Hintergründe zum iCloud-Nacktfoto-Skandal: Elcomsoft, Anon IB und mehr
Alexander Trust, den 4. September 2014In den „Medien“, zu denen Macnotes selbst gehört, wurde reichlich über die Veröffentlichung von Nacktbildern von Stars wie Jennifer Lawrence berichtet. Die Hintergründe dazu sind vielschichtig: Es tauchen Namen von Tools und Software auf, wie iBrute oder Elcomsofts Phone Password Breaker, das eigentlich von IT-Forensikern für die Polizei entwickelt wurde. Es zeigt sich, dass Apples iCloud nicht optimal gesichert ist, und der Hersteller aus Cupertino das schon einige Zeit hätte wissen können. Zudem kommen „Normalsterbliche“ in dieser Situation mit „der Szene“ in Kontakt, die normalerweise in Zirkeln wie Anon IB für sich sein wollte.
Zwei-Schritt-Authentifizierung nicht lückenlos
Apples „Two-Factor-Authentication“ wurde vom Hersteller aus Cupertino erst vor kurzem als Argument ins Feld geführt, Nutzer sollten ihre Daten und Accounts in Verbindung mit „stärkeren“ Passwörtern sicherer gestalten. Die Methode zur Verifizierung berücksichtigt jedoch nur das Einloggen mittels Apple ID, Käufe im App Store oder den Zugang zu Apples Support-Service. Bislang nicht durch die Zwei-Schritt-Authentifizierung gesichert sind iCloud-Backups, die dazu genutzt werden können, fremde oder neue Geräte mit entwendeten iCloud-Backups wiederherzustellen. Allerdings gibt es seit Juni Gerüchte darüber, dass Apple die Zwei-Schritt-Authentifizierung ausweiten wollte.
EPPB oder Elcomsoft Phone Password Breaker
In Internetforen wie Anon-IB gibt es entsprechende Informationen darüber, wie die Hacker sich Zugang verschaffen: Hat man einmal durch „Social Engineering“ oder auf anderem Weg Zugang zu den Backup-Dateien erlangt, soll die Software „Phone Password Breaker“ von Elcomsoft zum Einsatz kommen, um die Daten wiederherzustellen. Pikant ist, dass Elcomsofts Software für Ermittlungsbehörden gedacht ist, um Smartphone-Daten in Kriminalfällen auszulesen. Die Software erlaubt das Extrahieren von Daten in einen Ordner auf der Festplatte, in dem man dann nach Belieben Zugriff auf Dateien bekommt, die sich in der Backup-Datei befinden.
War das Backup leer und kennen die Hacker die Login-Daten, haben sie zumindest Zugriff auf Features wie Fotostream und können damit Bilder ergaunern. Denn: Fotostream ist ebenfalls nicht über die Zwei-Schritt-Authentifizierung gesichert.
Apples Ratschlag, Zwei-Schritt-Authentifizierung einzuschalten, wäre für diejenigen, deren Nacktbilder entwendet wurden, nicht hilfreich gewesen.
Doch auch die mehrschrittige Authentifizierung hätte nicht geholfen, da es möglich ist, Zugriff zu den Dateien über ein spezielles „authentication token“ zu erhalten. Dieses könnten Hacker über Malware und Phishing erhalten, da es auf dem Computer der Betroffenen in den Ordnern von iTunes weilt – sie würden in diesem Fall nicht einmal mehr den Login oder das Passwort benötigen.
Hinweise auf Anon-IB
Ein „Untergrund“-Forum namens Anon-IB war, anders als zunächst gedacht, der Ausgangspunkt der Veröffentlichungen von Nacktbildern, allerdings in deutlich kleinerem Kreis als bei 4chan. Ein „Sammler“ hat die Bilder offenbar aus Anon-IB-Kreisen erworben und später dann einem größeren Kreis von Nutzern auf 4chan zugänglich gemacht. Erst danach nahm die mediale Lawine und virale Verbreitung ihren Lauf.
Auf Anon IB gibt es eine spezielle Rubrik („Obtained Pictures“, zu dt.: „beschaffte Bilder“) unter „anon-ib.com/stol/“, in der sogar mit ergaunerten Fotos getauscht und/oder gehandelt wird – und zwar schon seit Jahren. Hacker machen es sich zum Sport, persönliche Daten auszuspähen und die Bilder als eine Art Trophäe vorzuzeigen. Dabei waren zwar vorwiegend Stars und Sternchen die Opfer, allerdings immer auch Privatleute, die von dem Treiben womöglich überhaupt nichts mitbekommen haben, da die Fotos nicht aus dem Zirkel herausgetragen wurden.
Anon IB ist nach den Vorgängen der letzten Tage nun nicht mehr erreichbar. Die Betreiber haben das Forum zu „Wartungszwecken“ offline genommen und kommen eventuell „in ein paar Tagen“ wieder online. Man bedankt sich auf der Startseite dafür bei J.L. – die Initialen stehen wohl für Jennifer Lawrence. Ob die Schauspielerin und ihre Rechtsabteilung direkt angesprochen sind, oder das Forum nur Maßnahmen trifft, um der Strafverfolgung durch das FBI zu entgehen, ist unklar. Die US-Behörde hatte sich nach dem Bekanntwerden ebenfalls eingeschaltet, immerhin sollen die Nacktbilder von McKayla Maroney sie Olympia-Turnerin zeigen, als sie noch minderjährig war. In einem P.S. auf Anon IB heißt es, man werde ein neues Forum für Erwachsene eröffnen, in dem nur wenige Zutritt finden werden. Zynisch hat man dazu die Domain „NoPornHere“ in der Schweiz registriert.
