Доступ к данным пользователей устройств Apple в Китае перехватывают на государственном уровне

Оригинал этого материала
© "Ведомости", 23.10.2014

Китайская атака на iCloud

Александр Силонов

Сервис Apple iCloud в Китае подвергся хакерской атаке, в результате которой злоумышленники могли получить доступ к персональным данным из учётных записей пользователей.

В конце прошлой недели браузеры многих китайских пользователей стали выдавать предупреждающие сообщения, позволяющие сделать вывод об атаке на iCloud. Вскоре представители Apple подтвердили факт «периодических организованных сетевых атак» на облачный сервис компании. При этом, как уверяет Apple, серверы iCloud не были взломаны, а вход в iCloud с устройств под управлением мобильной операционной системы iOS или с компьютеров под управлением ОС X Yosemite с браузером Safari происходит по-прежнему безопасно. Вместе с тем компания подчеркнула, что пользователям, получающим в браузере предупреждения о ненадежности сайта iCloud.com, входить на этот сайт не следует. В заявлении Apple Китай не упоминается.

Источник атак пока не установлен, но некоторые наблюдатели обращают внимание на сохраняющиеся между США и Китаем трения в связи с обвинениями в шпионаже с использованием хакерских методов. На правозащитном сайте GreatFire.org появилась публикация, обвиняющая китайские власти в организации атаки, однако эксперты отрасли говорят, что определить злоумышленников невозможно. Представительница министерства иностранных дел Китая заявила, что ничего не знает о случившемся и что Пекин является противником кибератак.

[SecurityLab.ru, 21.10.2014, "Власти Китая похищают учётные данные пользователей iCloud": Китайские власти похищают данные учётных записей пользователей iCloud, используя национальный межсетевой экран «Золотой щит». Об этом сообщается в отчете организации Great Fire, занимающейся мониторингом online-цензуры в Китае.
[...] «Золотой щит» блокирует китайцам доступ к сайту iCloud. Вместо этого они перенаправляются на поддельный сайт, похищающий их учётные данные. Пользователи Firefox и Chrome получают соответствующее предупреждение при переходе на поддельный сайт, но поклонники Qihoo — самого популярного браузера в Китае — даже не поймут, что посетили мошеннический ресурс. Аналогичное перенаправление происходит и при посещении страницы login.live.com, которая используется для входа в учётную запись Microsoft.
Поскольку атака происходит на уровне национального китайского межсетевого экрана, в Great Fire подозревают, что она осуществляется по заказу правительства государства с целью похищения логинов и паролей пользователей, а также их персональных данных. [...]
Пользователи могут посетить подлинные сайты iCloud и Microsoft Live, используя сервис VPN. Тем не менее, в случае, если VPN блокируется «Золотым щитом», обойти атаку не получится. — Врезка К.ру]

Тайваньский пользователь Чжоу Шугуан протестировал работу сервиса iCloud и выявил, что злоумышленники подключались к каналу связи между пользователями сервиса и его сервером, используя метод под названием «человек посередине» (MITM). С ним согласен и Эрик Йельмвик, аналитик шведской компании Netresec, специализирующейся на средствах сетевой безопасности. «Очевидно, атаки были весьма масштабными, — говорит Йельмвик. — Целью атак были пользователи в разных районах Китая, обслуживаемые разными интернет-провайдерами. Атаки были изощренными, по-видимому, за ними стояла очень мощная система, позволяющая осуществить массовый перехват данных».

Для организации такой системы необходимы связи с национальными провайдерами, считают аналитики. «Если это так и если атака типа MITM была проведена на таком уровне, можно предположить, что действовал не юный хакер, желающий похвастать своими достижениями, — говорит Го Су Гим, специалист финской компании F-Secure. — Тут работали профессионалы, возможно, целая группа или сообщество, за которым могли стоять и власти целой страны».

С этим мнением согласны не все. «Если бы за атакующими стояли ресурсы государства, картина была бы другой, — говорит Кевин Милнер, специалист по безопасности из Оксфордского университета. — Пользователи ведь видели предупреждения от браузера. Скорее всего, возможности атакующих были ограниченными».

Ранее в результате утечки пользовательских данных из хранилища iCloud в сети появились украденные фотографии некоторых знаменитостей.

Кроме того, аналитики отмечают, что атака совпала с выходом на китайский рынок новых моделей Apple iPhone, в которых применена усиленная защита с помощью шифрования. Оригинал этого материала
© habrahabr.ru, 20.10.2014, Иллюстрации: via greatfire.org

Китай осуществляет MiTM-атаку на пользователей iCloud

[...] Исследователи из организации Greatfire.org выложили доказательства MiTM-атаки, при которой власти получают конфиденциальную информацию пользователей: сообщения iMessage, контакты, фотографии и проч.

Атака осуществляется с помощью поддельного цифрового сертификата: если пользователь невнимателен и проигнорирует предупреждение, то его соединение с iCloud будет шифроваться ключами китайского правительства.

Предупреждение о неправильном сертификате при попытке подключиться к https://www.icloud.com

Работа iCloud через китайский MiTM-прокси

Пока поддельный сертификат предлагают только при попытке подключения к IP-адресу 23.59.94.46. То есть не все китайские пользователи страдают, потому что iCloud DNS может возвращать и другие IP-адреса.

Wirecapture with MITM: www.cloudshark.org/captures/03a6b0593436

Самоподписанный сертификат, используемый в атаке: http://www.mediafire.com/download/ampbnqncc277krv/fakeicloudcert.zip

Лог соединения: http://pastebin.com/tN7kbDV3

Traceroute: http://pastebin.com/8Y6ZwfzG

Hotmail MITM

Wirecap: https://www.cloudshark.org/captures/6011389a8ea3

TCP Traceroute: https://twitter.com/siyanmao/status/518963824481681408

[NEWSru.com, 22.10.2014, "Глава Apple прилетел в Пекин поговорить с властями Китая после подозрительной атаки на пользователей iCloud": В связи с ростом фишинговых атак на пользователей сервиса iCloud в Китае глава Apple Тим Кук посетил Поднебесную, где встретился с вице-премьером Ма Каем. Как коротко сообщает китайское издание Xinhuanet, на встрече, которая прошла в резиденции Чжуннаньхай в Пекине, обсуждалась безопасность пользовательских данных, а также возможность сотрудничества в сфере информационной безопасности. — Врезка К.ру]