Ondrej Holzman Početkom septembra Apple je rešio jedan veoma neprijatan problem uz curenje osjetljivih fotografija sa iCloud naloga poznatih ličnosti. Nije iako je servis kao takav pokvaren, Apple je ranije mogao izbjeći ranjivost u vidu mogućnosti unosa lozinke beskonačan broj puta. Slušajte samo stručnjaka za sigurnost iz Londona Ibrahima Balića.
Londonski istraživač sigurnosti Balić obavijestio je Apple o potencijalnom problemu mnogo prije nego što su hakeri zapravo otkrili slabost u iCloud-u iskoristili su. Packer prema The Daily Dot Apple je obavijestio još u martu i opisao sigurnosni problem precizno u svom mejlu.
U mejlu zaposlenima Apple-a od 26. marta, Balić je napisao:
Pronašao sam novi problem u vezi s Apple računima. Koristeći napad grube sile, mogu pokušati više od dvadeset hiljada puta da unesem lozinke na bilo koji račun. Mislim da bi ovdje trebalo primijeniti ograničenje. Prilažem snimak ekrana. Našao sam isti problem na Google-u i dobio odgovor od njih.
Upravo beskonačnim unosom lozinki, zahvaljujući čemu su hakeri konačno pronašli lozinke poznatih ličnosti, očigledno su provalili u iCloud naloge. Zaposlenik Apple-a je Baliću odgovorio da je upoznat sa tom informacijom i zahvalio mu se na tome. Osim putem e-maila, Balić je problem prijavio i putem posebne stranice posvećene prijavi grešaka.
Apple je konačno odgovorio u maju, pišući Baliću: „Na osnovu informacija koje ste dali, čini se da bi bilo potrebno mnogo vremena da se pronađe ispravan token za autentifikaciju za nalog. Vjerujete li da znate za metodu koja bi mogla omogućiti pristup računu u razumnom vremenu?'
Appleov sigurnosni inženjer Brandon očigledno nije shvatio Balićevo otkriće kao pretnju. “Vjerujem da nisu u potpunosti riješili problem. Stalno su mi govorili da im pokažem više”, rekao je Balić.
Zanimljivo da se nakon loma može popraviti jednom ili dvaput.
U Appleu postoje jednostavno samouvjereni ljudi koji misle da su nešto više od drugih.
Dakle, prije svega, osoba koja postavlja lozinku 12345 je glupa. Apple blokira nalog nakon što je drugi put unio pogrešnu lozinku, što znači da se još uvijek odjavljuje.
Nije prošlo tako dugo otkako je određena banka (mislim da je FIO) imala sličan problem. Korisničko ime za prijavu bilo je niz brojeva, a nakon trećeg unošenja lozinke, račun je blokiran i klijent je morao da ode u banku da ga resetuje. Pa, šta se nije dogodilo? Neko je samo prebrojao brojeve i svima blokirao račune.
Nešto slično se može dogoditi Appleu. Neko će preneti puno poštovanja i blokirati ih. Dakle, koliko je dosadno poništavanje lozinke za iCloud?
IMO ovo je funkcija za zaštitu idiota, samo nervira druge.
Po mom mišljenju postoje 2 razumna rješenja:
1. ne dozvoliti korisnicima da koriste jednostavne lozinke i ostaviti beskonačan broj pokušaja ulaska.
2. nakon x-tog unosa pogrešne lozinke ponuditi korisniku ili autorizaciju putem mobilnog telefona, e-maila, resetiranje iCloud lozinke ILI pričekati x sati do sljedećeg pokušaja, te u vezi s tim upozoriti korisnika i Apple na nekoliko pogrešnih unesene lozinke.
Definitivno nije bilo u redu pustiti sve, dozvoliti korisnicima da koriste jednostavne lozinke i dozvoliti beskonačan broj pokušaja njihovog unosa. Jasno je da su sami ljudi krivi, ali kompanija mora prihvatiti da su ljudi glupi.
Sigurnost je zaista bila na veoma lošem nivou. Kao što se morate zaštititi od hakera, jer neko uvijek može napasti, morate se zaštititi i od glupih korisnika, jer će ih uvijek biti..
Na primjer, drugo rješenje bi dovelo do toga da bi, ako bi neko pokušao lozinke i blokirao račune, njegove usluge prestale raditi za pogođene korisnike. Nema sinhronizacije sa iCloudom. Mislite li da je ovo bolje? Za tako velike sisteme praktično ne postoji savršeno rješenje, već samo ono najmanje problematično.
Apple ima svoj nos i sve je u vezi s iMoney-om.
Evo za promenu da popravim bash.
Da je Jobs imao priliku da se vrati na svijet, prvo što bi uradio je da otpusti barem polovinu uprave u Appleu, vjerovatno u toj upravi ne bi ostao niko, jer ono što ta djevojka radi u ta kompanija, to je to je stvarno vrhunac, i kao što sam rekao, čak je i osoba poput Jobsa tu jako pogriješila :-( Jobs je već jednom u životu bio otpušten iz Applea i ispalo je jako loše, a kada se vratio, Apple je opet proradio, ali ajme sad se neće vratiti, stvarno je kriv onaj ko će stati nad njima i tući ih po glavi i sjeći im ruke