Tutta colpa del Cloud: ecco come gli scatti hot delle star sono finiti in rete.
“Non me l’aspettavo da Apple”; “Le star sono state imprudenti!”; “Sia benedetto l’hacker“…
Si è sentito e letto di tutto a proposito del furto di foto osé delle Vip più in vista dello Star System dal servizio iCloud di Apple. Ma forse, a mente fredda, possiamo ragionare sull’accaduto e cercare di trarne qualche utile insegnamento.
Facciamo un passo indietro di qualche giorno, per coloro che sono rientrati tardi dalle ferie estive: il 1 settembre ha impazzato sui quotidiani la notizia del furto di
immagini private di numerose star di Hollywood (fra le quali Kate Upton e Jennifer Lawrence) dal proprio profilo iCloud. Le foto in questione ritraggono le interessate in atteggiamenti hot o in momenti intimi coi rispettivi partner. Inutile sottolineare il putiferio che si è scatenato pochi minuti dopo la pubblicazione della notizia: scene da assalto ai forni dopo una dichiarazione di guerra!!
La risonanza mediatica è stata imponente, anche a fronte della divulgazione di un ulteriore “dettaglio”: il sistema dal quale sono stati sottratti i dati altro non è che il blasonato iCloud di Apple. Sì, proprio lei, uno fra i marchi più prestigiosi sul pianeta Terra e azienda che, da sempre, si fa forte dell’usabilità e anche della sicurezza dei propri sistemi. Eppure, è emerso che il furto in questione è stato eseguito non da un gruppo di hacker finanziati dai governi, bensì da un singolo individuo. Cosa è successo? Com’è stato possibile?
Discutere di sicurezza informatica è, più o meno, come parlare di calcio: tutti ne discutono con apparente cognizione di causa ma, di fatto, ognuno ne capisce poco o niente, a parte il Mourinho di turno. Noi Mourinho non ce l’abbiamo in redazione, ma proviamo comunque a mettere in fila alcune considerazioni, nella ricerca della risposta alla domanda che si sono posti tutti: “Di chi è la colpa?” I patres, che di informatica non si interessavano, dicevano “in medio stat veritas” (la verità è nel mezzo). Va bene, va bene: lasciamo perdere le frasi ad effetto e entriamo nel cuore del problema.
Coloro che, tra voi, fanno uso di apparecchiature Apple, sapranno che quest’ultima ha messo a disposizione, tempo fa, alcuni servizi nel proprio Cloud (iCloud, appunto). Tali servizi sono accessibili, nello stesso modo, da qualunque dispositivo Apple posseduto, sincronizzando i dati dei vari iPhone, iPad, etc.
Bello. Comodo. Ma in ingegneria, come nella vita, “il diavolo fa le pentole ma non i coperchi”, ossia, niente è inviolabile. Fra i vari servizi resi accessibili, c’è anche l’applicazione Trova il mio iPhone, che consente di verificare la posizione del proprio cellulare in caso di smarrimento. Chiaramente, per usufruire del servizio, bisogna accedere con le proprie credenziali Apple: username e password. L’attacco, dunque, ha consentito all’hacker di sottrarre la password degli account delle vip e accedere ai loro
dati: come dire che si è riusciti a prendere le chiavi di casa di qualcuno di cui si ha l’indirizzo. Da lì in poi, razzia! Ma come ha fatto il tizio in questione?
Apple si è sperticata in proclami, asserendo che il proprio sistema iCloud è sicuro e non è stato violato, specificando che attacchi del genere non potranno più avvenire, dal momento che è stato rilasciato un aggiornamento di iCloud (curiosa antitesi: “il mio sistema è sicuro” e “ho rilasciato un aggiornamento di sicurezza” profumano di frasi in perfetta contraddizione). L’attacco è stato banale: l’hacker ha scoperto in qualche modo gli indirizzi e-mail delle star (phishing? Indirizzi pubblicati sulle proprie bacheche Facebook? Tutto fa brodo), e fin qui non ci vuole molto. Dopodiché, ha fatto girare un programmino (script) che cercava di forzare il reset delle password, provando e riprovando a indovinare la domanda segreta che il sistema propone a valle della richiesta di reset password. Alla fine, il programmino ha indovinato e l’hacker ha resettato la password.
Sissignori, avete capito bene. Si tratta del più banale tipo di attacco informatico noto all’uomo: il BRUTE FORCE! “Ma come, alle superiori mi parlavano del brute force come di un oggetto che… sì, esiste, ma chi lo usa più?”.
Eppure, mancava una protezione banale di cui ogni sistema Corporate è dotato per proteggersi dal brute force (ad esempio, blocco dell’account dopo un tot di tentativi di accesso). Fin qui, bacchettate sulle mani a Apple e ai suoi sistemi “sicuri”. Ora, però, tocca alle VIP: questo tipo di attacchi sono difficili da effettuare nei casi in cui si sia scelta una password abbastanza robusta (non 12345, ma una con numeri, lettere maiuscole e minuscole, caratteri speciali come il “!”) e una domanda segreta a sua volta impenetrabile. Se un’attrice sceglie, come domanda segreta, il nome del proprio cane, ogni appassionato di gossip, di fatto, potrebbe essere in possesso della risposta, per così dire, segreta.
C’è di più: Apple, come Google e altri, mette a disposizione meccanismi di autenticazione a due fattori (o forte), per proteggere meglio i propri dati. L’avete vista mille volte nei sistemi di home banking: quando accedete al sito della vostra banca per fare un bonifico, il sistema, oltre a username e password, vi chiede un numerello casuale che vi viene fornito da un gingilletto (token) con un display in cui girano dei numeri. Nel caso di Apple, dopo aver inserito username e password, vi viene inviato un sms (ad esempio) con un codice valido per un tempo limitato e, solo dopo averlo inserito, viene consentito l’accesso ai dati. Molto più protetti, no? Vi devono intercettare l’SMS e usarlo nel giro di poche ore. Diventa praticamente infattibile un attacco del genere, in questo caso. Peccato che le VIP o non l’abbiano attivato (è un meccanismo opzionale) o addirittura non ne conoscano l’esistenza. E infine, l’ultima considerazione: è opportuno salvare le foto delle proprie “acrobazie” su un server che sta chissà dove? Si, sta nel Cloud di Apple, ma in generale non è sotto la vostra scrivania. Su quest’ultima questione, lasciamo il giudizio al lettore ma, sul resto, c’è da dire che dovete diffidare, diffidare e ancora diffidare da proclami del tipo “state sereni, i sistemi sono sicuri!” quando a pronunciarli è un’azienda che si riferisce ai PROPRI sistemi.
Questo per due motivi: il primo è, come si dice a Roma, “Oste, com’è er vino ?”; il secondo è che, se il sistema è esposto in Internet, è, per definizione, vulnerabile. Il fatto che venga bucato, dipende da quanto costa farlo e da quanto tempo ci vuole. Ad oggi, per darvi un’idea, un attacco fatto ad un sistema web di una banca richiederebbe molti anni per essere portato a termine e costi esorbitanti; ma non è detto che in futuro…
Il consiglio della nonna è sempre lo stesso: proteggete i vostri dati, quelli strettamente personali, non metteteli nel Cloud (qualunque esso sia: Apple, Google, etc), cambiate spesso le password e attivate l’autenticazione a due fattori.
“Eh, quanto casino, cosa vuoi che mi rubino, io non sono nessuno, oggi”, potreste obiettare. Vero, ma se oggi caricaste nel Cloud le vostre foto come mamma vi ha fatte/i e domani diventaste star del cinema??
Kuldran McInnis
Lascia un commento