11:05
24/5/2012

Atak DoS na AppleID jest prosty

Jeden z naszych Czytelników, zeznia, opisuje swoje przygody z supportem Apple dotyczące ciągłego blokowania jego konta AppleID.

AppleID zablokowany

Ostatnimi czasy miałem problem ze swoim Apple ID. Kilkukrotnie został zablokowany, jak twierdzi Apple, z powodów bezpieczeństwa. Oczywiście udawało się go odzyskiwać, czy to przez wysłanie linka do zmiany hasła na e-mail czy przez pytania zabezpieczające. Jednakże po 24h sytuacja się powtórzyła.

Apple ID

Apple ID

Ponownie odblokowałem konto, ale zastanowiło mnie to w jaki sposób dochodzi do ciągłych blokad. Wiec zadzwoniłem do Apple na infolinię. Pani oczywiście potwierdziła, iż konto zostało zablokowane z powodów związanych z bezpieczeństwem. Zapewniła mnie, że to właśnie w celu ochrony moich danych konto Apple ID po kilku nieudanych próbach logowania przy użyciu mojego loginu i błędnego hasła jest blokowane.

Gdy spytałem czy dysponują logami i danymi o nieautoryzowanych logowaniach do mojego Apple ID, zostałem poinformowany że takich danych nie udostępniają. Po potwierdzeniu informacji, iż blokada była spowodowana nieautoryzowanymi próbami logowania, zacząłem się zastanawiać jak tego uniknąć, czy można się jakoś przed tym zabezpieczyć? Tu zonk. Apple zobowiązuje swoich klientów aby loginem/AppleID był adres email. Nie da się ustanowić jako login dowolnej nazwy czy czegokolwiek innego niż email.

Większość normalnych użytkowników z pewnością wpisuje poprawny i do tego swój podstawowy adres email (ten z którego korzystają na co dzień). Przy tych założeniach jednym niezbyt wymyślnym skryptem można blokować komuś jego AppleID co kilka minut, a osoba ta nie ma możliwości obrony. Wystarczy że znamy adres email, który jest jednocześnie użyty jako Apple ID.

Drugi telefon do Apple

W związku z moimi spostrzeżeniami ponownie zadzwoniłem do Apple. Po ponownym opisaniu problemów z kilku ostatnich dni, oznajmiłem ze chciałbym zmienić AppleID i to na ciąg znaków niebędący adresem email. Oczywiście spotkałem się z informacją, iż nie ma takiej możliwości.

Byłem na to przygotowany bo wcześniej dokładnie przejrzałem stronę Apple Support. Jest tam opis jak zmienić swoje Apple ID na nowe/inne. Są tam umieszczone screen’y jak zrobić to krok po kroku. Na jednym z nich widać formularz na którym AppleID jest osobnym polem (w którym jest wpisany login niebędący adresem email), a poniżej pole “Primary email” gdzie wpisany jest email.

Oczywiście poprosiłem Panią z infolinii, aby krok po kroku dostała się do strony Apple Support i przeczytała ową procedurę i obejrzała screen’y. Tu spotkałem się z dziwną odpowiedzią nienawiązującą do niczego. Bez słowa komentarza padło pytanie czy chciałbym aby w napisała feedback w tej sprawie w moim imieniu do odpowiedniego działu. Oczywiście powiedziałem, że jak najbardziej proszę o to i zacząłem ją przekonywać, iż w mojej ocenie Apple ID nie jest wystarczająco chronione. Znów spotkałem się z oporem i opowieściami jak to Apple jest piękne i wspaniałe, nieomylne. Pani wręcz zaczęła twierdzić iż nie wie o co mi chodzi (mimo iż kilka minut temu mówiłem jej że np. mój kolega może robić mi na złość i blokować mi konto bo zna mój adres email jak setki innych osób, a że np. robiłem sobie z niego jaja w pracy to się mści).

Aby Pani z infolinii jednoznacznie zrozumiałą o co chodzi zapytałem czy ma swój prywatny Apple ID, odpowiedziała że owszem ma. Wiec ja na to, iż prosiłbym aby potwierdzenie zarejestrowania zgłoszenia przesłała mi ze swojego prywatnego maila to pokaże jej o co mi chodzi. Trafiłem z czuły punkt bo z uśmiechem stwierdziła że nie zaryzykuje i wtedy chyba załapała o co c’mon. (…) Od tego momentu wiedziała co ma wpisać w zgłoszeniu i nie zadawała już niepotrzebnych pytań.

Obecnie czekam na oficjalną odpowiedz od Apple, jednakże polityka bezpieczeństwa tej firmy według mojej oceny pozostawia wiele do życzenia, a żeby czuć się w miarę bezpiecznie użytkownik musi kombinować (podawać nieistniejący email jako AppleID, albo ustawiać inny email do korespondencji aby ew. formularze ze zmianą hasła przychodziły na poprawnego maila).

Automatyczna blokada konta po zaledwie kilku nieudanych próbach logowania to często spotykany przez nas “problem” w trakcie wykonywania testów bezpieczeństwa webaplikacji. Zwracamy na to uwagę klientom i informujemy o możliwości przeprowadzenia masowego ataku DoS na konta użytkowników (jest to o tyle łatwe, że często loginy to kolejne, następujące po sobie liczby).

Jako sugestię rozwiązania problemu podajemy między innymi wykorzystanie mechanizmu CAPTCHA (z takiego rozwiązania korzysta także Google). W przypadku AppleID nie jest to jednak rozwiązanie dobre — protokół telefon–serwery Apple wymagałby pewnie sporych zmian, aby pokazywać CAPTCHA na telefonie. Zresztą rozwiązywanie CAPTCHA na telefonie to małowygodna sprawa… Możliwość zmiany ID na dowolny ciąg znaków na pewno ułatwiłaby życie osobom takim jak nas Czytelnik, a jeszcze lepiej, gdyby Apple przed blokadą konta próbowało blokować dostęp atakującemu do swoich serwerów…

Przeczytaj także:

50 komentarzy

Dodaj komentarz
  1. a jeszcze lepiej, gdyby Apple przed blokadą konta próbowało blokować dostęp atakującemu do swoich serwerów

    – i w momencie jak ktos 3 razy blednie wpisze swoje haslo, tracil by dostep do uslugi… swietny pomysl

    • tracił by dostęp np. na 30 minut

    • Junior Brand Manager przez Ciebie przemawia. Nigdzie nie napisaliśmy, że po 3 razach ktoś ma być wycinany na FW. Jako pracę domową, określ granicę po której użytkownik powinien zostać zablokowany. Dobierz również stopniowe (od najmniej inwazyjnej, do najbardziej inwazyjnej) metody ochrony formularza logowania przed atakami.

  2. Podobnie jest z kontami bankowymi z dostępem internetowym

    • Tylko tam nie zawsze ID (login) jest przewidywalny. Oczywiście może się zdarzyć, że zablokujesz kilka kont – ale raczej nie trafisz na konkretne konto, które chcesz zablokować. To i tak przy założeniu, że Cię wcześniej coś nie wytnie — bo ochrona przed atakami brute force powinna być wielowarstwowa ;)

    • Wystarczy że jesteś byłym pracownikiem firmy, w której znałeś numer ID do np Inteligo. A że zostałeś wyrzucony z pracy to w swoim żalu postanawiasz codziennie logować się na konto ze złym hasłem. W takiej sytuacji dostęp jest blokowany i firma nie może handlować na allegro. Musi wydzwaniać na infolinię, a to zabiera czas i nerwy. I tak w kółko.
      To zły system jest.

  3. Cudowne umysł Apple. Który to już odcinek?

  4. Kolejny dowód na to, że Apple to ścierwo :(.

    • Przypomniała mi się sytuacja jak niegdyś Bill Gates miał problem z usługą MS, nawet jego własny support mu nie pomógł, więc nie tylko Apple zdarzają się błędy.

    • komentarz na miarę onetu.

    • Apple to może i ścierwo, ale i tak ios’y mobilne są bezpieczniejsze od androidow

    • bosz, ile razy to ja to slyszalem/slysze od swoich klientow – apple jest bezpieczne bo nie ma wirusow
      wez sie dziecko obudz wreszcie, prosze cie, albo przesten wypisywac takie glupoty tutaj

  5. Jak ktos uzywa gmaila to polecam zalozyc appleId na adres z plusem w srodku – tym samym i pewniej filtrowac mozna (i nikomu nie podawac swojego aliasu ofc ;)
    mojuser+appleid34762387@gmail.com i spokoj ;)

  6. Odnośnie ostatniego akapitu: captcha mogłaby być potwierdzeniem jedynie przy logowaniu w iTunes. Urządzenia mobilne od Apple mają przecież swoje unikalne identyfikatory, które mogłyby posłużyć do blokowania kont nie w całości, a tylko dla urządzeń z których przeprowadzany jest DoS.

    • Ale logować można się chyba nie tylko z urządzeń…

    • No tak, pod “iTunes” miałem na myśli wszystkie aplikacje w których loguje się z biurka. Ale nie o to chodzi. Chodzi o to, że rozpoznając urządzenia po numerze seryjnym można zwiększyć bezpieczeństwo nie wdrażając rewolucyjnych rozwiązań.

    • kazde “rozwiazanie” jest bardzo trudne w rozumieniu Appla
      wez pod uwage ze ponad 75% uzytkownikow tych telefonow nie ma tak naprawde pojecia jak go uzywac [ sorki ale to jest po prostu co sam zauwazylem ] i jest to po prostu pokazanie swojego statusu spol.
      podstawa tego twierdzenia jest proste pytanie – dlaczego uzywasz iPhona ? – bo jest latwy w obsludze [ czyt. idiotoodporny ]
      znam osobiscie ludzi ktorzy sie przezucili z iPhona na androida i poswiecili wiecej niz “5 min.” czasu na jego konfiguracje i sobie bardzo chwala, i mowia ze nigdy nie wroca do iPhona

    • @angelus chyba tylko w Polsce ktokolwiek się podnieca iPhonem jako oznaką statusu społecznego. Jak tak myślę o ludziach z USA, którzy mają iPhone’y, to same geeki i poweruserzy mi przychodzą na myśl ala Merlin Mann (TextExpander i shellowe skrypty na iOS FTW!) albo Dan Benjamin z 5by5.tv (od niego ukradłem wiedzę o super appce co się zwie PasteBot) — ale to może tylko dlatego, że sam się wśród takich ludzi najczęściej obracam i normalnych użyszkodników już nie zauważam ;P

  7. Dobrze że Pani z infolinii nie podała swojego maila, jeszcze by się okazało, że hasło to 123456 :D

    • Albo iLoveApple ;)

  8. Istnieje obejście tego problemu jeśli posiadamy konto e-mail na Gmailu. Jeśli nas adres to jakislogin@gmail.com to wystarczy dodać w losowym miejscu kropkę w loginie np. jaki.slogin@gmail.com i taki adres podać jako swój główny. Możliwe, że będzie działać także opcja z plusami (jakislogin+dowolnytekst@gmail.com). Dzięki temu korzystamy z tej samej skrzynki, a login AppleID jest inny. Nie jest to rozwiazanie idealne ale lepsze takie niż żadne.

    • Pomysł dobry, ale słyszałem o takich przypadkach, gdy ktoś właśnie z tego skorzystał i później przy “ręcznym” kontakcie z firmą wymagane było wysłanie e-maila z adresu na który zostało założone konto. Przy skorzystaniu z kropki pomiędzy adresem nie będziemy mieli możliwości wysłać wiadomości z takiego adresu.

  9. CAPTCHA jako DOBRE rozwiązanie na zabezpieczenie strony/web appki? Czemu przerzucanie odpowiedzialności za bezpieczeństwo na użytkownika (“znowu ta wkurzająca kapcza”) uważacie za dobre?

    • To nie jest przerzucanie odpowiedzialności na użytkownika a sposób na walkę z automatami (które próbują się logować na konta ze zdefiniowanym słownikiem haseł).

    • Lepiej chyba uderzyć w źródło podejrzanej aktywności niż w ofiarę ataku. CAPTCHA w tym przypadku nie musi być na każdym ekranie logowania, lecz pojawiać się dopiero po kilku nieudanych próbach – więc uprawnionemu użytkownikowi tylko odrobinę utrudni życie, gdy ten się zapomni lub ktoś mu zrobi kawał, a atakującemu może skutecznie przeszkodzić w wykonaniu brute-force.

    • AVE…

      Co ma zrobić z CAPTCHA osoba niewidoma lub słabowidząca?

      Swoją drogą trwałe blokowanie konta, bo ktoś nie umiał wpisać poprawnego hasła kilka razy to dość dziwne rozwiązanie. Nie lepiej dać jakiś timer? Zresztą do kont Apple ludzie logują się ze swojego iZłomu, więc równie dobrze można stosować jako dodatkową warstwę ochrony informacje o urządzeniu. Dalej, jako kolejne zabezpieczenie można zastosować pomiar interwałów między kolejnymi próbami logowania. Jeśli są mniejsze, niż minimalny czas by ponowić próbę wpisania hasła/loginu lub średni czas logowania danego użytkownika (na przykład mniej niż sekunda odstępu), to można założyć iż to skrypt się loguje…

    • @Urgon A wiesz, że w captcha jest opcja ODSŁUCHU? ;-) Jak się nie orientujesz, to się nie wypowiadaj.

  10. Proponuję by po 3 błędnym wpisaniu reset hasła kosztował dolara. Tego mi brakuje w tym całym jabuszku
    :)

  11. Tak samo wygląda inteligo – 3 nieudane próby i nie ma dostępu do forsy. A numery losowo zgenerować to żaden problem.

    • Mam konto na Inteligo, czy uda Ci się zablokować mój ID, zanim Inteligo Cię wytnie? ;)

    • Konkretnie Ciebie nie, ale kilka/naście tysięcy kont na pewno zmieniając IP.

