Així es va produir l’atac a iCloud

Compartir

Un dia abans de la filtració, uns hackers donaven una conferència a la Defcon Russia explicant detalls de la seguretat d’iCloud i iOS 7.

Probablement sense relació directa i, si així fos, tampoc seria culpa nostra si no de les vostres contrasenyes, que són febles” així es podria resumir el contingut de la nota explicativa que el hacker @hackappcom ha publicat al seu blog en relació a la conferència que ell i @abelenko van fer el dissabte a l’esdeveniment sobre seguretat informàtica i hacking Defcon Russia, i la qual parlava sobre seguretat tant a iCloud com a l’iOS.

Durant aquesta ponència, ambdós hackers van desgranar detalls sobre com està organitzada la seguretat d’iCloud i, més concretament, el tractament de les contrassenyes dels usuaris i les possibilitats que això ofereix a un atacant. Van localitzar diferents punts febles de la seguretat de la companyia de Cupertino com, per exemple, que la contrassenya s’envia a diversos llocs on es desa, com ara a l’iPhone. Aconseguint la contrassenya d’un d’aquests llocs, i per un atac dels que s’anomenen “de força bruta”, es pot arribar a desencriptar la contrassenya de l’usuari.

Per arribar a aquest punt, però, s’ha de fer servir el que s’anomena un diccionari, una eina que no és més que un fitxer carregat de paraules, combinacions d’aquestes i de lletres i números, conjunts de caràcters que els usuaris poden fer servir habitualment, com ara noms propis, noms combinats amb dates, etc.

Tot i els consells més bàsics sobre seguretat informàtica que diuen que no es facin servir paraules amb sentit en una contrasenya, que es combinin lletres i números, i majúscules i minúscules, molts internautes encara fan cas omís a aquests consells.

Va ser durant la mateixa conferència que els hackers abans esmentats van presentar l’iBrute, una eina que constitueix una prova de concepte sobre com realitzar aquest atac contra un compte d’Apple.

Això és precisament el que ha portat a la massiva filtració d’aquest cap de setmana, la feblesa de les contrassenyes emprades per les ‘celebrities’ afectades. Malgrat que alguns apunten a Apple com la culpable per una suposada manca de seguretat, si fem cas de les conclusions a les que han arribat @hackappcom i @abelenko, la culpa hauria d’estar repartida: a la companyia de Cupertino una part per certes febleses en la seguretat del seu sistema, i a les usuàries més directament afectades per haver incomplert les normes més bàsiques sobre seguretat en les seves contrassenyes, malgrat que aquestes podrien tenir la disculpa de desconèixer tals normes.

A l’article publicat al lloc web de la Defcon Russia s’hi exonera ambdós hackers de qualsevol responsabilitat sobre l’atac, adduint que és impossible preparar un hack tan massiu basant-se en la informació que ells van donar a la conferència en tan poc temps (amb prou feines un dia), i tornant un cop més a l’argument de la feblesa de les contrassenyes.

Per la seva banda, Apple no ha emès cap nota oficial al respecte, malgrat que alguns mitjans han esmentat a fonts properes a la companyia per afirmar que aquesta està col·laborant amb l’FBI en la investigació.

També s’ha informat que la companyia de la poma ha corregit la fallada.

Guillem Alsina
Etiquetes: