Hakowanie i kradzież nagich zdjęć gwiazd to nic trudnego

Selfie topless via Wikimedia commons.

Emma Watson popadła ostatnio w konflikt z najgorszą częścią internetu, przemawiając w siedzibie ONZ ‒ okazało się, że jako zbyt wygadana obrończyni praw kobiet popełniła przestępstwo. Ktoś teraz twierdzi, że posiada nagie zdjęcia Watson, które za chwilę mogą wypłynąć. Zgaduję, że są to fotki zemsty? Możliwe, że to oszustwo, ale z drugiej strony kilka dni temu miał miejsce podobny wyciek, co sprawia, że ta groźba wydaje się wiarygodna.

Chociaż istnieją też złośliwi publicyści, którzy obwiniają piosenkarzy i gwiazdy filmowe za posiadanie na telefonach swoich nagich selfie, to jednak tym razem szum medialny wokół sprawy nie wydaje się już tak ogromny. Może ten wilczy apetyt zboczeńców z Reddit i 4chan na cycki zmęczył już media. W końcu kradzież rozmazanych, źle wykadrowanych fotek ludzi, którzy chcieli w ten sposób zakomunikować bliskiej osobie: „Jestem napalony/a", to nie to samo co kradzież wypolerowanych zdjęć z alkowy. W zasadzie to krok w stronę kradzieży zdjęć rentgenowskich klatki piersiowej i masturbowania się przy oglądaniu zarysu konturów czyichś sutków.

Innymi słowy te polityczne pogróżki wobec Emmy Watson są jak działania najbardziej nieefektywnej i nieszkodliwej grupy terrorystycznej na świecie. Ale jeśli wierzyć słowom Nika Cubrilovica ‒ byłego hakera prowadzącego obecnie blog na temat bezpieczeństwa w internecie ‒ to mniej imponującą rzeczą niż same zdjęcia jest proces, który tak chętnie nazywamy hakowaniem.

Rozmawiałem z Cubrilovicem na temat skradzionych zdjęć. Na początku myślałem, że będziemy dyskutować, kto jest winny ich przecieku do sieci. Jednak w trakcie rozmowy dowiedziałem się o wiele więcej, niż mogłem sobie na ten temat wyobrazić. Możliwe, że odbywa się to starą hakerską metodą łamania wszelkich zabezpieczeń komputerowych, ale równie prawdopodobne jest to, że złodzieje tych zdjęć robią najpierw wielogodzinny dokładny research na temat celebrytów, a potem opowiadają stek kłamstw, żeby uzyskać to, co potem publikują. Do tego nie potrzeba za dużych umiejętności.

Autoryzowane selfie Nika Cubrilovica. Dzięki uprzejmości Nika Cubrilovica.

VICE: Cześć, Nik! Kogo możemy winić za wyciek nagich zdjęć?

Nik Cubrilovic: Gdy społeczeństwu przekazuje się jakąś informację, często jest ona postrzegana w binarny sposób: dobry człowiek lub zły człowiek. A tu mamy do czynienia z sytuacją, gdy poza właściwymi hakerami można winić - „winić" to w sumie za mocne słowo - szukać odpowiedzialnych za to w dość szerokich kręgach.

Czy można za to winić firmę Apple?

A czy Apple ma obowiązek chronić czyjeś dane? Robią to, ponieważ ludzie im ufają.

Co sprawia, że Apple jest mniej bezpieczne?

Chyba najlepiej będzie wytłumaczyć ich winę (z braku lepszego słowa), rozważając to z następującej perspektywy: jest trzech głównych dostawców telefonów, każdy z nich należy do jednego z trzech ekosystemów: mamy iPhony z oprogramowaniem Apple'a, Google na Androida i Microsoft, który obsługuje Nokię i inne sprzęty. Z tych trzech Apple jest jedyną firmą, która nadal korzysta z pytania bezpieczeństwa. Jak to po prostu bywa, robią coś inaczej niż dwaj pozostali producenci i zostało to zwyczajnie wykorzystane, żeby włamywać się na te konta.

Jesteś przeciwnikiem pytań bezpieczeństwa?

O, tak… Pytania bezpieczeństwa to ogromny błąd. Google pozbył się ich jakieś cztery lata temu, a Microsoft nie korzysta z nich od trzech lat. W skrócie: podstawą tego problemu jest możliwość zresetowania hasła użytkownika przez proste wprowadzenie jego daty urodzenia i odpowiedzi na dwa pytania bezpieczeństwa.

Te pytania sprawiały, że czułem się pewniej w sieci. Co poszło nie tak?

Kiedy wciśniesz reset, pojawią się dwa z trzech pytań bezpieczeństwa, które wprowadzałeś przy zakładaniu konta, a jeśli odpowiesz na nie poprawnie, uzyskasz do niego dostęp. Schemat pytania bezpieczeństwa był używany offline w bankach i tego typu instytucjach w latach 60. i 70. XX wieku, żeby sprawdzić czyjąś tożsamość. Zostało to wprowadzone online w latach 90., ale koncerny szybko się zorientowały, że było to łatwe do przeskoczenia, bo w dzisiejszych czasach wszyscy umieszczają o sobie informacje w internecie. Dużo łatwiej znaleźć teraz czyjąś datę urodzenia na Facebooku, dowiedzieć się, do jakiego liceum ktoś uczęszczał, jakim samochodem jeździ albo jakie imię nosi jego zwierzak. A jeśli chodzi o celebrytów, jest to jeszcze łatwiejsze, bo wiele z tych informacji znajduje się na Wikipedii albo na portalach plotkarskich.

Czyli jeśli dowiem się, co Jennifer Lawrence umieściła pod hasłem „ulubione miasto" i „ulubiona drużyna", a dodatkowo będę znać jej datę urodzenia, to wejdę na jej konto?

Dokładnie tak. I ktoś już to właśnie zrobił.

Skąd wiesz, jak to wszystko przebiegało?

Nie jest to potwierdzone na 100 procent. Jednakże wiem, gdzie ci goście to publikowali. Wiedziałem, jakie fora odwiedzali, i wiedziałem, że należeli do pewnego rodzaju subkultury, która wykrada kopie zapasowe i zdjęcia pornograficzne ‒ „zemsta porno" czy jakkolwiek chcesz to nazwać. Więc włamałem się na te fora i rozmawiałem z niektórymi z ich członków. Jeśli poczytasz ich porady, jak hakować konta, to zobaczysz, że porada numer jeden brzmi: jak uzyskać odpowiedzi na pytania bezpieczeństwa. Poza tym jest to to samo forum, z którego pochodzą zdjęcia.

To takie forum wymiany doświadczeń?

Dam ci przykład, jak to wygląda na takim forum. Weźmy osobę, która wstawiła zdjęcie ‒ widać na nim jej samochód. Załóżmy, że to zaparkowany na plaży kasztanowy mercedes, model z połowy lat 90. Zwykły samochód na pustkowiu, a pytanie obok zdjęcia brzmi: „Co to za samochód?". Ciągle to widziałem. Zdjęcie było zrobione wewnątrz auta, a jakiś typ pytał, jaki to model samochodu. Dziwiłem się, że ktoś w ogóle o to pyta. Dopiero później dotarło do mnie, że jedno z pytań bezpieczeństwa na Cloud brzmi: „Jakim jeździsz samochodem?". Dokładnie w ten sposób postępowali ci goście. Szukali zdjęć opublikowanych przez ludzi, których chcieli hakować, i próbowali znaleźć takie, na których było widać ich samochody. A kiedy nie mogli sami dojść, co to za marki, umieszczali foty na tych forach, żeby inni im pomogli.

Czyli w pewnym sensie ci ludzie przyczyniają się do kradzieży?

Tak. Zdałem sobie z tego sprawę, kiedy ktoś odpowiedział, że „czasem dziewczyny nadają swoim samochodom imiona". Całe forum, a na pewno jego 90 procent, koncentruje się po pierwsze na uczeniu ludzi tych metod, a po drugie ‒ na pomocy im poprzez udzielanie odpowiedzi na pytania. Tak więc uczy się ludzi, jak prześladować kogoś online. Żeby odpowiedzieć na niektóre z tych pytań, musisz naprawdę dobrze poznać swój obiekt zainteresowania. Trzeba poświęcić dużo czasu, żeby zebrać jak najwięcej informacji na jej/jego temat. Jeśli wejdziesz na konto Apple, zobaczysz, że jest tam 12 pytań, spośród których użytkownicy mogą wybierać. Ale przy odrobinie cierpliwości można znaleźć odpowiedź na każde z nich.

A co z adresem mailowym, który trzeba wpisać, żeby w ogóle móc zacząć?

Można wykupić dostęp do bazy danych tak jak na intelious.com. Jest tam kilkoro innych providerów. Możesz wejść i wprowadzić czyjeś imię. Płacisz od 2 do 60 dolarów, uzyskując dostęp do wszystkich publicznych danych konkretnej osoby. Więc jeśli znasz czyjeś pełne imię i jego datę urodzenia, możesz poprosić o dostęp do jego publicznej bazy danych.

Istnieje jakaś inna metoda, jeśli chodzi o celebrytów?

Drugą metodą jest socjotechnika. Możesz skontaktować się z czyimś agentem. Udajesz, że jesteś kimś innym i w ten sposób próbujesz wysępić adres mailowy. Istnieje jeszcze trzeci sposób: kiedy już zhakujesz jakiegoś celebrytę, kopiujesz jego książkę adresową i masz dostęp do danych całej armii innych celebrytów, którzy posiadają z kolei adresy jeszcze następnych. Tak to właśnie działa.

Ludzie powinni myśleć o sobie jako tarczy ochronnej dla swoich znajomych?

Mówimy tutaj o pewnego rodzaju najsłabszym ogniwie. Dzięki portalom społecznościowym i książkom adresowym taki słaby punkt nie jest trudny do znalezienia. Włamywacz musi tylko gdzieś znaleźć to najsłabsze ogniwo. Powinniśmy chronić i zabezpieczać wszystko, co zawiera hasła dostępu, i uważać na każdą osobę, z którą byliśmy w kontakcie, bo nowoczesne skrzynki mailowe automatycznie dodają do książki adresowej każdą osobę, z którą wymieniamy wiadomości.

W takim razie będę musiał bardziej uważać. Dzięki, Nik!