Nettkultur & Software

The Fappening: Hvordan hackere fikk tilgang til kjendisenes private bilder

I helgen ble hundrevis av intime bilder av kjente Hollywood-kjendiser lekket på nettet. Hvordan er det mulig å gjennomføre et så stort angrep?

Forrige søndag ble hundrevis av private bilder fra kjente Hollywood-stjerner lekket på nettet. Det er fortsatt uvisst hvem som står bak angrepet, men det er flere antagelser om hvordan det ble gjennomført.

De fleste antagelsene tilsier at bildene er hentet fra ofrenes iCloud-kontoer. iCloud er Apples skytjeneste for sømløs lagring og synkronisering av innhold på tvers av enheter. I all hovedsak betyr dette at iCloud gjør dine kontakter, meldinger og bilder tilgjengelig når og hvor som helst. Om du skulle være så uheldig å miste telefonen, kan du enkelt gjenopprette en kopi av alt innholdet på en ny dings, fra skyen.

Dette høres helt supert ut, frem til du ser på sikkerhetsaspektet: Ved å skaffe seg tilgang til din iCloud-konto, får en hacker i praksis tilgang alle dine private data.

Og det er akkurat dette scenarioet som spilte seg ut for flere titalls profilerte kjendiser i helga. Hendelsen, som på internetslang har fått navnet «The Fappening», er benevnelsen på en lekkasje av hundrevis av private kjendisbilder på nettet.

Men hvordan har noen fått tilgang til så mange kontoer? Svaret er skremmende enkelt.

Dårlig kontosikkerhet

iCloud-tjenesten er direkte koblet til en Apple-konto, som vanligvis sikres av et brukernavn (din epostadresse) og et passord.

Apple har i det siste åpnet for multi-faktor autentisering, som gjør at du får tilsendt en engangskode hver gang du logger inn. Problemet er at de færreste har dette aktivert på sine kontoer.

Les dette: NRKbeta om passordsikkerhet

Hackerne bak The Fappening har antagligvis utnyttet dette: Kjendisene som ble utsatt for hackingen, har etter all sannsynlighet ikke aktivert multi-faktor autentisering. På grunn av dette har hackerne har klart å tippe seg frem til passordene, enten ved at passordene var svært enkle, eller ved hjelp av spesialiserte programmer.

Bruker programmer ment for politiet

På et av de mest populære bildedelingsnettsidene diskuteres det ofte metoder. På forumet til en av disse nettsidene er det flere som lurer på hvordan man kan gjennomføre denne typen angrep.

forumpost

I lange utgreiinger forklarer anonyme «script-kiddies» hvilke applikasjoner som skal brukes til de ulike delene av operasjonen. Gjenopprettingsprogrammet som står for selve uthentingen av bildene, er laget for bruk i politi- og forskningssammenheng.

Dette programmet, som produseres av et russisk firma, lar deg hente hele sikkerhetskopier av en Apple-enhet fra selskapets iCloud-konto, så lenge du har kontoens brukernavn og passord. Dette gjør at programmet i utgangspunktet er ganske harmløst: Du må ha tilgang til den aktuelle iCloud-kontoen for å benytte deg av det.

Det russiske programmet lar deg laste ned og inspisere sikkerhetskopier fra iCloud.
Det russiske programmet lar deg laste ned og inspisere sikkerhetskopier fra iCloud.

Men en svakhet i Apples sikkerhetsregime gjør det mulig å tippe på en iCloud-kontos passord utallige ganger i minuttet. I praksis spør programmet Apples iCloud-tjeneste om en brukernavn/passord-kombinasjon er korrekt, og Apples servere svarer ja eller nei. Om passordet er svakt nok, kan hackeren med denne metoden enkelt få tilgang til kontoen.

I forrige uke la et sikkerhetsfirma ut et program på GitHub. Programmet demonstrerer hvor enkelt det er å gjennomføre dette passordangrepet mot Apples iCloud-tjeneste.

Kombinasjonen av det russiske gjenopprettingsprogrammet og sikkerhetsfirmaets kodebrekkingsprogram, gjør det svært enkelt for noen med elementær programmeringskunnskap å gjennomføre et lignende angrep. Det er ikke bevist at det aktuelle kodebrekkingsprogrammet er brukt her, men den teoretiske fremgangsmåten er lik.

I mange tilfeller trenger det ikke engang å være så avansert. Verdens to mest brukte passord er fortsatt 123456 og password.

Les saken: De verste passordene

Oppdatering, 3. september 16:20: Apple skriver i en pressemelding at kodeknekkingsprogrammet ikke er involvert i skandalen. Ifølge Apple har de som er omfattet av lekkasjen vært utsatt for et spesifikt angrep.

Også utbredt i Norge

Selv om The Fappening har ført til store oppslag, er det viktig å påpeke at dette ikke er et nytt fenomen. Hacking av skytjenester har vært et tema i en årrekke, og det finnes nok av skandaler å ta av.