    • Z pewnością wytnie jeśli będę korzystał z jakiegoś TORa…

  12. ten sam problem dotyczy cyfrowej platformy dystrybucyjnej Origin, od EA
    w grze Battlefield 3, nazwa żołnierza, to login do platformy…

    ktoś Cię zabił zbyt wiele razy? nie ma problemu, bierzesz jego ID i robisz parę prób logowania :-)
    najlepiej w piątek wieczorem, bo support pracuje pn-pr

  13. W mBanku to też nie problem. Zresztą ktoś już jakiś czas temu o tym pisał:
    http://ciemny.pl/2009/05/28/

  14. “Zresztą rozwiązywanie CAPTCHA na telefonie to małowygodna sprawa…”

    Niekoniecznie: areyouahuman.com – CAPTCHA dla macantów.

  15. “a jeszcze lepiej, gdyby Apple przed blokadą konta próbowało blokować dostęp atakującemu do swoich serwerów… ”
    I tu tkwi problem ;) Kto pierwszy ??

  16. A ja znam na to prostą sztuczkę: zakładamy apple id na alias gmailowego konta czyli np. mój adres to adres@gmail.com a ja podaję adres+apple@gmail.com. W ten sposób pocztą od apple dotrze do nas, a nikt nie odgadnie, że używamy takiego aliasu. Pozdrawiam.

  17. Co do CAPTCHA w systemie Apple, to czy nie mogłaby być to captcha w formie gestu dla iPadów/iPhone’ow? W końcu mają dotykowe ekrany. Dla “zwykłych” Maców, mogłaby być to standardowa reCAPTCHA.

    Oczywiście jeszcze jest problem “ręcznego” blokowania, ale na pewno byłoby to mniejsze.

  18. Nic tylko śmiać się dalej z zapatrzonych w ogryzek jabłkogłowych :P

    • ja juz sie przestalem smiac – teraz mi tylko szarpia nerwy
      – bo im cos nie dziala
      – bo iTunes nie robi synca
      – bo kalendarz..
      – bo siamto
      grom tych uzytkownikow poziomem inteligencji nie przekracza poziom mojego krolika

  19. Cena wolności androida.

  20. Tak jak zwykle. Nie ma problemu dopóki ktoś nie narobi jakichś szkód albo zamieszania. Mówi się polak mądry po szkodzie, ale tak naprawdę dotyczy to ludzi na całym świecie.

  21. Witam. A dlaczego np nie zrobią LOCKa na konretny adres IP ? Np nie wiem jak w innych, ale w popularnej grze MMO 2D, bez dźwięku, zaczynającej się na literę T, jest LOCK na IP. Przy sprzedaży konta, poprzedni właściciel może próbować się logować na to konto z błędnym hasłem i to na jego IP zostanie założona blokada na 30min. Jedynie jakbym był za NATem z tym samym userem, to też by się dostało blokade. W innym przypadku, problemu nie ma. Pozdrawiam.

  22. Po co jakieś blokowanie IP na pół roku i dowalanie kolejnej śmiesznej kaczpy? Dacie tylko chińczykom zarobić na human service i VPNach. Narastający czas sprawdzania hasła przy każdej kolejnej próbie – powiedzmy do 10 sekund i synchronizacja transakcji (jeden aktywny proces logowania na danego usera blokuje pozostałe procesy do czasu aż się zakończy). Powodzenia ze złamaniem sześcioznakowego hasła.

    • Tak, tylko uwzględnij to, że jabłkolandia używa owego AppleID do wszystkiego. Do makówek do ajfonów, ajpadów, ajpodów itp. Niczym dziwnym nie jest wielokrotne logowanie, nawet i w bardzo podobnym czasie…

  23. U nas Iphone jest towarem importowanym-luksusowym-nispotykanym, dlatego to ludzi podnieca. U nas Macbook to tez lans, u nich normalne narzedzie pracy tak jak dla nas lapek.Nie zmienia to faktu, ze odbiegamy od tematu;-)

  24. I znowu starcie radosnej polityki Apple z brutalną rzeczywistością. Należy liczyć że wyciągną wnioski z tej sytuacji. Może blokować IP na 24h po trzech nieudanych logowaniach?
    Dobrze że na iPoda ładować można muzykę przez Winampa.

  25. Sama używam IPhone 4S i nie mam żadnych zastrzeżeń do Apple. Wręcz przeciwnie wszystkim go polecam!

    • Dziękujemy ci Anno, za dozę offtopu, fanbojstwa (czy tam fangirlstwa, o ile taki termin istnieje) oraz braku wiedzy w tematyce serwisu oraz komentowanego newsa. A teraz idź na myapple.pl i więcej tu nie zaglądaj.

  26. “Znów spotkałem się z oporem i opowieściami jak to Apple jest piękne i wspaniałe, nieomylne.”
    Widać w firmie nie zatrudniają ludzi “z ulicy”, ale prawdziwych pasjonatów. Właściwi ludzie na właściwym miejscu… :-)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: