naar luister heb ik toch op CD.
Nee, iCloud wordt alleen gebruikt als backup voor iDevices, in de zin van dat jouw instellingen worden opgeslagen en evt bestanden welke in apps worden gemaakt.
Bestanden die via een andere weg opgehaald/gesynched kunnen worden, worden NIET gebackupped.
Dit zijn bv muziek, foto's die op je workstation staan, apps.

Muziek, foto's e.d. worden namelijk weer binnengetrokken bij een restore/sync. Apps worden weer van Apple gedownload etc.


En ja, mijn belangrijke data staat op meerdere plaatsen.
In dropbox heb ik een truecrypt-container waar belangrijke data in staat, deze wordt dus gesynched met alle andere dropbox-machines.
Op mijn workstation heb ik een cloudstation-bestand welke mijn werkdata synct richting mijn nas welke op een encrypted "partitie" zit.
Mijn nas wordt gebackupped met crashplan naar crashplan central EN naar een nas welke bij mijn ouders zit EN een grote USB-HDD.

Omdat crashplan's backups encrypted opgeslagen worden, zullen deze belangrijke data na verlies van de USB-HDD ook niet zomaar ingezien worden.
Maar dan zit je weer met de kwestie hoe belangrijk zijn je muziek en foto's? Voor mij zijn die niet zo heel belangrijk en die neem ik dan ook niet mee in een backup.

Het enige waar ik een backup van maak dat zijn belangrijke documenten (verzekerings documenten ed) en soms config bestandjes voor programma's die lastig in te stellen zijn en wat bij een nieuwe installatie teveel tijd kost. Hiervoor hoef ik echt niet op 5 plaatsen een back-up te gaan neerzetten, al die documenten zijn ook wel weer op te vragen (meestal) en tja mochten de config bestanden weg zijn dan kost het opnieuw installeren wat langer maar ook geen ramp. En encryptie heb ik zelfs op mijn simpele usbstick van een paar euro.

Bij jouw manier van backuppen ga ik er meteen van uit dat je data ook je inkomsten (of extreme hobby) zijn anders is het zeer overbodig wat je doet. De meeste mensen hebben gewoon heel weinig belangrijke data op de PC/laptop staan. En hebben ze het al dan is het vaak in de email opgeslagen (ook soort van simpele backup).
Het is vaak belangrijker om van je papieren documenten een backup te maken dan van je digitale ;)
Nee, mijn echte belangrijke data is misschien iets van 100MB samen (en daar zitten de digitale backups van mijn papieren documenten bij. Digitaal is namelijk makkelijker bewaren dan papier)

Maar het mooie van een goede backup-plan/programma, is dat je er geen moeite voor hoeft te doen.
Set and forget en al die marketing leuzen.

Het maakt dus niet uit of ik 150MB backup, of 1,5TB. En dat is dus wat ik gedaan heb. Ik heb mijn backups in stappen gedaan, eerst mijn belangrijke data, daarna de minder belangrijke.
Heeft me een paar maanden gekost om alles up te loaden, maar ze staan nu safe. En ik hoef er ook niet meer naar om te kijken, want alles wat nieuw binnenkomt, wordt automatisch gebackupped.
Maar het mooie van een goede backup-plan/programma, is dat je er geen moeite voor hoeft te doen.
Set and forget en al die marketing leuzen.
Set & forget is anders een flink risico. Zodra je erop gaat vertrouwen en niet af en toe controleert of het nog wel goed backupt, heb je mogelijk schijnveiligheid omdat door wat voor knullig foutje dan ook ineens blijkt dat er maandenlang al geen goede backup meer gemaakt wordt. Of misschien maak je al maanden backups van corrupte bestanden.
Het maakt dus niet uit of ik 150MB backup, of 1,5TB. En dat is dus wat ik gedaan heb. Ik heb mijn backups in stappen gedaan, eerst mijn belangrijke data, daarna de minder belangrijke.
Heeft me een paar maanden gekost om alles up te loaden, maar ze staan nu safe. En ik hoef er ook niet meer naar om te kijken, want alles wat nieuw binnenkomt, wordt automatisch gebackupped.
Daarnaast is het maar net wat je belangrijk vindt. Ik vind mijn foto's wel erg belangrijk. Het zijn herinneringen aan vakanties, aan personen die wellicht niet meer leven, bijzondere gelegenheden...

