今天Apple在Find my phone上面的機制錯誤, 因此造成駭客可以使用字典攻擊或是暴力破解去嘗試可能的密碼, 這在設計系統的時候是要極力避免的.. 為了防止這種攻擊方式.. 很多登入系統會在錯誤次數到達門檻值的時候加入人工的辨識機制. 以避免駭客使用程式來測試.
認證系統跟加密系統不同, 認證系統直接將密碼利用MD5之類的演算法Hash過後比對已存的檔案即可.. 因此沒有計算上的問題. 如果是加密系統必須要將測試的密碼輸入解開加密檔案, 然後測試檔案是否可辨識為有意義的資料.. 因此要嘗試錯誤需要較高的計算量... 但是隨著電腦效能的進步, 所需的時間會隨著效能進步的倍數遞減, 由於之前效能的增進是指數型態, 因此所花的時間會大幅減少..
由於Apple的認證沒有避免測試的機制, 導致短的密碼可以經由大量的測試.. 很容易就被測試出來.. 甚至是字典裡面就有可能的單字, 由於人取的密碼通常不具有混亂的性質,因此成功機率很高. Apple這個漏洞在9/1才改掉, 代表在之前就已經有很多人的icloud的帳號密碼可能已經被測試成功,Apple應該趕緊警告用戶更改密碼, 而不是單純宣告 icloud 沒有問題.
一套系統的安全性很難維持, 就像一棟房子, 即使是鋼筋水泥做的, 只要其中一扇窗戶是木頭做的, 我們可以說這棟房子只有木頭的難度. 今天Apple的錯誤就是發生在這裡. 其實系統的安全性稍一不慎就會Crash掉, 以前WEP就是因為可以讓使用者取得足夠的比對封包, 所以很容易就被破解. 今天被散發出來的是名人照片, 但是還有很多使用者其實肯定已經被取得帳號密碼, 只是資料不具有價值所以不被利用.
至於寫程式去Try密碼完全不需要什麼技術, 駭客可以花一個月的時間慢慢測試, 他們有的是時間, 反正是電腦在跑也不是人在跑.. 大流量的測試本來就應該要被抓出來..可是看起來蘋果並沒有去做這件事情..
還有, 今天有幾百萬人在用蘋果, 我們不能假設使用者都會取又臭又長又沒有意義的密碼, 因此要在系統能夠防範的地方加以防範.. 否則光是老一輩的人他們取的密碼肯定很短又好記.. 大部分人的密碼都會是取相同的, 如果駭客在能比對的地方取得密碼, 就能夠侵入這個使用者其他的服務.. 這個漏洞其實當駭客提出來的時候就已經測試可以成功了.. 蘋果還極力否認.. 這就很糟糕了...
moonmoon0728 wrote:
很明顯你沒有具備這方面的知識, one-way hash function是幫你驗證的沒錯, 問題就是在find my phone的這個網頁你輸入帳號及測試的密碼失敗後他並不會擋掉這個ip.也沒有Captcha機制... 所以可以一直試到成功為止..
這只是簡單的對稱式密碼系統.. 麻煩有做過資訊安全再來講好嗎? server怎麼可能幫你反解密碼.. 拿點專業的東西出來吧.. 蘋果特地改掉了這個問題不是嗎??
Find my iPhone這邊是有洞沒錯,但是對於針對性的攻擊在大部份情況並不需要多次嘗試就可以解出來。這次的case比較像是密碼在別的地方被黑掉然後iCloud也用一樣的密碼,這種問題就算改驗證次數錯誤應該也是沒救,因為可能一開始拿到的密碼就是對的。
目前沒有跡象這是無差別性的攻擊,你講有其他人的資料但是沒有利用價值所以沒發布這點並不能被驗證,我個人不大相信這個說法,因為這樣搞server端一定會發現流量異常。如果是針對性的攻擊,那麼要使用find my iPhone的漏洞之前還有一卡車的資料要釐清,在我看來問題出現在更前面的地方的可能性比較大,尤其是Apple ID的密碼有基本的強度要求,所以字典法看起來更不像是個好選擇。
所以如果沒有跡象表明這是無差別的攻擊,那些被黑的人帳號密碼應該都是早就被知道了,不大像是利用find my iPhone的洞跑字典跑出來的。以這個case來看我認為蘋果宣稱對方被搞社交工程的說法還算合理,除非有一狗票無名氏的資料被丟出來,不然我會採信蘋果的講法。
你的說法技術上可行,但是從目前的看到的現象,不像是用這個手法搞的。
moonmoon0728 wrote:
你真的有做過資訊安全...(恕刪)
我講的和你說的是兩件不同的事。我講的是第二階段的「解密」,不是第一階段的「認證」。
關於 iCloud 被駭這件事我主要有兩個疑問,
第一,透過「網路回應」的暴力破解,在現實世界中要花太久的時間。
第二,就算 iCloud 帳號被破解,如何在不驚動原使用者的前提下取得裡面的相片?
