Ondrej Holzman Na začiatku septembra riešil Apple veľmi nepríjemný problém s únikom chúlostivých fotografií z iCloud účtov známych celebrít. Nebola síce prelomená služba ako taká, lenže Apple sa býval mohol vyvarovať aj zraniteľnosti v podobe možnosti zadávať heslo nekonečnekrát. Stačilo počúvať londýnskeho bezpečnostného experta Ibrahima Balica.
Londýnsky bezpečnostný výskumník Balic Apple informoval o potenciálnom probléme dávno predtým, než hackeri slabinu v iCloude skutočne využili. Balič podľa The Daily Dot Apple informoval už v marci a vo svojom e-maile bezpečnostný problém presne popísal.
V e-maile z 26. marca Balic zamestnanci Applu napísal:
Našiel som nový problém týkajúci sa Apple účtov. Použitím útoku hrubou silou (brute force attack) môžem viac ako dvadsaťtisíckrát skúšať zadávať heslá na ľubovoľnom účte. Myslím si, že by tu malo byť použité obmedzenie. Prikladám odtlačok obrazovky. Rovnaký problém som objavil u Googlu a získal od nich odpoveď.
Práve nekonečným zadávaním hesiel, vďaka čomu nakoniec hackeri na heslá známych osobností prišli, sa zrejme do iCloud účtov nabúrali. Zamestnanec Applu Balicovi odpovedal, že informáciu berie na vedomie a ďakuje za ňu. Balic vedľa e-mailu problém nahlásil aj cez špeciálnu stránku určenú na reportovanie chýb.
Apple nakoniec reagoval až v máji, Balicovi napísal: „Na základe informácií, ktoré ste poskytli, sa zdá, že by zabralo neobyčajne veľa času nájsť pre účet funkčný overovací token. Veríte, že poznáte metódu, ktorá by dokázala zaistiť prístup k účtu v rozumnom čase?“
Bezpečnostný technik Applu Brandon očividne nebral Balicov nález ako veľkú hrozbu. „Verím, že ten problém úplne nevyriešili. Neustále mi hovorili, nech im ukážem viac,“ uviedol Balic.
Zaujímavé, že po prelomení to šlo opraviť raz dva.
Jednoducho sú v Apple namyslený ľudia, ktorí si myslia, že sú niečo viac ako ostatní.
Tak predovšetkým je blbý ten, kto si dá heslo 12345. Ja by som to nedemonizoval. Apple teraz po n-tom zadaní zlého hesla účet zablokuje, čím si ale zase hovorí o vyDOSovaní.
Nie je to tak dlho, čo istá banka (myslím zo FIO) mala podobný problém. Prihlasovacie mená klientov boli čísla idúce pekne po sebe, a po treťom zadaní hesla sa účet zablokoval a klient musel pre reset do banky. No a čo sa nestalo? Niekto jednoducho prešiel tie čísla a všetkým ten účet zablokoval.
Niečo podobné sa môže stať aj applu. Niekto prejde veľa úcty a zablokuje ich. Teda, ako veľmi otravne je resetovanie iCloud hesla?
IMO je toto vlastnosť, ktorá má chrániť hlupákov, ostatní to len otravuje.
Podľa mňa sú tu 2 rozumné riešenia:
1. užívateľom nepovoliť používať jednoduché heslá a ponechať nekonečné množstvo pokusov pri zadaní.
2. po xtom zadaní zlého hesla uzivatelovi ponúknuť bud autorizáciu pomocou mobilného tel., mailu, reset icloud hesla ALEBO vyckanie x hodín do ďalšieho pokusu as tým spojené upozornenie užívateľa a Apple na niekolko zle zadaných hesiel.
Rozhodne nebolo správne nechať všetko byť, užívateľom povoliť jednoduché heslá a umožniť nekonečné množstvo pokusov ich zadať. Je jasné, že si za to môžu ľudia sami, ale firma musí počítať s tým, že ľudia sú hlúpy.
Zabezpečenie bolo naozaj na veľmi zlej úrovni. Rovnako ako sa musí chrániť pred hackermi, pretože vždy niekto môže utopiť, musí chrániť aj pred hlúpymi užívateľmi, pretože ti budú tiež vždy.
Napríklad to druhé riešenie by viedlo k tomu, že ak by niekto skúšal heslá a blokoval tým účty, prestali by postihnutým používateľom fungovať ich služby. Žiadna synchronizácia s iCloudom. Myslíte, že to je lepšie? Pri takto veľkých systémoch prakticky neexistuje dokonalé riešenie, skôr len to najmenej problematické.
Apple má nosánik hore a ide mu už len o iMoney.
Teraz pre zmenu kaslou na opravu basha.
keby sa Jobs mal možnosť vrátiť na svet, tak prvé čo by urobil je to že by minimálne polovicu vedenia v apple vyhodil, tam by asi fakt v tom vedení nezostal vôbec nikto, pretože to čo si tá zbierka v tej firme robí, tak to je uz fakt vrchol,a ako hovorím taky clovek ako bol Jobs tam veľmi chyba :-( uz raz Jobsa za života s Apple vyhodili a dopadlo to fakt zle,a keď sa vratil tak Apple znovu fungoval,ale bohužiaľ teraz sa uz nevratí,tam fakt chyba človekov ktorý nad nimi bude stáť a mlátiť ich po hlavách a kosiť ruky