HARD CORE SECURITY LAB

W zeszłym tygodniu zrobiło się znów głośno o firmie Apple. Chodziło oczywiście o wyciek ponad stu tysięcy adresów e-mailowych należących do użytkowników iPada z serwisu zarządzanego przez firmę AT&T. Cała akcja była dziełem grupy Goatse Security, znanej już między innymi z upublicznienia informacji na temat kilku luk w popularnych przeglądarkach internetowych. W związku z tym, że wszystkie adresy e-mailowe udało się wydobyć bez przełamywania jakichkolwiek zabezpieczeń, służby śledcze mają problem ze skutecznym oskarżeniem intruzów. Jednak jak to zwykle bywa kto szuka, ten znajdzie...

Andrew "Weev” Auernheimer, jeden z kluczowych członków grupy Goatse Security, został aresztowany po tym, jak w toku niedawnego przeszukania jego domu, agenci FBI ujawnili kilka rodzajów narkotyków. Nie wiadomo dokładnie czego dotyczył nakaz, jednak prawdopodobnie był on związany z niedawnym wyciekiem danych. Andrew miał już wcześniej problemy z prawem, ale ograniczały się one do błahych wykroczeń.

Jak już wspomniałem, wszystkie dane użytkowników iPada udało się grupie Goatse Security wydobyć bez przełamywania jakichkolwiek zabezpieczeń. Intruzom udało się wydobyć poszczególne adresy e-mailowe wykorzystując nieodpowiednio zabezpieczony skrypt, który po podaniu identyfikatora ICC-ID zwracał skojarzony z nim adres klienta. Natomiast określenie odpowiedniego zakresu wartości ICC-ID było możliwe po przeanalizowaniu przykładowej grupy identyfikatorów. Wszystko to pozwoliło na przygotowania prostego skryptu PHP, który w sposób automatyczny pobrał dane należące do ponad stu tysięcy klientów firmy Apple...

Jako że, w takiej sytuacji trudno jest mówić o hackerskim włamaniu, służby śledcze miały z pewnością ciężki orzech do zgryzienia. Z jednej strony poszkodowani domagają się ścigania sprawców, z drugiej jednak  strony skuteczne oskarżenie sprawców wydaje się bardzo trudne. Jak się jednak okazało, FBI w myśl zasady kto szuka ten znajdzie, dokonało przeszukania domu Auernheimera.

Moim zdaniem mało prawdopodobne jest to, by Andrew po tak głośnym incydencie nie spodziewał się wizyty śledczych i trzymał w domu zakazane substancje. Być może więc ktoś podrzucił mu narkotyki? Warto zwrócić uwagę na jeszcze jeden fakt. Otóż lekceważony przez wielu specjalistów wyciek adresów e-mailowych oraz identyfikatorów ICC-ID wcale nie jest taki błahy.

Okazuje się, że amerykańskie identyfikatory ICC-ID (ang. Integrated Circuit Card Identifier) mogą zostać w sposób jednoznaczny zamienione na unikalny numer IMSI (ang. International Mobile Subscriber Identity), który z kolei może nas doprowadzić do szczegółowych danych personalnych konkretnego abonenta. Dostępny jest już nawet prosty program, który pozwala na konwersję ICC-ID na IMSI. Oznacz to, że zeszłotygodniowy wyciek niesie ze sobą o wiele poważniejsze konsekwencje, niż początkowo uważano. Być może dlatego właśnie władze za wszelką cenę chcą rozpracować grupę Goatse?

Mamy więc bardzo interesujące wnioski. Po pierwsze, każdy incydent bezpieczeństwa niesie ze sobą potencjalnie znacznie poważniejsze konsekwencje, niż to się początkowo wydaje. Szczególnie tyczy się to wycieków danych. W związku z tym, że najrozmaitsze identyfikatory są zazwyczaj w jakiś sposób powiązane z innymi identyfikatorami i danymi znajdującymi się również w innych systemach, ocena rzeczywistego zagrożenia wymaga daleko idących przemyśleń. Po drugie, każdy kto zadziera z organami ścigania powinien zawsze pamiętać o zasadzie kto szuka ten znajdzie...

[źródło]