Ik kreeg als verkoper bij de MediaMarkt altijd de kriebels als mensen de foto's van hun huwelijk gingen backuppen op CD. Ik heb ze altijd uitgelegd dat een CD niet eeuwig is, dat ze de negatieven goed moeten bewaren in een brandvrije kluis o.i.d., maar dat ze niet moeten vertrouwen op een cd'tje. Ze stonden me altijd stom aan te kijken, omdat iedereen ze had verteld dat een cd nooit vergaat.

[Reactie gewijzigd door Grrrrrene op 6 augustus 2012 13:29]

Wat ik wel erg knullig vind is dat iemand z'n wachtwoorden voor andere accounts kennelijk ongecodeerd opslaat waardoor iemand op deze manier via allerlei wegen foutieve info kan plaatsen op het net onder iemand anders z'n naam.
dat is niet de situatie. de situatie was dat alle andere services (gmail, twitter) het iCloud account als 'fallback' hadden. Daar werd dus de password reset naartoe gestuurd als dat linkje werd aangeklikt. Aangezien dat mailtje dus bij de hacker binnenkwam, kon die er eenvoudig misbruik van maken.
Gmail promoot sinds enige tijd actief je telefoon als fallback positie voor het resetten van mail access. Lijkt me een veiligere optie omdat je die nog steeds fysiek moet bezitten, (ge-wiped of niet).
Een telefoon is meestal makkelijker te stelen dan een wachtwoord..
Als jouw telefoon gejat wordt heb je dat meteen door. Als je wachtwoord ontfutseld wordt merk je daar niks van. Dat lijkt me nogal een essentieel verschil. En bij het jatten van een telefoon loop je een groot risico betrapt te worden, bij het proberen illegale toegang te krijgen met social engineering loop je heel weinig risico.
Ik hoef je telefoon toch niet te jatten? Alleen te lenen, social engineering. Ook kan ik je provider bellen om adres te veranderen, een duo simkaart aan te vragen, adres weer terug veranderen. Duo simkaart in een telefoon te stoppen en om een sms verificatie te vragen. Jij weet van niks. Met social engineering kun je hele data centra hacken. Maar je moet wel, net als bij gewoon hacken je sporen wissen. Maar omdat je vaak met mensen te maken hebt, zijn die makkelijker voor de gek te houden. Een echte beveiligingsexpert moet nee kunnen zeggen tegen een mooie blonde dame. Of het James Bond spelletje willen spelen waar je ze altijd voldoende stappen voorblijft.
Maar niet iedereen van de oudere garde gebruikers gebruikt dat. En het is ook geen verplichte zaak bij het aanmaken van een nieuw account, geloof ik.
Het is ook allemaal niet zo moeilijk. Als ik de Xbox Live support bel en ik weet iemands email, gamertag,naam en geboortedatum dan zou ik in principe ook al veel kwaad kunnen doen. Het is een kwestie van goed kunnen lullen en eerlijk overkomen.

Maar laat dit een les zijn voor Apple en alle andere grote jongens.
Alleen is er op de xbox live niet zoveel gekoppeld denk ik. Zijn probleem was dat z'n icloud en dus apple-id de centrale hub is. Het werd dus ook gebruikt als recovery email.

De "hacker" kon gewoon de wachtwoorden van alle services (gmail, twitter, etc) opnieuw aanvragen en er komt mooi een password-reset mailtje op z'n apple id.

Maar datzelfde probleem zal voor mij gelden als mijn google-account wordt gehacked...
Nee, het was de gmail waarop alle password recoveries enzo zaten. Maar de icloud mail was de secondary mail van de gmail, waardoor de gmail overgenomen kon worden.
Had hij two-factor aanstaan op zijn gmail?
Want dan krijg je een sms als er vanaf een andere pc ingelogt wordt.

Of kun je via iCloud ook de sms berichten van de iPhone inlezen. Want dan begint het echt creepy te worden met TAN codes en zo.
Hij zegt in zijn verhaal expliciet dat hij niet two-factor gebruikte.

En nee, gewone Messages worden (iig in iOS 5) niet via iCloud gesynct, en zelfs in iOS 6 zijn het volgens mij alleen de iMessages (zegmaar Apple's eigen variant op Whatsapp).

[Reactie gewijzigd door Jasper Janssen op 6 augustus 2012 09:53]

two-factor werkt alleen best klote voor mobiele apps. Moet je voor elke app die geen 2-factor aankan een aparte "auth"-password aanmaken...
't Is maar net hoeveel waarde je hecht aan je beveiliging. Nu gebruik ik slechts een im-dienst die ook toegang heeft tot mijn e-mail, dus dan hoef ik maar één wachtwoord te genereren. Dat is allemaal eenmalig bij de eerste toegang, maar als jij dat te veel moeite vindt...
Dat valt best tegen denk ik, je live account koppelt aan mail (hotmail/outlook/live), Skydrive (bestanden opslag) en Windows Phone purchases bijvoorbeeld...
Juist. Aan de andere kant wordt het wel erg vervelend voor de eindgebruiker als alles nog verder dichtgetimmerd gaat worden om dit soort 'geintjes' van mensen.
Straks moet je een kopie van je ID bewijs oid opsturen als je je wachtwoord vergeten bent.
Het ging in dit geval om een wired redacteur. Die had natuurlijk snel al zijn accounts terug. Bij een gemiddeld persoon is dat wel even wat moeilijker nog.
Dacht ik ook, spreekt men over mails naar Cook ed. 8)7
Nuja, als het bij een gemiddeld persoon was geweest had het waarschijnlijk zelfs niet nieuwswaardig geweest.

Zeer slordig van de betrokken partijen dat zoiets kan gebeuren.
En ben ik de enige die problemen heeft met de zin: "I did, however, get an urgent call from AppleCare ten minutes after emailing Mr. Cook, informing me that my situation had been escalated and there is now only one person at Apple who can make changes to my account."

hoe werkt dit dan? Hebben ze steeds die 1 persoon nodig als hij iets nodig heeft?
Handig. En wat gaat er gedaan worden aan het "gat", het probleem in de eerste plaats?
Ik vermoed dat dit een tijdelijke maatregel is om te voorkomen dat er nog meer grappen uitgehaald worden met zijn account. Hij staat immers flink in de spotlights, en het laatste dat Apple nu kan gebruiken is dat de accounts een tweede keer gewist worden op deze manier. Eén persoon aanwijzen als case manager is nu de beste tactiek, die weet van de hoed en de rand. Wat er gaat gebeuren met het beveiligingslek horen we waarschijnlijk in het Wired-artikel dat Mat beloofde in het bronartikel.
Ik heb altijd respect voor de kunst van social enginering.
ik deed het zelf ook wel eens paar jaar terug en het is altijd leuk/spannend of het gaat lukken
en vaak lukte het wel
Respect voor social engineering is een ding, maar je kunsten dan gebruiken om iemand z'n devices te remote wipen, al z'n accounts te passwordresetten, en vervolgens die accounts gebruiken om te spammen, dat is absoluut niet prijzenswaardig.
Vrouwen versieren noemt men niet social engineering.
Zo zijn er heel veel bedrijven die heel veel geld in beveiliging stoppen, waar de fysieke achterdeur wagenwijd openstaat.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True