שלל תמונות עירום של ידוענים -- כביכול של כמה מפורסמים גדולים --מפוזרים ברחבי הרשתיום ראשון בערב. למרות שאמיתותן של רבות מהתמונות המדוברות אינה ברורה, מספר מפורסמים אישרו כי הם הקורבנות להפרה זו של הפרטיות.

פריצה לטלפונים סלולריים או לחשבונות מקוונים כדי לגשת לתמונות עירום או אישיות של מפורסמים היא בקושי חדשה (זוכרים מתי ה-SideKick של פריס הילטון נפרצה?), אבל מה שהופך את התקרית הזו למטרידה יותר הן השמועות לפיהן מטמון התמונות הזה משויך למאגר רחב יותר. התקפה על iCloud ותכונת ה-Photo Stream שלו.

כדי להיות ברור, לא אושר כי iCloud היה מעורב באירוע זה. פנינו לאפל להערה ונעדכן אם נקבל הצהרה כלשהי מהחברה. חשוב גם לציין שגם אם חשבונות iCloud נפגעו, זה לא בהכרח מעיד על הפרה מערכתית גדולה יותר.

ובכל זאת, כשידענו כמה אנשים משתמשים ב-iCloud, רצינו להתייחס עד כמה בטוחות iCloud ומערכות ענן אחרות, כגון Dropbox, Google Drive ו-OneDrive.

סקירה כללית של אבטחת iCloud

באתר שלה, לאפל יש סקירה שלמה שלאמצעי אבטחהבמקום להגן על נתונים ב-iCloud.

נתוני iCloud מוצפנים גם בשרת וגם כשהם במעבר (כלומר, כשהם נשלחים מהמכשיר שלך לשרת). לגבי תמונות, אפל אומרת שיש רמה מינימלית של הצפנת AES של 128 סיביות.

באפליקציות רשמיות של אפל, אפל משתמשת באסימונים מאובטחים כדי לאמת חשבון. המשמעות היא ששם המשתמש והסיסמה שלך אינם מאוחסנים באפליקציות עצמן. עבור אפליקציות צד שלישי שעשויות לגשת ל-iCloud, אפל שולחת את שם המשתמש והסיסמה באמצעות SSL.

המשמעות היא שכל עוד הסיסמה שלך ייחודית ומאובטחת, זה אמור להיות קשה מאוד למישהו ליירט את הנתונים שלך כשהם נשלחים מהטלפון או המחשב שלך לשרתים של אפל.

כמה חזקה הסיסמה שלך

השאלה האמיתית היא פחות על כמה טובה אבטחת iCloud ויותר על כמה חזקה (וכמה ייחודית) הסיסמה של המשתמש.

אפל דורשת מהמשתמשים להחזיק סיסמה עם לפחות 8 תווים, מספר, אות גדולה ואות קטנה. אני יודע שבעבר, לעומת זאת, אם הייתה לך סיסמה שלא מתאימה לכללים האלה, אפל לא הייתה מאלצת אותך ליצור סיסמה חדשה אלא אם כן נרשמת לאימות דו-שלבי.

יתרה מכך, הבעיה האמיתית שרוב המשתמשים נתקלים בה היא לא שהסיסמה שלהם לא מספיק חזקה; זה שזה לא ייחודי.

תראה, זה קשה לעקוב אחר מאות הסיסמאות השונות שאנו יוצרים עבור החשבונות השונים שלנו. לפיכך, בדרך כלל קל יותר להשתמש שוב ושוב באותה סיסמה.

זה בעייתי מכיוון שאם אתר שאתה משתמש בו לעתים קרובות נפרץ ואתה משתמש בשילוב הדוא"ל/סיסמה הזה עבור חשבונות אחרים, גם כל החשבונות האלה נמצאים בסיכון.

המשמעות היא שגם אם הסיסמה שלך נוצרה כדי להיות "חזקה", היא חסרת תועלת אם אתה משתמש בה (ובאותו דוא"ל או שם משתמש) במספר מקומות. להאקרים יש גישה לקבוצות מסד נתונים גדולות של שמות משתמש וסיסמאות שנפגעו.

זו הסיבה שאנו תמיד מעודדים משתמשים לשנות את שלהםסיסמאותבכל פעם שמשתמשים בסיסמה הזו ביותר ממקום אחד עם אותו שם כניסה. זה נכון במיוחד אם חשבון חשוב או מקושר לחשבון אחר (כגון Facebook, Gmail או Twitter).

אימות דו-גורמי

למרות שסיסמאות יכולות להיות בעייתיות (מכיוון שאנשים עושים בהן שימוש חוזר), אפילו הסיכון הזה יכול להיות מופחת באמצעות שימוש באימות דו-גורמי. אימות דו-גורמי פירושו שלפני שתוכל לגשת לחשבון, עליך להתחבר גם עם סיסמה וגם עם קוד מכשיר ייחודי (נשלח בדרך כלל באמצעות SMS או ממפתח מאמת).

אפל מציעה תמיכה משלה באימות דו-גורמי עבורחשבונות iTunes ו-iCloud. אם מופעל, פירוש הדבר שלפני שמחשב או מכשיר חדשים יוכלו לקבל גישה לחלק מהנתונים שלך ב-iCloud, עליך לאשר את המכשיר הזה עם קוד אימות בן ארבע ספרות (נשלח לטלפון שלך באמצעות SMS) או להעניק גישה ממחשב מופעל אחר. חלון קופץ מופיע גם בכל המכשירים שלך המודיע לך שלמחשב אחר יש כעת גישה לנתוני iCloud או Apple ID שלך.

