skip to main | skip to sidebar
23 commenti

Ricatto ad Apple: paga o cancelleremo i dati degli iPhone e di iCloud

Si fanno chiamare “Famiglia Criminale Turca” (“Turkish Crime Family”) e minacciano di cancellare i dati dagli iPhone e dagli account iCloud di almeno 300 milioni di utenti se Apple non pagherà un riscatto entro il 7 aprile. Considerata la portata della minaccia, potreste pensare a una richiesta di riscatto milionaria, ma la Famiglia ha pretese modeste: 75.000 dollari in Bitcoin o Ether oppure 100.000 dollari in carte regalo iTunes.

I ricattatori hanno contattato varie testate giornalistiche per cercare di rendersi visibili e credibili, e sono sicuramente riusciti a farsi notare, ma Motherboard racconta che finora le presunte prove presentate dalla Famiglia sono prive di conferme indipendenti.

Apple ha dichiarato che “non ci sono state violazioni dei sistemi Apple... La presunta lista di indirizzi di mail e di password sembra provenire da servizi di terzi violati in precedenza”.

Al momento non c’è motivo di farsi prendere dal panico, ma storie come questa sono sempre una buona occasione da cogliere per mettere alla prova le proprie impostazioni di sicurezza e chiedersi se sarebbero in grado di reggere a una minaccia di questo genere. Vale la pena, per esempio, di proteggere il proprio account con una password robusta (non ovvia e sufficientemente lunga) e unica (diversa da quelle usate per tutti gli altri servizi online) e con l’autenticazione a due fattori.

E naturalmente non dimenticate l’importanza di un buon backup dei vostri dati, salvato su un supporto scollegato da Internet.


Fonti aggiuntive: Hot For Security.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (23)
Piccolo errore, la valuta si chiama "Ether", Ethereum è la piattaforma/tecnologia di cui Ether è la "benzina".
Francesco,

grazie della correzione, ho sistemato al volo l'errore.
Mi sembra stupido farsi pagare proprio in carte iTunes: mediante la loro attivazione, Apple potrebbe risalire alla zona di diffusione in modo via via più preciso, fino a beccare gli "spacciatori-ricattatori".
Posto che Apple paghi, e non credo proprio.
Non ho potuto resistere, io uso The Access Code From Hell
TNG Ep. 4x03
Data docet, certo non ci sono caratteri speciali e maiuscole...
Se fossi Apple li pagherei immediatamente in gift card iTunes. Una volta avuta la lista degli account compromessi, forzano il cambio password a tutti e annullano tutte le gift card consegnate + ban a vita di tutti gli account iTunes che ne sono state in contatto
Io mi sono finora rifiutato di usare qualsiasi tipo di Cloud, i miei dati sono tutti salvati su 2 back up fatti su due HD che tengo a casa. Se mi bloccano il computer mi basta reinstallare il sistema operativo e copiare tutti i dati. Sto pensando di comprare un NAS da collegare al router wi-fi mantenendo comunque i due HD esterni per il back up dei dati, ma sono ancora un po' perplesso anche se l'accesso al wi-fi ha una password di 12 caratteri con nessuna relazione con me ed usata solo per quello.
Lampo13, se ti va a fuoco casa perdi tutto. So che è una condizione estrema, ma non impossibile. Dal mio punto di vista il backup deve essere duplice: sia sul cloud che su dischi esterni. Ognuna di queste due modalità ha pregi e difetti che risultano complementari nell'ottica di minimizzare il rischio di perdite di dati. Per i più paranoici, è possibile salvare su cloud dati cifrati in modo che non siano facilmente intepretabili in caso di accesso fraudolento. Molti produttori di NAS (io ne ho uno Synology) mettono a disposizione questa tipologia di approccio in modalità trasparente.
Il Wi-fi è la regina delle cose con cui evito di aver a che fare perchè mi spaventa anche se a me non ha fatto niente di male.
@Lampo13
La mia è di 63 alfanumerica random... e sta scritta solo su fogli di carta attaccati al router. Non ti dico configurare la stampante wireless quando ho dovuto selezionare la password... perchè ovviamente il WPS è rigorosamente disattivato. Hackerare un router con il WPS attivo è relativamente facile, meglio disattivarlo.
Se vuoi un consiglio: salva i tuoi dati su un NAS, magari un economico D-Link con 2 soli dischi in mirroring (RAID1), ma MAI, MAI, MAI renderlo accessibile dall'esterno e tieni comunque SEMPRE almeno una copia di backup del NAS, meglio 2.
I router casalinghi sono tutti più o meno espugnabili, il NAS in rete è comodo, per carità, ma è potenzialmente sempre a rischio e solo una copia offline (cioè due...) è l'unica garanzia contro, esempio, un criptovirus.
@Lampo13
]zac[
carità, ma è potenzialmente sempre a rischio e solo una copia offline (cioè due...) è l'unica garanzia contro, esempio, un criptovirus.

