من المحتمل أنك قرأت عنه iDict، أداة تكسير تم إصدارها علنًا جدًا ومصممة للتهديد على حسابات iCloud باستخدام القوة الغاشمة التقنيات - التقنيات التي تحاول سلسلة من كلمات المرور بتتابع سريع على أمل العثور على صحيح. وفقًا للتقارير ، تم تصحيح الثغرة الأمنية من قبل شركة Apple في غضون بضعة أيام. (لكن أبل رفضت التعليق).
أصدر المطور الرمز دون تقديم تفاصيل مسبقًا إلى Apple ، وهو أمر غير معتاد. وتتمثل الممارسة القياسية في الكشف عن هذه المعلومات بشكل خاص لإعطاء شركة الوقت لتصحيح الثغرة الأمنية.
اعتمد iDict على ما ادعى المؤلف أنه مشكلة "واضحة بشكل مؤلم" في كيفية تعامل Apple مع حالات فشل كلمة المرور المتكررة من خلال عنوان URL معين. يشبه هذا النوع من المشكلات التقارير التي صدرت بعد الصيف الماضي "اختراق" على iCloud والتي تضمنت مجموعة من محاولات كلمة المرور غير الخانقة ضد iCloud ومحاولات للإجابة على أسئلة الأمان استنادًا إلى السير الذاتية للمشاهير ومصادر أخرى.
ادعى مطور iDict أنه تجاوز "المصادقة الثانوية" ، التي لا يبدو أنها اختراق التحقق من خطوتين ، ولكن طريقة تسمح للمهاجم بتجنب الرد على الأمان الأسئلة. يجب أن تكون الأداة غير فعالة الآن حيث تقول صفحة مستودع شفرة المطور أن Apple قد مكنت "تقييد المعدل" - أ العملية التي تتبع عدد الاستعلامات من مصدر معين أو لحساب معين ، وتضييق الخناق عندما يكون الحد نجاح.
تشريح الهجوم
ولكن كيف يعمل بالضبط؟ دعنا نفحص هذا الهجوم وخطر تعرضك وما يجب أن تفعله Apple (ولكن قد لا تفعل).
يعتمد iDict والهجمات عن بُعد المشابهة دون معرفة خاصة على ثلاثة عناصر: طريقة لإجراء اختبارات مفرطة لكلمات المرور لحساب فردي ؛ طريقة لتجاوز تشغيل تأمين الحساب ، أو الاختناق لتقليل الاستعلامات ، أو التنبيهات للسماح لمالك الحساب (أو Apple) بمعرفة أن الحساب يتعرض للهجوم ؛ وكلمة مرور ضعيفة (وأحيانًا أسئلة أمان ضعيفة أيضًا).
كلمة المرور "المجهولة" التي أنشأتها؟ ليس كثيرا.
من خلال وجود كلمة مرور قوية مرتبطة بحساب - ويفضل أن تكون فريدة من نوعها لهذا الحساب - فإنك تتخطى تقريبًا جميع مخاطر امتلاك حساب اختراق طرق القوة الغاشمة ، سواء من خلال استغلال عنوان URL مثل iDict الذي تم العثور عليه ، أو عند سرقة ملفات كلمة المرور أو قواعد البيانات واختراقها زمن.
على الرغم من عدم الكفاءة في Sony ، مما سمح لتكنولوجيا المعلومات والأفراد الآخرين بتخزين كلمات المرور غير المشفرة في الملفات المسماة "Password" ، تقوم المواقع بتشفير كلمات المرور من خلال خوارزمية التجزئة أحادية الاتجاه التي تحول النص العادي إلى شيء غير عملي فك. هناك نقاط ضعف في خوارزمية قديمة - لا تزال مستخدمة بسبب الكسل ونقص التحديثات - ذلك يمكن أن يسمح لوكالة حكومية أو مؤسسة إجرامية بمحاولة اختراق كلمات مرور الحسابات الفردية ينجح. تستخدم المزيد من المواقع المعقولة أساليب أقوى.
إذا اخترت كلمة مرور ضعيفة ، فإن تقنيات القوة الغاشمة تسمح باختبار كلمات المرور المشفرة التي تم التقاطها باستخدام أجهزة الكمبيوتر المنزلية مقابل مليارات من كلمات المرور في الثانية - نعم ، في الثانية. في هذه الحالات الأضعف ، يسمح العثور على مطابقة كلمة مرور واحدة للمهاجم بالعثور على جميع الحسابات التي تستخدم نفس كلمة المرور. (ما هي كلمة المرور القوية؟ إما أن تجعلها طويلة جدًا - من 15 إلى 20 حرفًا - أو يجب أن تكون مزيجًا غامضًا من الأحرف والأرقام وعلامات الترقيم.)
في iDict استغلال ، ومع ذلك ، لا توجد طريقة للحصول على شكل مشفر من كلمة المرور. بدلاً من ذلك ، يختبر البرنامج كلمات المرور واحدة تلو الأخرى ، وعلى الرغم من عدم وجود خنق واضح في الاستعلامات السابقة لـ Apple لإصلاح الخلل ، يجب أن ينتظر الكود خادم مصادقة Apple للرد على كل محاولة قبل اختبار التالى.
جاء iDict مع قائمة من بضع مئات من كلمات المرور الافتراضية التي تلبي الحد الأدنى من متطلبات Apple لمعرف Apple (انظر الصورة أعلاه). يمكن إضافتها إلى (أو تعديلها من قبل) أي شخص يستخدم الرمز. مما يجعل هذه القوائم القصيرة أكثر خطورة ، من الممكن أن يقوم المتسللون بسلسلة الهجمات. بالإضافة إلى ذلك ، باستخدام كلمات المرور المستخرجة من حسابات الأشخاص على خدمات أخرى ، يمكنهم محاولة كسر معرف Apple باستخدام ثغرة تشبه iDict باستخدام كلمات مرور ربما تم استخدامها من قبل نفس الشخص. (نظرًا لأن معرفات Apple هي عناوين بريد إلكتروني - باستثناء الحسابات القديمة التي تم إعدادها منذ سنوات - فإنها تتيح سهولة المطابقة.)
التحقق بخطوتين هو خط دفاع واحد ضد الهجمات.
إذا كنت تستخدم أي كلمة مرور في تلك القائمة ، أو أي شيء مشابه ، فقم بتغييرها على الفور. والأفضل من ذلك ، إذا لم تقم بذلك بالفعل تمكين التحقق من خطوتين (وتأكد من أنك تعرف كيفية العثور على مفتاح الاسترداد فى المستقبل).
العنصران الآخران المطلوبان لعمل هجوم iDict تحت سيطرة Apple ، وهو يقلقني أنه بعد سنوات من تشغيل خوادم المصادقة عبر الإنترنت ، لا تزال الشركة تمتلك هذه الخوادم نقاط الضعف. يجب اختبار كل عنوان URL يمكن الوصول إليه بشكل عام ويتعامل مع المصادقة واستعادة كلمة المرور وما شابه من قبل Apple لفترة طويلة قبل - ويجب اختباره بشكل روتيني حيث يتم طرح التحديثات لضمان استمرار الاختناق والمراقبة والإخطار تسيير. إذا كانت جميع التفاصيل حول iDict دقيقة ، تحتاج Apple إلى تكثيف لعبتها.
العالم الحقيقي ، مشاكل حقيقية
غردت عن iDict بعد إصداره ، وبعد ذلك بوقت قصير تم إغلاق حساب Apple ID الخاص بي بسبب مخاوف أمنية. هذا على الأرجح لأن شخصًا ما استخدم برنامج iDict ومعرف Apple الخاص بي لمعرفة ما إذا كان بإمكانه اختراق حسابي. لحسن الحظ ، لديّ كلمة مرور قوية وتم التحقق من خطوتين. وبعد أن كتبت للتو عن مشاكل في العثور على مفتاح الاسترداد ، عرفت مكان وجوده واستعدت الوصول إلى حسابي وأعد تعيين المفتاح.
بشكل منفصل ، في أواخر عام 2014 ، تلقيت بضعة تقارير حول معرف Apple أو تفاصيل iCloud التي يتم تغييرها في الحسابات المحمية بكلمة مرور دون أي إشعار أو تنبيهات أخرى. في إحدى الحالات ، تم تبديل عنوان المستخدم ورقم الهاتف ، ولكن على ما يبدو إلى حساب مستخدم من قبل شخص ليس له علاقة بالتغيير. إذا كان لديك لغز مشابه يحدث ، ابقى على تواصل حتى أتمكن من جمع المزيد من التفاصيل.
جلين فليشمان هو مؤلف كتاب تحكم في شبكة Apple Wi-Fi الخاصة بكحول تكوين الشبكة اللاسلكية وتأمينها. وهو مساهم منتظم في Boing Boing و The Economist ، ومساهم كبير في Macworld.