עדכון, 2 בספטמבר 2014:כמו מייקל רוז במציין TUAW, נראה שהמטרה העיקרית של אימות דו-גורמי של אפל היא להגן על הארנק שלך ולא על הנתונים שלך. רק קבלת תמיכה מאפל, כניסה למסוף הניהול של Apple ID שלי או ביצוע רכישה יפעילו את ההגדרה הדו-גורמית.

למרות שזה נהדר שאפל מציעה אימות דו-גורמי, כדאי לשים לב שתהליך ההגדרה עם מערכת דו-גורמי של אפל אינו קל כמו הגדרת אימות דו-גורמי עם גוגל או דרופבוקס. המערכת של אפל אינה פועלת עם מאמתים של צד שלישי כגון Yubikey או פרוטוקול Google Authenticator של גוגל ליצירת קודים ייחודיים בני ארבע ספרות.

תהליך ההגדרה של אימות דו-שלבי הוא כזה שאנו חושדים שהרוב המכריע של המשתמשים לא מפעיל אותו בחשבונות שלהם. משמעות הדבר היא שעבור רוב החשבונות ניתן לקבל גישה ל-iCloud ולנתונים שונים על ידי קבלת גישה לסיסמת iCloud.

הנדסה חברתית: האיום האמיתי

מערכות האבטחה המובנות של אפל חזקות למדי. האפשרות לאימות דו-גורמי היא דרך נוספת למשתמשים להכפיל את האבטחה שלהם.

הווקטור האמיתי, לעומת זאת, לרוב מתקפות האבטחה אינו בהכרח עם באגי אבטחה המובנים במערכות עצמן, אלא עם אזור שקשה הרבה יותר להגן מפניו: אנשים.

בשנת 2012, כתב Wired Mat Honan היה קורבן של אפריצה נרחבתשהותיר את חייו הדיגיטליים בבלאגן.

ההאקר לא השיג גישה לחשבונות של הונאן על ידי פיצוח הסיסמאות שלו. במקום זאת, הוא הצליח להשתמש במידע ציבורי, נוהלי אבטחה מטרידים על ידי תמיכה טכנית והנדסה חברתית מיושנת וטובה כדי לקבל בסופו של דבר גישה לחשבונות ה-Gmail וה-iCloud שלו.

שנתיים לאחר מכן, חברות כמו אפל ואמזון (ששתיהן סייעו בשוגג לפושע בגישה לחשבונות של הונאן) שינו את מדיניות התמיכה שלהן. אבל אם לא מופעל אימות דו-גורמי, הנדסה חברתית וקבלת סוכן התמיכה הטכני הנכון (טוב, לא נכון) יכולים להציע גישה לאדם הלא נכון (או לאפשר לפושע לקבל מידע חשוב שימושי בכניסה לחשבון על ידי מענה מוצלח שאלות סודיות).

גישה לתוכן ממכשירים מקומיים

אם אתה מסנכרן את המחשב שלך עם iCloud או iPhoto, הקבצים הנשלחים ל-iCloud ואלו המאוחסנים ב-iCloud מוצפנים ומאובטחים. הקבצים במכשיר שלך, לעומת זאת, עשויים להיות סיפור אחר.

לדוגמה, אם לאייפון או אייפד שלך אין קוד סיסמה (ואין להם אפשרות המחייבת את המשתמש לאשר גישה ל-USB בכל פעם שהוא מחובר למכונה חדשה), מישהו יכול לחבר את המכשיר שלך ל-USB מחשב והשתמש ב-iTunes או בתוכנות אחרות של צד שלישי כדי להעתיק כל קובץ מהטלפון שלך. חלק מהקבצים הללו עשויים להיות מוצפנים, אך קבצים כגון תמונות וסרטונים אינם מוצפנים.

עם iOS 7 באייפון 4S או אייפד 2 ומעלה, אם טלפון נעול מחובר למחשב, גם אם כל מערכת הקבצים מועתקת,התוכן של אותה מערכתעדיין מוצפנים כל עוד יש לך קוד סיסמה בטלפון שלך.

באופן דומה, למרות שאפל מציעה הצפנה נהדרת מובנית ב-OS X, היא אינה מופעלת כברירת מחדל. זה אומר שאם מישהו מקבל גישה פיזית למחשב הנייד או השולחן העבודה שלך ויכול להיכנס לחשבון המשתמש שלך (בהנחה שהגדרת סיסמה), אותו אדם יכול לגשת לקבצים שלך.

אין לזה שום קשר ל-iCloud כשלעצמו, אבל לעתים קרובות ניתן ליירט את הנתונים המקומיים שלך בקלות רבה יותר מאשר נתונים בענן.

אז האם אתה יכול לסמוך על iCloud?

עד שנראה כל ראיה שמצביעה על כך שהתרחשה הפרת iCloud רחבה יותר (או אפילו נקבל אישור ש-iCloud היה מעורב בתקריות אלו), אין לנו סיבה להאמין ש-iCloud אינו בטוח.

השאלה החשובה הרבה יותר שמשתמשים צריכים לשאול את עצמם - בין אם הם משתמשים ב-iCloud או בגוגל או ב-OneDrive או ב-Dropbox - היא אם הם יכולים לסמוך על עצמם.

המשמעות היא:

שימוש בסיסמאות מאובטחות וייחודיות בחשבונות ובמכשירים שלהם

שימוש באימות דו-גורמי כאשר זמין

הפעלת מנעולים וסיסמאות במחשבים ובחשבונות טלפון

הפעלת הגרסה העדכנית ביותר של מערכת הפעלה

הצעדים האלה לבדם לא יבטיחו שהנתונים שלך יהיו בטוחים תמיד - אבל הם יובילו הרבה למזעור האופן שבו תוקפים יכולים לגשת לחשבונות שלך.