如果你用一台未登記的手機,用盜取來的 iCloud 帳號登入,
iCloud 系統會將這台裝置和這個帳號建立新的聯繫(Associate),
藉以在設備端產生金鑰,來解鎖 Message、Photo、Backup 等加密資料。
「理論上」在這個動作過程中,使用者其他的裝置會收到通知,
說有一個新的門號加入 Message 之類。
如果一個兩個人沒注意不稀奇,但是上百人上千人都沒注意,不合理。
這是我一開始的想法。
後來我看到 Wired 上的一篇報導,說有一種警方辦案工具,
若持有 iCloud 帳號密碼,可以在不觸發通知與二階段登入的前提下,
取得備份檔並且解密還原成檔案。
而我追查這個資訊繼續挖下去,發現這個「辦案工具」使用的方法,
就是模擬一台 iDevice,把備份檔抓下來之後,不進行聯繫,而是直接暴力破解。
這不是我發明的說法,是那個工具的說明網頁上自己講的。
當然這只是純粹理論上的推想。
加密檔案暴力破解不代表「很簡單」,
但是對於一個已經存在本地端的檔案,破解需要的時間就是和你的電腦設備運算速度相關,
不再受到網路以及對方伺服器的限制,更不會引發網路管理者的關注。
如果採用 GPU 加速計算、以及一個夠大的計算網格,
在一個相對較短的時間內破解成功,是有可能的。
我相信有能力使用這種方式來犯案的人應該相當稀少;
真的能做到的人應該也不會無聊到跑去地下色情論壇兜售豔照。
但這確實是一種有可能可以做到的手法,
且依據某些地下論壇的活動顯示,這個工具確實有在不該出現的地方流通的跡象。
不過實際上到底有沒有人真的用這種手法來破解?目前未知。
至於短密碼問題,iCloud 密碼要求至少 8 個字元、混用大小寫、且必須混用數字。
這種密碼的複雜度沒有那麼差,光是用猜的要花上很久時間,尤其是透過網路驗證。
但是怕就怕使用者用「懶人」密碼,例如 mobile0123 這種。
而 iBrute 的運作原理基本上就是針對這些「懶人密碼」進行測試,
如果你給他一個夠大的基數以及夠久的時間,
iBrute 有可能幫你從其中找到幾個使用懶人密碼的帳號,就是這樣。
而這種作法到底實不實用?
坦白說,對於會用這種白痴密碼的人,你廣寄個釣魚信出去,
三天後「收割」到的帳號,絕對比用暴力法多更多。這是已經發生過的事實。
而且採用這種方式還有一個好處:受害者在這個過程中會收到一狗票查問通知,
就算有不明裝置和帳號聯繫,大部分人都會因為通知訊息過多而忽略。
事實上,依據媒體轉載 AnonIB 鄉民的說法,社交工程攻擊才是地下社群的「王道」;
甚至還有「教學帖」講如何申請 DNS、如何製造釣魚信網頁、如何猜秘密提問等「教學」。
放著簡單的社交工程不用,捨近求遠跑去用既花時間成果又不確定的暴力破解,
駭客又不是白痴。
如何防範社交攻擊?
如何制定一套有效的 SOP 來應付「真正的」密碼遺失?
如何更加有效利用二階段登入?
我認為這件事遠比什麼暴力破解更加嚴重也更需要認真看待。
至於 48026 年,那是 intel 密碼強度模擬器跑出來的;有意見的話請去向 Intel 反應。
內文搜尋
從 APP 打開
X