skip to main | skip to sidebar
9 commenti

Foto di celebrità trafugate da iCloud, l’indagine identifica un sospettato dilettante

A settembre scorso erano finite in Rete moltissime foto intime di celebrità soprattutto statunitensi, sottratte dai loro smartphone. Per gli internauti è ormai storia passata, ma per l'FBI è invece un'indagine ancora in corso, che ha portato ai primi risultati. Il colpevole principale sarebbe un certo Emilio Herrera, titolare dell'indirizzo IP di Chicago dal quale sono stati effettuati ben 3263 tentativi di accesso a 572 account iCloud differenti nel corso di vari mesi.

La segnalazione del comportamento anomalo è giunta agli inquirenti dalla Apple, logicamente insospettita dal fatto che uno stesso indirizzo IP potesse avere così tanti account.

L'intruso scaricava il contenuto dell'account iCloud della vittima usando uno strumento software facilmente acquistabile in Rete e altrettanto facilmente usabile. È forse questo l'aspetto più interessante della vicenda: l'intrusione non è frutto di chissà quali competenze da superinformatici. Un intruso digitale intelligente non sarebbe stato così ingenuo da accedere a tutti quegli account da uno stesso indirizzo IP, men che meno dal proprio.

Un altro trucco molto diffuso e molto efficace rimane il classico phishing: l'invio alla vittima di una mail che simula di provenire dall'assistenza tecnica del cloud e convince la vittima a visitare un sito che imita quello del cloud ma è in realtà gestito dal ladro e chiede di immettere nome utente e password, che così finiscono in mano al criminale.

La prevenzione resta sempre il rimedio più efficace: se non ci sono foto intime da rubare, non c'è intrusione che tenga. E se proprio si sente il bisogno di farsi selfie potenzialmente imbarazzanti, è meglio usare un dispositivo non connesso a Internet, come per esempio una normale fotocamera.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (9)
Refuso:

Un intruso digitale intelligente sono sarebbe stato così ingenuo

"sono" invece di "non".
Refuso corretto, grazie!
Non so, sarò ipersensibile io, ma a me consigliare alla gente di non fare foto intime se non vuole farsele rubare assomiglia un po' troppo al consigliare alle donne di non mettersi la minigonna se non vogliono farsi molestare.

Per esempio, uno dei motivi per cui era facile entrare negli account Apple era la presenza della "domanda segreta" per recuperare la password. Erano gli utenti a richiedere quella funzione? No, era suggerita da Apple (o magari era anche obbligatoria? Conosco servizi su internet che non ti fanno andare avanti nell'iscrizione se non scegli una combinazione domanda/risposta di recupero password).

E Apple al tempo stesso vendeva il servizio come l'ideale per conservare dati personali.

L'analogia più appropriata mi sembra quella di un fabbro che installa casseforti nelle case dei clienti, dicendo che sono l'ideale per conservare cose e documenti preziosi, quando in realtà si aprono con un cacciavite. Se subisco un furto, sono io coglione che ho avuto "l'ardire" di comprare dei gioielli, o è stato truffaldino il fabbro che mi ha venduto un oggetto con caratteristiche inadatte allo scopo con cui me l'ha consigliato?
Gwilbor,

L'analogia più appropriata mi sembra quella di un fabbro che installa casseforti nelle case dei clienti,

Il problema è che Apple non è un venditore di casseforti. Non è una società che ha come prodotto chiave la sicurezza e la protezione dei dati dei clienti. Vende telefonini.

Ora se io vado da un venditore di casseforti e scopro che mi ha venduto una cassaforte che si apre con una forcina, gli faccio causa e vinco perché da un venditore di casseforti ci si aspetta che venda un prodotto sicuro, dato che è l'unico che vende. Ma Apple vende mille altre cose e soprattutto guadagna su quelle altre cose e non sulla sicurezza. Affidare la propria sicurezza a una società che non ha al centro del proprio business la sicurezza è intrinsecamente sbagliato: se lo faccio, sono stupido io.
Il problema è che Apple non è un venditore di casseforti. Non è una società che ha come prodotto chiave la sicurezza e la protezione dei dati dei clienti. Vende telefonini.

Questo mi sembra una petizione di principio. Se già stabilisco che Apple non è responsabile della sicurezza, allora arrivo alla conclusione che non è responsabile della sicurezza. Non fa una piega!

Ma nel momento in cui vende servizi di storage di dati personali, diventa un venditore dell'equivalente informatico della cassaforte. E se mi fa delle promesse riguardo al loro funzionamento, è lei in difetto. Mi sembra un principio elementare del commercio. Deve essere ritenuta responsabile di quello che vende, non tanto perché voglio sbolognare la colpa a qualcun'altro, ma semplicemente incentivarla a fornire un prodotto onesto. Se Apple vuole fornire un sistema di storage dei dati personali integrato con la sua piattaforma, sarà lei a interfacciarsi col "venditore di cassaforti" informatico, che farà da consulente e quindi deve essere responsabilizzata in modo da vendere effettivamente il prodotto che pubblicizza.

Se a me la Fiat mi vende un auto con candele Magneti Marelli difettose, è responsabile la Fiat che non sta attenta a cosa le fornisce la MM, o sono responsabile io, cliente finale, che sono stato così sventato da comprare le candele per la mia macchina da una azienda che non ha la fabbricazione di candele come suo core business?
Per me ha perfettamente ragione Gwilbor. La apple ha tutta la responsabilità del caso _SE_ gli utenti non hanno fatto qualcosa che invalidasse il sistema (es. password banali o domande segrete ovvie). Che poi, è bene evitare di compiere certe azioni perché può capitare qualcosa è perfettamente sensato.

Il discorso della minigonna non c'entra. Minigonna o meno alcuni animali (esseri umani sarebbe un complimento) compierebbero comunque quell'atroce gesto. Qua viene da domandarsi perché fare questi autoscatti....
Non so, sarò ipersensibile io, ma a me consigliare alla gente di non fare foto intime se non vuole farsele rubare assomiglia un po' troppo al consigliare alle donne di non mettersi la minigonna se non vogliono farsi molestare.

Il discorso "se non vuoi farti rubare l'oggetto X, non devi possedere l'oggetto X" è una tautologia e che in molti casi comporta situazioni estreme ed improbabili ("se non vuoi farti rubare il cellulare, non comprarlo"). Ma siccome nell'articolo si sta parlando di intrusioni informatiche, si dà per scontato che la frase "se non ci sono foto intime da rubare" sia relativa a foto presenti su apparecchi che possono essere violati tramite accesso remoto.
E infatti Paolo dice di usare dispositivi non connessi ad internet, per poter almeno evitare questo genere di intrusioni a distanza. A quel punto saresti esente dal rischio di furto? No, perchè potrebbero comunque rubarti la fotocamera, la scheda o l'hard disk su cui le hai salvate. Un conto è impedire il furto di informazioni replicabili a distanza tramite trasmissione di dati...ma impedire il furto FISICO di un oggetto è tutt'altra storia. E a questo punto si torna al discorso di partenza: l'unico metodo efficace al 100% è il non-possesso dell'oggetto in questione. Tutti gli altri, per quanto validi, saranno meno efficaci.

Più che somigliare al consiglio della minigonna, che sappiamo tutti essere fallace (e immagino che tu l'abbia postato proprio per questo motivo), il consiglio di Paolo mi sembra più simile a chi dice che è meglio non lasciare all'interno dell' auto oggetti di valore o di natura confidenziale. Non è che portandoteli dietro o lasciandoli a casa puoi impedire che ti vengano rubati...ma, data la relativa facilità con cui un ladro può aprire un'automobile incustodita (e l'impossibilità di poter nascondere tali oggetti in posti inaccessibili all'intruso), lasciarli al suo interno quando si parcheggia la macchina e equivale ad aumentare drasticamente il rischio di furto.
Nessuno verrà a dirti che "per evitare che ti rubino il navigatore o un cd, non devi comprarli". Ma probabilmente il buonsenso dice a tutti che, quando si scende dall'auto, è meglio portarsi dietro questi oggetti anzichè lasciarli al suo interno.
(forse il commento precedente è stato inviato due volte...in quel caso, cancella pure il doppione)

Per esempio, uno dei motivi per cui era facile entrare negli account Apple era la presenza della "domanda segreta" per recuperare la password.

Il metodo della domanda segreta, molto comune tra gli account di posta elettronica, aveva iniziato a mostrare le sue debolezze già molti anni fa.
Mi ricordo che già nel 2004, quando ho iniziato ad affacciarmi ad internet, molti siti consigliavano di usare risposte false ("come si chiama il tuo migliore amico?" "Superman"), in quanto non era poi così difficile che un malintenzionato potesse venire a conoscenza della risposta giusta.
La domanda segreta, a cui molti utenti non davano nemmeno troppo peso, diventava invece il passaggio perfetto per poter accedere all'account e per prenderne il possesso.

Era però una casistica ancora molto limitata: i soggetti più a rischio erano principalmente i personaggi pubblici (per i quali la risposta a "come si chiama il tuo cane?" poteva non essere così segreta) oppure le vittime di ex-fidanzati gelosi o altri conoscenti in cerca di vendetta.
Oggi, con l'avvento dei social network, è incredibilmente più facile scoprire il nome del cane, migliore amico, film preferito, ecc...di una persona, anche sconosciuta. E purtroppo molti siti si ostinano a farti scegliere solo tra domande pre-impostate, il cui livello di "segretezza" è ormai prossimo allo zero.

Quindi il miglior consiglio rimane quello delle risposte false....purchè poi ve le ricordiate :)
Apple ha adottato l'autenticazione a due fattori. Non usarla è da idioti come pure accade per google, libero, etcetc. Accedere all'account vuol dire non solo azzeccare account e password ma anche possesere fisicamente il dispositivo per il secondo livello di autenticaziond o la password della mail su cui si riceve il secondo codice che se è di un provider serio ha a sua volta un secondo livello di autenticazione.
Apple i dati li protegge ed anche bene ma contro gli utenti idioti, beh... Contro gli idioti non c'è secondo terzo quarto ennesimo livello di autenticazione che tenga.
Riprova, i servizi di intelligence di mezzo mondo hanno a lamentarsi proprio della cifratura dei servizi Apple... E non solo.