Senest i fjor sommer avslørte VG Helg at Unge Høyre-politikeren Tor Johannes Helleland hadde hacket flere unge jenters iCloud-kontoer. Bildene la han ut på et populært bildedelingsnettsted.

På et av de mest populære nettstedene for deling av private bilder, finnes det en helt egen seksjon for norske angrep.

Den norske seksjonen inneholder hundrevis av private bilder av nordmenn. Mange av bildene er stjelt fra Snapchat.
Den norske seksjonen inneholder hundrevis av private bilder av nordmenn. Mange av bildene er stjelt fra Snapchat.

Seksjonen, som inneholder tusenvis av tråder, er fylt av forespørsler om bilder. De fleste forespørslene er geografisk orienterte, for eksempel «Er det noen som har bilder av jenter fra Grimstad?». De færreste trådene står ubesvart.

Slik sikrer du deg

Å sikre seg mot denne typen angrep, er heldigvis ganske enkelt. Ved å skru på multi-faktor autentisering på alle dine tjenester som støtter det, blir det vanskeligere å komme seg inn på kontoen din.

Multi-faktor autentisering baserer seg i stor grad på samme teknologi som nettbanken din: Hver gang du logger inn, må du skrive inn en engangskode. Engangskoden får du tilgang til på mobil eller epost.

TwoIsOneOneIsNone-900x396
Les dette for å sikre deg: Two is One. One is None – Slik sikrer du deg enkelt på nett

Et annet godt råd er å skru på kryptering av backupene. Sørg da for å bruke et passord som du husker, men som også er veldig kraftig. Glemmer du passordet, er dataene dine tapt for alltid. Men det sørger også for at en ondsinnet hacker ikke har nubbesjans til å få tilgang til informasjonen din. Og passordet kan du skrive ned på en lapp.

Har du noen gode råd og tips til hvordan man sikrer seg? Fortell oss om det i kommentarfeltet!

22 kommentarer

  1. Apple har den beste sikkerhet, sa de, Apple har ikke virus sa de, dette ville aldri hende sa de, humre humre humre…..

    Skyen meg mitt i bakhue, håper Apple blir saksøkt opp i skyene, og at folk flest lærer å ikke stole på Apple.

    Svar på denne kommentaren

    • Himmel Ganger II (svar til Himmel Ganger)

      Dette har ingenting med Apple å gjere, velger du eit passord som «123456» eller «password123» må du ikkje bli veldig overraska når det viser seg at folk faktisk kan gjette seg til det. Det som har skjedd her er klassisk «brute-forcing», eit par «script-kiddies» har kjørt program/scripts (som dei aldri kunne skrivd sjølv) som gjentatte ganger prøver å logge seg på, ved å bruke passord som er populære.

      PS: eg er ingen Apple fanboy

      Svar på denne kommentaren

      • Himmel Ganger (svar til Himmel Ganger II)

        Absolutt enig det du sier ang. passord osv, hjelper ikke mye at mange folk der ute går med hue i skyene både billedlig bokstavelig talt. Problemet jeg peker på, er jo at mytene om Apples lever jo i beste velgående hos mange der ute, de tror de ikke kan bli rammet osv. Jeg innrømmer at jeg fryder med en del over at det er Apple som blir rammet, pga jeg ikke liker dems produkter, men jeg synes kritikk er på sin plass. Mye av problemet ligger jo i at mange av skytjeneste leverandørene ikke påkrever bruk av gode passord(rutiner), ei eller bruk av kryptert oppkobling til skyen.

        Svar på denne kommentaren

      • Jeg synes pressemeldingen til Apple er ganske vag «None of the cases we have investigated has resulted from any breach in any of Apple’s systems(…)» – det er jo ikke opplagt at de mener en mulighet til å få bruteforce for mange passord er en «breach», så lenge man ikke har kommet seg inn på kontoen uten det korrekte passordet, Kommunikasjonsavdelinger har god trening i bruk av vage definisjoner.

        Når det er sagt, kan det jo hende at samtlige er resultat av for dårlige sikkerhetsspørsmål som har muliggjort resetting av passord, men at samtlige skal ha hatt både dårlige sikkerhetsspørsmål OG en kompromittert epostkonto som alternate adress virker jo også litt rart. Et minstemål av IT-sikkerhet burde være et krav som en del av medietreningen de fleste av disse kjendisene garantert har fått. Men slik er det vel dessverre ikke.

        Svar på denne kommentaren

  2. Det beste tipset for å unngå at andre ser nakenbilder av deg, er å la være å legge de ut på internett. Selv om du skulle ha gode nok passord, kan alltids en utro tjener i enten Apple eller NSA kikke på bildene.

    Svar på denne kommentaren

  3. Ikke helt korrekt bruk av ordet ‘hacking’, men det er vel sjelden du ser media gjør det, selv om jeg hadde håpet nrkbeta ville benytte de korrekte terminologiene.

    Tipset om kryptering av backupen hjelper lite når informasjonen vil kunne dekrypteres ved kjennskap til din epost og passord, so kjernen til majoriteten av disse sakene.

    Jeg synes egentlig det er ganske synd at det må et høytprofilert tilfelle til før noe skjer.
    Dette har jo foregått siden iCloud først ble opprettet!

    Du skal ikke se bortifra at hvis noen blir dømt for dette, at de vil få en sinnsyk mye høyere straff (se tidligere Rihanna sak) bare fordi det er snakk om kjendiser, i sammenligning med hvis det var snakk om vanlige folk.
    Det er virkelig beklagelig at loven ikke gjelder likt for alle personer, og likt i tilfeller som er sammenlignbare.

    Når alt dette er sagt, så er kjernen i saken ren idioti fra de ‘utsatte’ sin side.
    Bare fordi en mobil HAR et kamera, så betyr det ikke at du MÅ ta bilder som disse.
    Hvis du gjør det, så frasier du deg egentlig all eierskap til bildene siden du benytter deg av tjenester som iCloud.
    Du burde aldri bli overrasket over at slike bilder dukker opp etter hvert hvis du benytter sky-tjenester eller snapchat.

    For å sikre deg for at slikt ikke skal skje med deg er det veldig få grep du trenger å gjøre.
    i. Aldri bruk mobil til å ta slike bilder. Hvis du absolutt må, så bruk et dedikert kamera.
    ii. Uansett hva, aldri send slike bilder over epost, eller til sky-tjenester.

    (Det som var mest morro med denne saken var personen som påstod at bildene var blitt slettet for flere år siden.
    Vel… iCloud er en backup-tjeneste, noe som betyr at hvis du sletter noe på mobilen din så har du fortsatt en backup i skyen tilgjengelig…)

    [I bunn og grunn så synes jeg denne saken inneholder mye overreagering,
    og det at hver eneste media-outlet MÅ skrive om det gjør saken bare mer til en trend enn noe annet.
    Det at alle skriver om det, gjør at flere vil oppsøke saken, og den blir blåst opp til proporsjoner den i seg selv aldri ville klart å oppnå.]

    Svar på denne kommentaren

  4. Kjendiser er nyttige idioter for sex- og moteindustrien.
    De betyr ingenting for verdens framgang. Snarere det motsatte.
    At nakenbilder av kjendiser dukker opp stadig vekk er ofte egne stunts for å få enda mer oppmerksomhet.
    At dette er tema i all verdens presse er meg en gåte.
    Man kan jo lure på hvilket behov folk har når de tar nakenbilder av seg selv og legger ut på nettet. Men det er jo bevist at IQ-nivået er nedadgående.

    Svar på denne kommentaren

  5. Apple entusiaster vil hevde at Apples sikkerhet er god nok, det er brukerne som ikke er tilstrekkelig gode til å velge passord, men det er feilspor. Apple har alltid tatt valg mellom brukervennlighet og sikkerhet, og da har sikkerhet tapt. Apple har sikkert meget god sikkerhet om alt aktiveres, men default (les: standard) sikkerheten til Apple er elendig for å ikke gå på bekostning av brukervennligheten. Og lets face it: Apple-brukere er ikke de vasseste på teknologi… Derfor er Apples enheter mer utsatt for hacking mv. enn andre enheter.

    Alle – uansett plattform – bør aktivere 2-trinns-verifikasjon. Dette bør være default fra Apple, spesielt når de har så dårlig sikkerhet på passord-gjenoppretting (har selv hacket meg inn på iCloud til venner for å vise hvor dårlig sikkerheten er). Her er hvordan du setter opp 2-trinnsverifikasjon: http://digidag.blogspot.no/2014/09/ikke-bli-den-neste-som-blir-hacket.html.

    For øvrig en meget god artikkel av NRKbeta.

    Svar på denne kommentaren

  6. Haha, ‘fap’ er en eufemisme (strengt tatt et onomatopoetikon, men hvem bryr seg) for å onanere. Synes bare det var litt spesielt å bruke det som overskrift, selv om reddit-brukere har valgt å kalle det det.

    Svar på denne kommentaren

  7. Et viktig aspekt av hele fadesen er ikke bare dårlig passord, men det faktum at Apple ikke hadde implementert beskyttelse i mot brute-force angrep. Dette fikset de nå ifb. med lekkasjene. Det er normalt å sperre brukere ute hvis de forsøker feil passord mer enn x antall ganger. Dette hadde de glemt å implementere i FindMyIphone API’ET. Det er dette «hullet» som ble utnyttet. Man kunne da knekke passordene.

    Svar på denne kommentaren

  8. Håvard Krogstie

    Så vidt jeg vet skal apple bruke den samme påloggingen for Apple Pay, en tjeneste som tar vare på kreditkortinfo så du slipper å skrive det inn hver gang du betaler med en iPhone. Jeg kan ta feil, men dersom jeg ikke gjør det, er dette i det hele tatt trygt? Vi ser jo at massevis av info fra iCloud blir stjålet, så hvorfor skal man ha lyst til å gi kredittkortet sitt til Apple?

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *