Apple niet zonder blaam bij uitlekken naaktfoto's

"Apple niet zonder blaam bij uitlekken naaktfoto’s

Apple veegt zijn straatje schoon met betrekking tot het uitlekken van naaktfoto’s van Amerikaanse beroemdheden. Maar het bedrijf had wel meer kunnen doen om zijn klanten te beschermen.

iCloud is niet gehackt. Eigenlijk is het de schuld van de getroffen beroemdheden zelf, dat hun privéfoto’s nu op straat liggen. Als die sterkere wachtwoorden hadden gebruikt en gebruik hadden gemaakt van two-factor authentication, hadden onverlaten nooit de hand kunnen leggen op hun foto’s. Dat is zo’n beetje de strekking van Apples verweer in de geruchtmakende inbreuk op de privacy van beroemdheden onder zijn klanten.

Apples verweer snijdt in zoverre hout, dat de hackers naar het zich laat aanzien inderdaad toegang tot de accounts van de beroemdheden hebben weten te krijgen doordat ze wachtwoorden wisten te raden, al of niet via de ‘wachtwoord vergeten’-functie.

iCloud onvoldoende beveiligd

Maar het argument dat two-factor authentication ze beschermd zou hebben, is onjuist. Veel iCloud-diensten vereisen het gebruik van two-factor authentication namelijk helemaal niet, ook al heeft de gebruiker aangegeven daar gebruik van te willen maken. Dat gebeurt alleen bij het inloggen op My Apple ID om het Apple-account te beheren, het doen van aankopen bij iTunes, de App Store of de iBookstore vanaf een nieuw apparaat, of het vragen van Apple ID-gerelateerde hulp van Apple.

Maar two-factor authentication wordt niet geactiveerd bij bijvoorbeeld het herstellen van een nieuw apparaat vanaf een back-up in iCloud. Met het programma Phone Password Breaker van Elcomsoft kunnen met een inlognaam en wachtwoord back-ups geëxporteerd en doorzocht worden. Langs deze weg kun je bovendien toegang krijgen tot de Photo Stream, en het is waarschijnlijk deze route die de hackers hebben bewandeld.

Apple was gewaarschuwd

Die informatie kan voor Apple niet als een verrassing komen. Elcomsoft - dat zijn tool ontwikkeld heeft voor politie-organisaties - waarschuwde een jaar geleden al dat Apples implementatie van two-factor authenticatie onvolledig was. Two-factor authenticatie zou de beroemde klanten van Apple dus niet geholpen hebben op het moment dat hun inlognaam en wachtwoord geraden waren
Los daarvan: Apple heeft kennelijk de beroemdheden niet op eigen initiatief gewaarschuwd dat ze hun bestanden moeten beschermen met goede wachtwoorden. Als hackers die kunnen vinden, zou dat voor Apple toch niet al te moeilijk moeten zijn. En wat zou er eigenlijk op tegen zijn om een routine in te bouwen die zwakke wachtwoorden simpelweg niet accepteert?"

Bron: Automatiseringsgids (door Jelle Wijkstra)

Zouden ze dat leuk vinden bij de automatiseringsgids, dat jij hele artikelen knipt en plakt?

Geen idee. Ik zet in elk geval netjes de bron eronder. Ik kan me zelfs voorstellen dat mensen naar hun website getrokken worden door het lezen van één van hun artikelen alhier. Zie het dus maar als gratis reclame voor de Automatiseringsgids (kijk, nu noem ik hun naam alweer!) Je kan ook een abonnement nemen op de Automatiseringsgids

Tsja, er is een trade-off tussen gebruikersgemak en veiligheid, netjes omschreven door John Gruber:
http://daringfireball.net/2014/09/security_tradeoffs

Als je two-factor authentication om de haverklap zou moeten toepassen zou vrijwel iedereen het uitschakelen, omdat het te vervelend wordt. Als je een nieuw iCloud wachtwoord instelt en het wordt niet geaccepteerd door Apple omdat er meer symbolen en hoofdletters in moeten raken mensen ook gefrustreerd.

De gebeurtenissen van de afgelopen week wijzen er op dat het evenwicht iets verder richting de veiligheid verschoven kan worden, zowel van de cloud providers als van sommige gebruikers uit, om dit in de toekomst te voorkomen. Maar ik denk niet dat Apple alles wat je doet nu achter een dubbel slot gaat zetten, zoals de automatiseringsgids suggereert.

Blijft het feit dat het ongelofelijk stom is om naaktfoto’s van jezelf op een telefoontje te zetten. En bovendien is gezond verstand ook ver te zoeken bij de meeste dat dit soort omhooggevallen personen. Als het hun carriere goed doet hoor je niemand en nu is in ene de hele wereld gechoqueerd. Er zijn op dit moment wel andere dingen om je zorgen over te maken dan iemand in haar geboorte kostuum te zien.

Lijkt me op z’n minst dat het optioneel moet zijn om de iCloud webapps (iCloud.com) ook te kunnen beveiligingen met two-factor authenticatie. Lijkt me vrij onveilig om op een publieke computer in te loggen op iCloud.com i.v.m. keyloggers o.i.d.

Je hebt een ‘virtuele bankkluis’ die door iemand anders is gemaakt, zoals
elke kluis is deze kluis ook te kraken, of door een hele slimme kluiskraker
of door een (nog te ontdekken) ‘fout’ in het ontwerp van die kluis.
Dit zijn 2 -voorstelbare- scenario’s die kunnen plaatsvinden. Ik ben misschien
geen computer ‘analfabeet’ maar ik zou al helemaal geen gevoelige informatie in de
cloud bewaren. En de hypocrisie is enorm, als dit normale -geen beroemdheden-
mensen was overkomen (wat net zo erg is) was er geen FBI onderzoek gestart of
andere acties ondernomen. Moet je dit soort dingen gewoon niet op een cloud zetten…
Eigen schuld, dikke bult. Ik heb geen medelijden hiermee, had je maar je ‘gezond verstand’
moeten gebruiken.

Maar als je goed naar de optredens en videoclips kijkt (of bijv. de MTV Awards laatst) vindt ik het geen bijzonder verschil, want daar hebben ze ook bijna geen kleren aan.

Dus…en verder is er geen betere publiciteit dan negatieve publiciteit.

[quote=SunKeeper url=http://www.onemorething.nl/community/topic/apple-niet-zonder-blaam-bij-uitlekken-naaktfotos/#post-2725353 time=1409834040]Maar als je goed naar de optredens en videoclips kijkt (of bijv. de MTV Awards laatst) vindt ik het geen bijzonder verschil, want daar hebben ze ook bijna geen kleren aan.
[/quote]

hahaha goede opmerking!
Maar goed hoef ik niet te kijken hoor ;).

Maar ontopic:
Het is ALTIJD wel te hacken.
Geen icloud en zo ja, dan niet zulke prive dingen.(maarja wat moet je er dan op kwijt)
Offline op een schijf of nas zonder inlog via internet.

Apple heeft an sich gelijk. Het wordt al sinds jaar en dag geroepen en al sinds jaar en dag genegeerd. Nu we al weet ik niet hoeveel van dit soort voorbeelden in het nieuws hebben gezien (met zelfmoorden aan toe, denk aan een Amanda Todd) is het meer een gevalletje van “wie niet luisteren wil moet maar voelen”. Daar staat echter wel tegenover dat we van een dienstenaanbieder zoals Apple mogen verwachten dat ze zoveel mogelijk aan security doen. Denk aan het inschakelen maar ook daadwerkelijk overal gebruiken van two factor authenticatie en dat je niet oneindig veel gebruikersnaam/wachtwoord combinaties kunt proberen zonder geblokkeerd te worden.

Besef je goed dat je ook een eigen verantwoordelijkheid hebt. Wees zorgvuldig met wat je als wachtwoord kiest, welke antwoorden je geeft op security vragen, welke dienst je gebruikt, wat je op internet plaatst, enz. Dat laatste is nog wel het meest belangrijk want nu is het een kwaadwillende die bij Apple technische trucjes probeert, het kan ook je ex-vriend(in) zijn die op wraak uit is en je naaktfoto’s dan maar de wijde wereld in slingert (helaas ook hier weer voorbeelden van te over). Dat two factor authentication gaat je bij zo’n figuur echt niet helpen.

Vreemd dat iedereen het over de rol van de gebruiker en de rol van Apple heeft, maar niemand er over begint dat de daders zouden moeten worden opgespoord en bestraft. Blijkbaar moet je je er maar bij neerleggen dat anderen anoniem en zonder enig risico op je gegevens kunnen inbreken als je die in een Cloud dienst plaatst. Met dat uitgangspunt kunnen gebruikers en providers van cloud diensten, die in dit geval allebei slachtoffer zijn, lekker met elkaar blijven bekvechten over wie zijn zaakjes niet op orde had, maar voelen de daders zich ondertussen natuurlijk vrij om te doen en laten wat ze willen. Dat lijkt me de omgekeerde wereld. Natuurlijk moeten gebruiker en provider samenwerken aan een zo sterk mogelijke beveiliging, zonder dat de bruikbaarheid van diensten teniet gedaan wordt. Maar tegelijkertijd moet ook overduidelijk zijn dat het hier om criminaliteit gaat, en moet opsporing van de daders ook een zeer hoge prioriteit hebben volgens mij.

Het punt is, Buzz_D dat in tegenstelling tot b.v. een bankoverval, de daders zich werkelijk op elke plek op deze aardbol kunnen bevinden. Bovendien zijn er talloze trucjes om je exacte locatie te verbergen, zodat het vinden van een dader vaak vrijwel onmogelijk is. Ander probleem is dat wanneer eenmaal duidelijk is dat een systeem als iCloud makkelijk te hacken is, er binnen de kortste keren talloze anderen zullen opstaan om hetzelfde te doen. Al hoewel het zoeken naar heen dader natuurlijk nooit achterwege moet worden gelaten, is prioriteit 1 om eerst de kwetsbaarheid van het systeem op te lossen lijkt me.

[quote=Buzz_D url=http://www.onemorething.nl/community/topic/apple-niet-zonder-blaam-bij-uitlekken-naaktfotos/#post-2725718 time=1409907305]Blijkbaar moet je je er maar bij neerleggen dat anderen anoniem en zonder enig risico op je gegevens kunnen inbreken als je die in een Cloud dienst plaatst. Met dat uitgangspunt kunnen gebruikers en providers van cloud diensten, die in dit geval allebei slachtoffer zijn, lekker met elkaar blijven bekvechten over wie zijn zaakjes niet op orde had, maar voelen de daders zich ondertussen natuurlijk vrij om te doen en laten wat ze willen.[/quote]Over het algemeen worden de dader(s) van dergelijke hacks bijna altijd gepakt, het bestraffen is dus niet echt een probleem. Wat ik wel problematisch vind zijn de totaal bizarre celstraffen die er in de USA voor dergelijke hacks worden uitgedeeld. De standaard eis is 20 jaar per hack, en als een slachtoffer minderjarig is nog eens 20 jaar extra. Met wat pech wordt zo iemand dus veroordeeld tot een levenslange celstraf. Dat vind ik echt BS.

Dat is geen feit hoor, dat is jouw mening.

Je naaktfoto’s op je smartphone bewaren is net zo veilig als een stapeltje naaktfoto’s meenemen in je handtas.

[quote=Buzz_D url=http://www.onemorething.nl/community/topic/apple-niet-zonder-blaam-bij-uitlekken-naaktfotos/#post-2725718 time=1409907305]Vreemd dat iedereen het over de rol van de gebruiker en de rol van Apple heeft, maar niemand er over begint dat de daders zouden moeten worden opgespoord en bestraft.
[/quote]
Voorkomen is beter dan genezen. Daarom heeft iedereen het over de rol van Apple en de gebruiker en niet over de kwaadwillende. Daarnaast is het ook wel uiterst naief om te denken dat je een kwaadwillende tegen kunt houden. Het verhaal van de kwaadwillende is er eentje van na de daad dus wanneer het kwaad al is geschiedt, wanneer je foto’s al op je Facebook zijn gezet, je al afgeperst wordt, enz. Dat achteraf verhaal is iets wat we ook al lang en breed hebben afgedekt. Er zijn opsporingsbevoegdheden en de wet ziet dit al als een misdrijf. Mensen zijn inmiddels ook al opgespoord en berecht.

En dan nog iets: als je een probleem hebt dan pak je de bron aan ipv dat je symptomen gaat bestrijden. Jij bent nu een betoog aan het houden waarin je dat juist omdraait.

Met andere woorden, ga eerst even nadenken alvorens te reageren want dat heb je overduidelijk niet gedaan. Gevolg: je slaat een flater. Je gaat compleet voorbij aan de gevolgen van een misdrijf voor het slachtoffer. We kennen hier in Nederland niet voor niets iets als Slachtofferhulp!

Met je eerste alinea kan ik het eens zijn, iep. Wat je met de rest bedoelt ontgaat me eerlijk gezegd. Waaruit maak je op dat ik niet zou hebben nagedacht? Ik maak een observatie, waar we het, gezien je eerste alinea, voor een groot deel over eens zijn, volgens mij.

En wat betreft het voorbijgaan aan de gevolgen voor het slachtoffer: Het lijkt me dat het juist voor een slachtoffer extra traumatiserend is als iedereen roept wat het slachtoffer beter anders had kunnen doen om het misdrijf te voorkomen, en dat de actie van de dader genegeerd wordt, of afgedaan wordt als iets dat nu eenmaal in deze wereld als een gegeven moet worden beschouwd. Dat lijkt mij de omgekeerde wereld.

[quote=Buzz_D url=http://www.onemorething.nl/community/topic/apple-niet-zonder-blaam-bij-uitlekken-naaktfotos/#post-2726332 time=1410030215]Wat je met de rest bedoelt ontgaat me eerlijk gezegd.
[/quote]
En dat is nou exact het probleem.

[quote]
En wat betreft het voorbijgaan aan de gevolgen voor het slachtoffer: Het lijkt me dat het juist voor een slachtoffer extra traumatiserend is als iedereen roept wat het slachtoffer beter anders had kunnen doen om het misdrijf te voorkomen, en dat de actie van de dader genegeerd wordt, of afgedaan wordt als iets dat nu eenmaal in deze wereld als een gegeven moet worden beschouwd.[/quote]
Met als groot verschil dat er in jouw situatie en denkwijze een misdrijf is gepleegd en we een dader en slachtoffer hebben. Bij de rest hier is er geen misdrijf gepleegd en dus geen dader noch slachtoffer. Waarom niet? Omdat er door allerlei maatregelen (met name educatie richting de ontwetende mens want dat is op dit moment het grootste probleem) we dit soort misdrijven hebben kunnen voorkomen.

[quote]
Dat lijkt mij de omgekeerde wereld.[/quote]
Het veroordelen dat anderen geen misdrijf en dus geen slachtoffer plus dader willen hebben is de omgekeerde wereld. Afgezien hiervan is hetgeen jij wilt al lang en breed in de wet geregeld. Het heet de Wet Computercriminaliteit II (er is in dit geval sprake van computervredebreuk en waarschijnlijk wel meer dan dat).

Deze discussie hier is toch echt pas ontstaan nadat er een misdrijf is gepleegd.

Ja en dan is het wel zo fijn om te weten hoe je dit soort dingen in de toekomst kunt voorkomen of wil jij ook zo graag slachtoffer zijn?