Привет, иногда я буду писать тут переводы (а возможно что-то и от себя) интересных мне статей на IT-тематику. На данный момент интересными для меня являются perl, mojolicious, iOS, информационная безопасность, titanium appcelerator и многое многое другое. Ошибок в переводах будет скорее всего много но с вашей помощью я буду стараться их исправлять.
Заставляем PCKeyboardHack работать на Mountain Lion 10.8
Как известно PCKeyboardHack перестал работать на новой Mountain Lion 10.8 а автор не особо торопится выпускать новую версию но эта проблема решается изменением одного байта в конфигах PCKeyboardHack:
Установить PCKeyboardHack для 10.7
Перезагрузится
Отредактировать под рутом файл /Library/org.pqrs/PCKeyboardHack/scripts/kext.sh.
Перезагрузится
Посмотрев на код мы видим что этим простым действием мы скриптом определяем что программа запустилась под новой OS X Mountain Lion 10.8 которая по счету идет 12ым, скрипт о ней раньше не знал, но сейчас ее без проблем определяет и загружает .kext файл от предедущей OS X Lion 10.7 которая без проблем работает в новой 10.8.
Anya is live and ready to show you everything. Watch her strip, dance, and perform exclusive shows just for you. Interact in real-time and make your fantasies come true.
✓ Live Streaming✓ Interactive Chat✓ Private Shows✓ HD Quality
Anya is LIVE right now
FREE
Free to watch • No registration required • HD streaming
Новое поколение iPhone'ов буде объявленно уже в следущем месяце а одним из самых обсуждаемых слухов является новый размер экрана который увеличится до 4ех дюймов по диагонали а так же новое разрешение 640×1136 которое будет сопутсвовать новый экран.
Разработчикам естественно хочется посмотреть на их приложения в новом разрешении и чтобы это сделать нужно проделать следущие шаги:
Сохраните следущий xml код под именем File.txt в ~/Library/Application Support/iPhone Simulator
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>E</key> <string>Well, this was fun to discover. But don't change this magic value!</string> <key>EagleEnabled</key> <true/> <key>GiraffeEnabled</key> <true/> </dict> </plist>
Отредактировать файл /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/Applications/iPhone Simulator.app/Contents/Resources/Devices/iPhone (Retina).deviceinfo/Info.plist добавив в него следущие строки:
Теперь вы сможете протестировать ваши приложения под новым разрешением. Способ работает в xCode 4.4.1+ в iPhone Simulator 5.1 с iPhone Retina устройством, а разница видна на следущем скриншоте:
Как видно, в новом iOS 6 помещаются полные 5 строк приложений на экране тогда как в текущем разрешении в 5.1 помещаются только 4.
Как я лишился своей виртаульной жизни благодаря Amazon и Apple
В течении всего лишь одного часа вся моя "электронная жизнь" ушла коту под хвост. Сначала мой Google аккаунт был взломан и удален. Потом мой Twitter был взломан и использовался для рассылки гомофобных и рассистских шуточек. Но самым худшим из произошедшего был взлом моего Apple ID а затем и полным форматированием моих Macbook, iPhone и iPad удаленно.
Да, я признаю что в большинстве этом была моя вина потому как все мои аккаунты были связаны между собой что и повлекло к взлому всего что у меня было. Взлом моего Амазон аккаунта дал хакером возможность взломать мой Apple ID что помогло им войти в мой Gmail что затем дало им доступ в мой Твитер. Еслибы я использовал двухфакторную аутентификацию Google в полне возможно что ничего этого не случилось бы потомучто главной целью хакеров было получить доступ к моему Твитер аккаунту.
Если бы я регулярно делал бэкапы диска своего Macbook - мне сейчас не пришлось бы переживать из-за потери фотографий моей маленькой дочки с момента ее рождения по сегодняшний день, важные файлы/документы и имейлы которые больше нигде не хранились.
Вся эта неосторожность это моя вина и только, и я сильно теперь об этом сожалею.
Но то что случилось со мной так же раскрывает некоторые бреши в безопасности нескольких техподдержек таких крупных компаний как Amazon и Apple. Техподдержка Apple дала доступ хакерам к моему iCloud аккаунту. Техподдержка Amazon дала им увидеть всеголишь маленький кусочек информации - часть номера кредитной карты - которой было достаточно для Apple чтобы спокойной отдать мой аккаунт в чужие руки. В кратце, 4 последние цифры к которым Amazon относится можно сказать несерьезно - Apple считает их достаточно защищенными и приватными чтобы подтвердтить владельца аккаунта. Этот разрыв в политиках разных компаний является серьезной уязвимостью не только для нас - пользователей, но и для всей интернет индустрии, кошмар как у меня будет проявлятся все чаще и чаще по мере как мы вступаем в эру облачных вычислений и подключенных к ним устройствам.
Более того, если даже ваш компьютеры еще не подключенны к облакам - они скоро будут. Apple очень сильно старается чтобы все их пользователи перешли на iCloud. Вся ОС Google - в облаке. Windows 8 - самая облачно ориентированная ОС скоро будет доступна миллионам пользователей. Мой случай убедил меня в том что облачно ориентированным системам нужна совершенно другая концепция информационной безопасности. Пароли - могут быть подобранны, сброшены, и узнанны обычной социальной инженерией - не достаточны для новой эпохи облачных вычислений.
Мой случай - далеко не уникальный, в пятницу, 3 августа когда хакеры взломали мои аккаунты - я узнал что это случилось еще со многими пользоватили точно таким же способом, и как минимум еще один пользователь был взломан теми же людьми что и я.
Я понял что чтото не так около 5 вечера в пятницу. Я играл со своей маленькой дочкой как мой iPhone внезапно выключился. Мне в это время должны были позвонить поэтому я пошел подключить его заряжатся.
Когда я подключил его заряжатся - появилось окно настройки iPhone как будто телефон новый и его включили в первый раз. Меня это сильно раздражило но я ни о чем пока не подозревал и подумал что это просто какойто глюк, да и тем более мой телефон автоматом делает бэкап каждую ночь. Я немного расстроился что придется потратить время на восстановление телефона но не болье. Я затем ввел даные моего iCloud аккаунта для восстановления из бэкапа но мои данные не были приняты. Меня это опять сильно раздражило но я все еще ни о чем не подозревал.
Я затем подключил мой iPhone к компьютеру и хотел востановить его из бэкапа который я к счастью сделал за пару дней до этого случая. Когда я открыл крышку ноутбука - iCal (приложение календаря) уведомил меня что введенный Gmail пароль был неверен. Затем экран стал серым и появилось окно с запросом ввести 4 значный пин-код.
Но у меня никогда небыло никакого пин-кода никогда на компьютере…
К этому времени я уже понимал что произошло чтото очень и очень плохое… В первый раз я понял что меня взломали. Еще не понимая как именно это произошло - я отключил свой роутер и все компьютеры в доме, взял телефон жены и позвонил в Apple Care - техподдержку Apple и проговорил с ними следушие полтора часа.
Это был не первый звонок к ним насчет моего аккаунта. Более того, я позже узнал что ктото еще звонил насчет моего аккаунта всего лишь за пару минут до моего звонка. Но техподдержка Apple не посчитала нужным в тот момент сказать мне о том другом звонке не смотря на 90 минут времени потраченные мной с ними. Они вообще не сказали мне эту информацию сами, и только после того как я узнал детали взлома и спросил их напрямую - они признались в этом. А узнал я о первом звонке со слов самого хакера.
В 16:33 вечера по словам Apple ктото позвонил в техподдержку Apple и представившись мною завяил что он не может получить доступ к своему .Me аккаунту который был естественно моим.
В ответ, Apple выдала ему временный пароль. И это все не смотря на то что звонивший не смог ответить на секретные вопросы которые я настроил. Они выдали ему пароли после двух "обрывков" информации который почти любой смог бы достать имея доступ в интернет и к телефону.
В 16:50 вечера, письмо подтверждающее смену пароля прибыло в мой ящик. Я почти не использую свой .Me имейл и очень редко проверяю его. Но даже если бы я использовал его - я мог не заметить письма так как хакеры сразу же перенесли его в корзину. Так они смогли сменить и заполучить постоянный пароль к моему Apple ID.
В 16:52, письмо от Gmail со ссылкой для восстановления пароля от него же прибыло в мой .Me ящик. Двумя минутами позже, другое письмо пришло уже с подтверждением о смене пароля.
В 17:02 они сменили мой пароль на Twitter. В 17:00 они использовали iCloud'овскую "Find my…" утилиту для удаленного форматирования моего iPhone, в 17:01 они удаленно отформатировали мой iPad. В 17:05 они удаленно отформатировали мой MacBook. Примерно в тоже время они удалили мой Google аккаунт. В 17:10 я позвонил в AppleCare. В 17:12 взломщики запостили твит с сообщением что этот аккаунт был взломан ими.
Так как они отформатировали мой MacBook и удалили мой Google аккаунт - они не только отняли у меня возможность управлять моим аккаунтом но и предотвратили возможность их восстановления. И если бы только это, но теперь все мои семейные фотографии, первый год жизни моего ребенка, людей которых уже нет - все это пропало хоть и не являлось целью взлома. Ни даже 8 лет переписки в Gmail не являлось целью а всего лишь мой аккаунт в Twitter, все остальное было побочным эффектом.
Я потратил полтора часа разговаривася с техподдержкой AppleCare, но я ничего не мог выяснить, я даже не мог ответить на свои же секретные вопросы, я не понимал что происходит пока они мне не сказали
- "Мистер Herman, я извеняюсь но…"
- "Как вы меня назвали?"
- "Мистер Herman?"
- "Меня зовут Honan."
Все это время они смотрели в чужой аккаунт, из-за этого я не мог ответить на секретные вопросы и они не могли подтвердить что это именно я им звоню. И все из-за того что они не расслышали моей фамилии. Конечно же когда они нашли мой аккаунт и я смог подвердить им всю свою информацию (кредитную карту, биллинг адрес) - они ничего уже не смогли сделать.
Получается что билинг адрес и последние 4 цифры это все что нужно чтобы получить доступ к чьему то iCloud аккаунту. Продиктовав их - Apple выдаст вам временный пароль который дает полный доступ в iCloud.
Поддержка Apple утверждала мне неоднократно в течении выходных что все что мне нужно для доступа к чьему либо аккаунту это Apple ID имейл,
Я говорил с ними напрямую о их политике безопасности и их представитель Natalie Kerris постоянно твердила что Apple относится к безопасности своих пользователей очень серьезно и требует несколько видов подверждений перед выдачей временного пароля. Так же выяснилось что в данном случае их собственные правила безопасности были нарушены работниками тех поддержки но это был единственный случай и в данный момент проводится расследование. Но аккаунты всех остальных пользователей находятся под надежной защитой.
В понедельник работники сайта Wired попытались заполучить доступ к нескольким аккаунтам таким же способом и естественно они очень легко заполучили временный пароль. Все что им понадобилось это все тот же биллинг адрес и последние 4 цифры кредитной карты. Но как взломщики получили эту информацию?
В тот вечер после взлома я пытался понять насколько это все повлияло и какой след оставило на моей "виртаульной жизни". Мой Google аккаунт был удален, мой Твитер был заблокирован, мой телефон был полностью бесполезным так как я не мог его восстановить. Ну и по естественным причинам я остерегался использовать свой .Me имейл для общения с кем либо.
Я решил создать новый Twitter аккаунт пока мой не будет восстановлен, просто чтобы объяснить людям что происходит. Я вошел в Tumblr и запостил как я себе представляю произошел взлом. В тот момент я предпологал что мой 7 символьный Apple ID пароль был подобран брутфорсом. В комментариях люди предпологали что у подхватил гдето кейлоггер. В конце поста я указал свой новый Twitter аккаунт.
После этого один из хакеров отписался мне, он представился под именем "Phobia", я зафоловил его, он зафоловил меня.
Мы начали разговор в твитере и далее продолжили в AIM и по имейлу. Phobia смог дать достаточно информации о взломе чтобы было понятно что именно он причастен к взлому. Я согласился не пытаться искать возможность не сообщать о взломе в ФБР и не пытаться наказать его в обмен на информацию о происшедшем. Но сначала он настойчиво уточнял:
"Я не угадал твой пароль и я не брутфорсил его, у меня другие способы взлома…"
Я спросил его почему я был целью? Хотели ли они заполучить доступ к твитеру Gizmodo? - "Нет", он ответил, оказалось что он даже не был в курсе что у меня есть доступ к нему. Ему просто понравился мой трех-символьный Twitter аккаунт. Это все что ему нужно было, взять и испоганить кому нибудь все что только можно, ничего личного.
"Я тебя не знал и не держал никакого зла, просто мне понравился твой трехсимвольный Twitter аккаунт как я тебе уже сказал"…
После того как хакер заинтересовался моим Twitter аккаунтом, он вышел на мой сайт где увидел мой Gmail имейл. Предугадывая что это тот же имейл под которым я вхожу в Twitter он пошел на страницу восстановления пароля Gmail. Но он даже не запросил новый пароль.
Так как у меня небыла включена двухфакторная аутентификация в Google, Phobia ввел мой Gmail адрес и смог увидеть мой альтернативный адрес для востановления пароля. Google частично скрывает многие символы из адреса но то что увидел взломщик было достаточно.
Если бы у меня был не Apple имейл адрес или была бы включена двухфакторная аутентификация все бы остановилось на этом месте но увидев .Me адрес для восстановления пароля дало взломщику информацию что у меня есть Apple ID аккаунт что означало что я был уязвим ко взлому.
"Вообще это реально получить доступ к любому имейлу ассоциированному с Apple" сказал в одном из имейлов Phobia.
Так как у него уже было мой имейл - все что ему оставалось найти это мой биллинг адрес и 4 цифры кредитной карты для техподдержки Apple чтобы получить доступ к Apple ID.
Так как же он получил эту информацию? Он начал с легкого пути… Мой адрес был виден всем по whois запросу по моему домену где он нашел мой Gmail аккаунт. Если у вас нет своего домены то есть куча сервисов в интернете где можно найти ваш адрес (примеры для США - Spokeo, WhitePages, PeopleSmart).
Получить номер кредитной карты чуть сложнее, но способ все так же пологается на использовании уязвимостей крупных компаний. Phobia признался что не он а его партнер исполнил эту часть взлома. Способ оказался простым. Таким простым что в него до сих пор тяжело верится и опять же работникам сайта Wired пришлось повторить шаги чтобы убедится что все это правда.
Для начала нужно позвонить в Amazon и представится владельцем аккаунта который хочет добавить еще одну кредитную карту в свой аккаунт. Все что для этого нужно - это имейл и биллинг адрес. Amazon эту карту добавляет и вы можете вешать трубку.
Потом вы опять звоните в Amazon. На этот раз вы все тот же владелец аккаунта но который забыл свой пароль. Для подверждения вашей личности вы говорите свое имя, имейл, биллинг адрес и любую из кредитных карт. Например ту которую вы добавили в прошлом звонке… После даной верификации Amazon разрешает вам добавить еще один имейл адрес на аккаунт на который в на сайте того же Amazon'a восстанавливаете пароль на уже новый имейл адрес. С новым паролем можно зайти в аккаунт Amazon и посмотреть последние 4 цифры имеющихся там кредитных карт. Ну и как нам уже известно, Apple'у как раз нужны эти последние 4 цифры.
Что так же интересно, многие могут позвонить в Amazon c вашей картой. Вы заказывали пиццу по телефону и продиктовали карту? 16 летнего подростка который принял ваш заказ ничего не останавливает чтобы позвонить в Amazon и повторить эти шаги. А затем и в Apple.
Затем с моим именем, адресом, и последними 4мя цифрами моей кредитной краты в руках, Phobia позвонил в AppleCare и вся моя цифровая жизнь ушла в небытие.
Но можно сказать что я оказался удачлив.
Они могли использовать мои имейлы для доступа к моему онлайн банкингу и другим сервисам. Они могли связатся с людьми из моего списка контактов и использовать соц инженерию против них. За мои годы работы журналистом у меня собралось не мало знакомых влиятельных людей и кто знает чем бы все это могло закончится.
Вместо всего этого, хакеры просто устыдили меня, повеселились за мой счет и поиздевались над моими фоловерами в Twitter.
Я наделал очень много глупых вещей, которых вы не должны повторить.
Бэкапы, бэкапы, бэкапы… Из-за них я потерял (точнее за неимением) фотографии первого года жизни моей дочки и никого в этом не обвинишь кроме как меня.
Ненужно было связывать Apple ID и Gmail.
Но важнее всего ну нежно было использовать "Find My Mac". "Find my iPhone" это просто отличный сервис но он подходит только для телефонов, есть много увлекательных историй как владельцы находили свои утерянные/украденные телефоны. И когда вышел "Find my Mac" в прошлом году - я его сразу же включил не думаю что этот сервис не походит для компьютеров. Точнее в том виде в котором он сделан сейчас.
Ни Apple ни Amazon все еще не давали комментариев насчет усиления телефонной аутентификации.
Все способы все еще рабочие на понедельник, 6 августа.
