Teknologi

Er det trygt å lagre bilder i iCloud?

Du har en hemmelighet som kan ødelegge livet ditt.

RIMELIG SIKKERT: Når det gjelder bildefiler, opplyser Apple at de minst er beskyttet med 128-bits AES-kryptering i iCloud.
Lars Wærstad
Publisert
NAKENSELFIE: Hundrevis av nakenbilder av berømte kvinner har havnet på nett. Apples nettsky iCloud kobles til lekkasjen.

Internett gikk bananas søndag kveld da det ble klart at hundrevis av nakenbilder av noen av verdens mest kjente kvinner hadde lekket på nett. 

Ifølge amerikanske medier skal en hacker være kilden til lekkasjen. Blant kjendisene som nå får private bilder spredt på nett finner vi navn som Jennifer Lawrence, Caley Cuoco-Sweeting, Kate Upton, Kim Kardashian, Rihanna, Kirsten Dunst og Selena Gomez.

Noen av kjendisene bekrefter at bildene er ekte, andre hevder de er falske. Flere varsler politianmeldelse og søksmål i et forsøk på å hindre at bildene sprer seg.

Ifølge avisen The Independent viser informasjon lagret i bildefilene at mange av bildene er knipset med en iPhone. At kjendisers private bilder kommer på avveie, er ikke unikt, men mer bekymringsverdig i denne omgang er rykter om at Apples nettskytjeneste iCloud skal være hacket. 

Dersom funksjonen er aktivert, vil iPhone automatisk laste bilder opp i nettskyen og spre dem til brukerens andre enheter, som iPad-er, iPod-er eller Apple TV.

Nakenbildene ble første lekket til det notorisk tvilsomme forumet 4chan. Her hevdes det at bildene er hentet fra iCloud, men det er viktig å være klar over at dette ikke er bekreftet. En rekke amerikanske nettsider har kontaktet Apple. Til nettsiden re/code sier selskapet at de "aktivt undersøker" hva som har skjedd.

Selv om bildene skulle være hentet nett fra Apples nettsky, er det ikke dermed sagt at tjenesten har vært utsatt for et større angrep. Apple krypterer data i iCloud både når de er lagret og når de overføres. Når det gjelder bildefiler, opplyser selskapet at de minst er beskyttet med 128-bits AES-kryptering.

Denne tabellen viser hvordan dataene blir sikret ved bruker av forskjellige iCloud-funksjoner.

Å knekke slik kryptering med ren datakraft er i alle prakstiske sammenhenger umulig. Dersom det lever 7 milliarder mennesker på kloden og alle har 10 datamaskiner hver som kan teste 1 milliard kombinasjoner per sekund, regner en med at det minst vil ta 77.000.000.000.000.000.000.000.000 år å knekke én kode.

Da er det vesentlig mer sannsynlig at uvedkommende får tilgang til en konto ved å få tak i eller manipulere påloggingsinformasjon. Spørsmålet i de fleste sammenhenger er ikke hvor sterk Apples icloudsikkerhet er, men hvor sterkt passordet ditt er.

- At informasjonen om påloggingen din kommer på avveie, er noe vi bare må forvente. Det er ikke snakk om hvorvidt passordet ditt kommer på avveie, det er snakk om når, sa seniorrådgiver Hans Marius Tessem i Norsk senter for informasjonssikring (NorSIS) til Side3 i et tidligere intervju om datasikkerhet.

Her tar vi for oss noen enkle grep som drastiskt kan øke sikkerheten til dataene dine.

Passord

IKKE GJØR DETTE:

  • Gjenbruk passord. Hvis du gjør det, vil en som bryter seg inn i én konto, få tilgang til alle.
  • Bruke et ord fra ordboka som passord. Et passordprogram vil da mest sannsnylig ha passordet ditt i databasen. Hvis du absolutt må, sett sammen flere ord.
  • Erstatt bokstaver med typiske tall. Tror du «P4550rd» er uknekkelig? Tro om igjen.
  • Bruk et kort passord. Selv bokstavkombinasjonen «h6!r$q» lar seg raskt knekke. Så langt passord som mulig, er det beste forsvar.


GJØR DETTE:

  • Krev dobbel godkjenning dersom du kan. Både Google og Apple tilbyr dette. Dersom du logger deg på fra en ukjent IP-adresse, kan et slik system sende en melding til mobilen din som du må godkjenne for å få logget deg på.
  • Skriv tullesvar på sikkerhetsspørsmål. Tenk på det som dine alternative passord. Din første bil var ikke en Toyota Avensis. Det var en «Supersinnsyk drømmedoning».
  • Vask informasjonen om deg. Det ligger mengder av informasjon om deg på nett. Fjern det du kan fra offentlig lister og oppføringer.
  • Bruk en unik, sikker epostadresse til gjenoppretting av passord. Dersom en hacker vet hvilken adresse det nye passordet blir sendt til, er det en konto som står i fare for å bli hacket. Opprett en e-postadresse som kun skal brukes i sikkerhetstilfeller, som ikke er knyttet til navnet ditt.

Kilde: Wired.com

Tabben de fleste gjør

Den store synderen er altså passordet. Og det absolutt verste du kan gjøre, foruten å ha et håpløst enkelt passord, er å bruke det samme passordet på flere kontoer.

Er du en av mange som logger deg på Apples tjenester med den samme e-postadressen og samme passordet som på Facebook, Gmail, Netflix og Twitter? Da gjør du jobben ekstremt enkel for en person som ønsker seg inn.

En sammenligning av passord som er publisert på nett, viser at nesten halvparten av oss bruker det samme passordet i forskjellige innlogginger.

- Å gjenbruke passord, er det som virkelig tar knekken på deg. Det er et effektivt marked for å utveksle slik informasjon. Folk stjeler passord og selger dem på svartebørsen. Påloggingen din kan allerede være avslørt uten at du vet det - før kontoen, eller en annen du bruker med samme pålogging, blir slettet, sier programmerer Diana Smetters i Google.

Hackere bruker en rekke forskjellige metoder for å få tak i informasjonen. «Gamle triks» som trojanere (du klikker vel ikke på lenker i e-poster du ikke forventer å få?), overvåkingsverktøy og kodeknekking-programvare som kjører på kraftige datamaskiner, er velkjente metoder. Men hackere går gjerne mer personlig til verks, såkalt phishing.

Hvor vanskelig er det egentlig å få Apples kundeservice til å tilbakestille et passord når så mye av din personlige informasjon ligger tilgjengelig på nett? Denne samtalener ekte og skjedde i januar 2012. Den gir et innblikk i hvordan en hacker kan gå til verks.

Det eneste hackeren bruker, er informasjon han har funnet tilgjengelig på nett. Med det klarer han å svare på sikkerhetsspørsmålene til Apples kundebehandler, tilbakestiller passordet og får tilsendt et nytt til en ny e-postadresse.

Gode passord er fortsatt viktig

Om passordet ditt er «123456» eller «ggdf09879843hlkfdsf904835jldsf» er irrelevant, om du forteller andre hva det er.

Men i situasjoner der store mengder passord er lekket, er nettopp vanskelige passord utrolig viktig. Årsaken er at passordene i de fleste tilfeller er kryptert/hashet, noe som gjør at passordet «123456» i databasen til en nettside kan være lagret som «e10adc3949ba59abbe56e057f20f883e» (md5 hash).

For at en skal kunne avsløre det reelle passordet, må hvert enkelt passord knekkes. Det finnes svært avanserte verktøy på nett som gjør denne jobben veldig enkelt om du bruker «vanlige» passord. De inneholder store lister som automatisk kan fortelle at «e10adc3949ba59abbe56e057f20f883e» er «123456» i klartekst, fordi det er et passord de har kommet over ofte.

Derimot vet de ikke at passordet «Denstoretullingen83472&tosk9548» er lagret som «ed4f3abbfe3e94e06568a0fe1b4a8548». Det er ikke umulig å avsløre slike passord, men det tar enormt med tid, og som regel tar en seg ikke tid til det.

Derfor er det ofte slik at rundt 80 prosent av passordene i slike datalekkasjer knekkes, mens resten gir en opp. Målet er derfor å havne i kategorien hvor en gir opp å knekke passordet ditt.

Leg en enkel huskeregel

Det lure er derfor å skaffe seg et obskurt passord som du likevel har en enkel huskeregel på. Ta for eksempel et sitat eller setning fra en sang som du liker godt, og plukk ut den første bokstaven i hvert ord for å være et passord.

La oss for eksempel si at du er kristen. Da vil følgende setning være enkel:

"For så høyt har Gud elsket verden, at han ga sin Sønn"

I et passord vil det kunne se slik ut: "FshhGev,ahgsS"

Der har du skapt et passord på 14 tegn som er utrolig vanskelig å gjette seg til, men enkelt å huske, som både har store og små bokstaver, i tillegg til et spesialtegn. Tall kan du enkelt legge inn hvis setningen du benytter seg også benytter seg av et eller annet tall.

En annen mulighet

Nettstedet CorvusConsulting har en litt annen holdning til hvordan du potensielt kan skape et unikt passord til hvert eneste sted du registrerer deg:

Velg først ut et helt normalt ord, fortrinnsvis ikke på engelsk. Fortsette så med et årstall som har stor betydning for deg, men ikke din bursdag, og avslutt med den første stavelsen av tjenesten du skal registerer deg.

For eksempel kan det da være "brostein1994goo". Dette er altså et normalt ord, årstallet for OL på Lillehammer, og den første stavelsen av Google.

Et lignende passord kan være "brostein1994wi" på Wikipedia.

Lag naturlige spesialtegn

Vil du gjøre det enda sikrere kan du for eksempel velge å markere starten av hver stavelse med stor bokstav, og andre halvdelen av årstallet med spesialtegnet som tilsvarer symbolet på tastaturet.

Det første passordet ditt vil da se slik ut: "BroStein19)¤Goo"

Her har du et passord på 15 tegn som er veldig enkelt å huske, men som samtidig være uoverkommelig å knekke med de fleste datamaskiner. Regner vi med at du har tilgang til 96 forskjellige tegn med bokstaver, tall og spesialtegn, så er det snakk om over 540.000 billioner billioner kombinasjonsmuligheter (96^15).

Dette passordet gjør at hvis du mister passordet ditt for én tjeneste, så vil du fortsatt ha hemmeligheten din intakt for andre nettsteder. Ulempen er at det er enkelt å avsløre hvis noen først finner frem til mønsteret ditt. Det er likevel betydelig sikere enn alle standardpassord som folk flest gjerne benytter seg av.

Side3