Bizarre aanval uit China op iCloud
Volgens een rapport van Great Fire, een groep die Chinees webverkeer in de gaten houdt, is iCloud het slachtoffer geworden van een zogenaamde man-in-the-middle-aanval uit China.
Bij zo’n aanval wordt een kwaadaardige site gezet tussen de gebruikers en de iCloud-servers. Die site moet dan wachtwoorden, inloggegevens, berichten en foto’s onderscheppen.
[related_article id=”158256″]
De hackers zouden gebruik hebben gemaakt van valse SSL-certificaten, waarmee onveilige webbrowsers bedot kunnen worden en het idee krijgen dat ze toch op een legitieme site inloggen.
Inloggegevens stelen
Volgens Great Fire heeft de aanval veel weg van recente aanvallen op Google, Yahoo en Microsoft en zou deze door een overheid op gang zijn gezet. Bij de aanvallen op Google en Yahoo zou het de bedoeling geweest zijn om te zien wat Chinezen allemaal lezen op die sites. De aanval op iCloud was bedoeld om inloggegevens te verkrijgen.
Apple heeft aangekondigd dat het iCloud-data van Chinese gebruikers gaat stockeren op servers van China Telecom. Great Fire zegt dat de aangescherpte veiligheid in de iPhone en iPad het moeilijker maakt voor China (en de NSA) om gegevens te onderscheppen. Daarom zou Apple gezwicht zijn om die data op Chinese servers te plaatsen. Niet toevallig gebeurt de overschakeling op het moment dat Apple nieuwe iPhones lanceert in China, zegt Great Fire.
Amateurs
Er zijn overigens ook wel vragen te stellen bij de aanval. Die is immers zowel onrustwekkend als behoorlijk amateuristisch.
Dat Great Fire een drukkingsgroep is die “transparantie wil brengen naar de Grote Firewall van China” maakt de beschuldiging niet onjuist, maar er is wel een en ander dat hier aan de hand is.
Het onrustwekkende zit hem in het feit dat de hackers een IP-adres (23.59.94.46) konden kapen waar iClouds DNS naar verwees en zo gebruikers naar een nagemaakte site konden doorverwijzen.
Zoiets is met heel veel moeite en kennis te bekomen als je een internetprovider gaat aanvallen, of, gemakkelijker, als je toegang hebt tot de systemen van de provider (als je bijvoorbeeld een overheid bent). Het adres zelf is overigens eigendom van Akamai, het onderscheppen moet dus op providerniveau gebeuren.
Daarna echter, wanneer de gebruiker op de nagemaakte site terechtkomt, zou hij meteen een foutboodschap moeten zien dat er iets aan de hand is. De verbinding met iCloud is immers beveiligd met SSL/TLS. Het nagemaakte SSL-certificaat werd gewoon ondertekend door de hackers, en dus slaan zowat alle moderne webbrowsers alarm.
Bizarre waarschuwing
Volgens Great Fire zou de Qihoo 360-browser de aanval niet detecteren. Maar als de meeste andere browsers dat wél doen, is deze aanval dan echt serieus te nemen? De website Motherboard suggereert dat het incident een waarschuwing is aan het adres van Apple dat ze in de gaten worden gehouden. Wat het dan meteen een heel bizarre manier zou maken om iemand te waarschuwen.
Volgens een rapport van Great Fire, een groep die Chinees webverkeer in de gaten houdt, is iCloud het slachtoffer geworden van een zogenaamde man-in-the-middle-aanval uit China.
Bij zo’n aanval wordt een kwaadaardige site gezet tussen de gebruikers en de iCloud-servers. Die site moet dan wachtwoorden, inloggegevens, berichten en foto’s onderscheppen.
[related_article id=”158256″]
De hackers zouden gebruik hebben gemaakt van valse SSL-certificaten, waarmee onveilige webbrowsers bedot kunnen worden en het idee krijgen dat ze toch op een legitieme site inloggen.
Inloggegevens stelen
Volgens Great Fire heeft de aanval veel weg van recente aanvallen op Google, Yahoo en Microsoft en zou deze door een overheid op gang zijn gezet. Bij de aanvallen op Google en Yahoo zou het de bedoeling geweest zijn om te zien wat Chinezen allemaal lezen op die sites. De aanval op iCloud was bedoeld om inloggegevens te verkrijgen.
Apple heeft aangekondigd dat het iCloud-data van Chinese gebruikers gaat stockeren op servers van China Telecom. Great Fire zegt dat de aangescherpte veiligheid in de iPhone en iPad het moeilijker maakt voor China (en de NSA) om gegevens te onderscheppen. Daarom zou Apple gezwicht zijn om die data op Chinese servers te plaatsen. Niet toevallig gebeurt de overschakeling op het moment dat Apple nieuwe iPhones lanceert in China, zegt Great Fire.
Amateurs
Er zijn overigens ook wel vragen te stellen bij de aanval. Die is immers zowel onrustwekkend als behoorlijk amateuristisch.
Dat Great Fire een drukkingsgroep is die “transparantie wil brengen naar de Grote Firewall van China” maakt de beschuldiging niet onjuist, maar er is wel een en ander dat hier aan de hand is.
Het onrustwekkende zit hem in het feit dat de hackers een IP-adres (23.59.94.46) konden kapen waar iClouds DNS naar verwees en zo gebruikers naar een nagemaakte site konden doorverwijzen.
Zoiets is met heel veel moeite en kennis te bekomen als je een internetprovider gaat aanvallen, of, gemakkelijker, als je toegang hebt tot de systemen van de provider (als je bijvoorbeeld een overheid bent). Het adres zelf is overigens eigendom van Akamai, het onderscheppen moet dus op providerniveau gebeuren.
Daarna echter, wanneer de gebruiker op de nagemaakte site terechtkomt, zou hij meteen een foutboodschap moeten zien dat er iets aan de hand is. De verbinding met iCloud is immers beveiligd met SSL/TLS. Het nagemaakte SSL-certificaat werd gewoon ondertekend door de hackers, en dus slaan zowat alle moderne webbrowsers alarm.
Bizarre waarschuwing
Volgens Great Fire zou de Qihoo 360-browser de aanval niet detecteren. Maar als de meeste andere browsers dat wél doen, is deze aanval dan echt serieus te nemen? De website Motherboard suggereert dat het incident een waarschuwing is aan het adres van Apple dat ze in de gaten worden gehouden. Wat het dan meteen een heel bizarre manier zou maken om iemand te waarschuwen.