Die Wurzeln von Anon IB sollen bei 4chan liegen. Einige der Nutzer, die vom unkontrollierten Veröffentlichen teils menschenunwürdiger Fotos gestört waren, haben Anon IB im Jahr 2006 aus der Taufe gehoben. Anfangs ging es relativ gesittet zu, bis nach einiger Zeit die Regeln gelockert wurden und sich dann dort auch immer wieder Kinderpornographie einfand. Entsprechend oft hatten die Betreiber von Anon IB Besuch vom FBI, wurden die Server konfisziert und das Forum für einige Zeit sogar komplett geschlossen. Anfang 2014 wurde das Forum wieder in Betrieb genommen.
Find my iPhone und iBrute
Auf Anon IB wurde laut Wired noch am Dienstag behauptet, Fotos mittels iBrute und EPPB von iCloud-Backups zu extrahieren. Das wirkt allerdings nicht authentisch, da der Urheber von iBrute, IT-Forensiker Alexey Troshichev, die Software just an dem Tag auf Github veröffentlichte, als Apple die Sicherheitslücke Ende August geschlossen haben soll.
iBrute soll eine Lücke in Apples „Find my iPhone“-Feature ausgenutzt haben, die es erlaubte, ohne Unterlass mögliche Passwort-Kombinationen für den iCloud-Login per Bruteforce auszuprobieren. Allerdings sind über iCloud nur Fotos und Dokumente in der Cloud verfügbar. Die erwähnte Software von Elcomsoft erlaubte hingegen den Download des gesamten iCloud-Backups und somit den Zugriff auf weit mehr persönliche Daten wie Kalender-Daten, das Adressbuch und auch Textnachrichten. Apple bestreitet dies jedoch. In einem Statement, das zu den Vorgängen am Dienstag veröffentlicht wurde, heißt es:
„[N]one of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud® or Find my iPhone.“
Apple
Im Anon IB Forum boten Hacker jedoch unerfahreneren Nutzern sogar ihre Dienste an. Ein Passwort wäre toll, aber nicht zwingend notwendig, war einer. Jemand anderes bot an Alles aus der iCloud herauszuholen, ganz gleich, ob es von der Freundin, der Mutter, der Schwester oder dem Klassenkameraden stammt.
Apple wusste Bescheid
Die Anfangs erläuterte Möglichkeit, Daten aus iCloud-Backups zu entwenden, sollte für Apple trotzdem keine Neuigkeit darstellen. Sie ist mindestens seit über einem Jahr bekannt. Ende 2013 (PDF) veröffentlichte der IT-Forensiker Vladimir Katalov auf der „Hack in the Box“-Konferenz Ergebnisse, die zeigten, wie es möglich ist, iCloud-Backups zu kompromittieren. Im Internet hatte er allerdings bereits im Mai 2013 darüber geschrieben.
Abermals pikantes Detail: Katalov arbeitet für Elcomsoft, das Unternehmen aus Russland, dessen Software die Hacker genutzt haben, um die Nacktbilder von Sternchen wie Jennifer Lawrence oder Kaley Kuco zu extrahieren. Die Software ist zum Preis von 399 Euro in der „Forensic Edition“ bei Elcomsoft zu erwerben, die für den iCloud-Coup notwendig ist. Doch wie bei jeder begehrten Software gibt es illegale Kopien gratis über Tauschbörsen herunterzuladen.
Begeht Elcomsoft strafbare Handlung?
Neben Elcomsoft gibt es noch weitere Hersteller, die Tools auf Basis von Reverse-Engineering-Techniken erstellen, und damit das Auslesen von Daten erlauben, wo es gar nicht vorgesehen ist. Doch EPPB ist in der Szene relativ beliebt. Der Anbieter muss sich die Frage gefallen lassen, warum er für die Software offen wirbt, mit einem Statement wie:
„Data can be accessed without the consent of knowledge of the device owner, making Elcomsoft Phone Password Breaker an ideal solution for law enforcement and intelligence organizations.“
Elcomsoft
Denn der EPPB kann also ohne Zustimmung des eigentlichen Besitzers Zugriff auf die Daten bereitstellen. Weil der Anbieter um die gesetzliche Grauzone weiß, zitiert er auf seiner Homepage eine Maßgabe des IT-Branchenverbands BITKOM, der Passwortwiederherstellungstools legal einstuft.
Verstößt Elcomsoft gegen Apples Urheberrecht?
Das EPPB-Tool von Elcomsoft ist nicht auf Grundlage eines Abkommen zwischen Apple und der Firma entstanden, sondern basiert vollständig auf Reverse-Engineering-Code. Das heißt, das Unternehmen hat nach und nach Apples iCloud-System ausgespäht, um es zu verstehen und nachzubauen.
Laut eines IT-Fachmanns, den Wired befragt hat, hätte Apple in diesem Fall trotzdem mehr unternehmen können, die Software von seinen Servern auszusperren.