Purtroppo non sono una garanzia dai cripto malware (nei casi di cui sono a conoscenza il programma non si diffonde da un sistema ad un altro).

Dipende dal numero di backup e dalla loro estensione nel tempo.

Per esempio, come mi hanno riferito, se il malware criptasse e decriptasse al volo/nascostamente i file (senza cambiarne il nome) per qualche mese, per poi bloccare di colpo la decriptazione, l'utente si troverebbe di colpo una marea di file criptati e con backup probabilmente inutili.

L'unica speranza di mantenere utili i backup sarebbe quella di lanciare un qualche programma che restituisca il tipo di file presente (forse basterebbe una directory trappola) e che dia un allarme quando c'e' un aumento di file criptati/binary/anomali.
La mia regola è quella di usare 4 backup, che poi in realtà sono 5 considerato che uno è doppio.

3 sono dischi esterni (non NAS) creati con un buon programma di backup a pagamento, sui quali faccio backup a rotazione.
1 è una copia su cloud (non iCloud) che include anche una copia di uno dei dischi di cui sopra.

Un suggerimento: se si tengono files off-line (solo su dischi esterni) bisogna stare sempre molto attenti che il backup sia configurato in maniera tale da non sincronizzarsi MAI con il disco del proprio computer. Altrimenti si rischia, se si cancella per errore qualcosa sul disco, di perderlo anche su TUTTI i backup... Io ci sono andato vicino una volta. Il terzo disco mi ha salvato quando ho capito l'errore che stavo facendo.
Lampo13, se ti va a fuoco casa perdi tutto.

Infatti le copie devono essere topograficamente distanti. Una a casa e una in ufficio, ad esempio.
Premesso che le risorse da dedicare ai back up dovrebbero dipendere dall'importanza dei dati, in generale consiglio di avere un back up su supporto non riscrivibile, ogni tanto.
La mia regola, invece, è di non avere nulla di così importante nel mondo digitale da dover pagare per riaverlo
una curiosità sulle password. Si dice sempre di non usare parole o frasi di senso compiuto. E se uso un'altra lingua? Esempio se usassi una parola in cinese, sarebbe altrettanto ovvia? Fra traslitterazione e lingua non "locale"?
O usare il nome latino di animali?

Un'altra domanda. Perchè inserire un numero? Non rende la password più debole? Mis piego ho uan password di 3 caratetri (per semplificare). Se fossero tutte lettere avrei 26 x 26 x 26 combinazioni, ma se, obbligatoriamente, una dovesse essere un numero avrei 26 x 10 x 26 (è vero che non sapendo dove è il numero le combinazioni aumentano). Non sarebbe più logico mettere la lettera "facoltativa"? così le combinazione salirebbero a 36 x 36 x 36. Perchè con "l'obbligo" so che sicuramente in uno "slot" non ho lettere. Oppure le combinazioni diminuiscono solo in apparenza?
c'è una regola che lessi non so dove a suo tempo, detta 3,2,1.

3 backup in ogni momento
2 luoghi fisici dove mantenere i backup, fatti con 2 differenti programmi
1 backup su internet
@ ST
Il consiglio di non usare parole di senso compiuto non è perché in questo modo la password diventa meno ovvia. Chi cerca di violare la tua password (che non è necessariamente della tua stessa nazionalità) non va a tentativi (a meno che non sia tua moglie o un tuo conoscente) ma usa dei programmi. Tra i vari metodi c'è il cosi detto "attacco a dizionario". Il programma ha una dizionario, ossia la lista delle parole di una o più lingue (tra cui sicuramente cinese e latino i cui vocabolari sono facilmente reperibili in rete) e le prova tutte in sequenza finché non becca quella corretta. Il tempo necessario a fare ciò è relativamente basso perché le parole che si possono formare, compatibili con una certa grammatica, sono di molto inferiori rispetto a quelle che si possono formare senza vincoli.

Per quanto riguardo la seconda domanda hai sbagliato a contare le combinazioni. Se la password è lunga n caratteri e se ci fossero tutte lettere avremmo, come tu hai detto, 26^n combinazioni possibili. Se abbiamo il vincolo di inserire ALMENO un numero le combinazioni diventano 36^n - 26^n (infatti ho un totale di 36 simboli con cui posso fare un totale di 36^n password a cui però devo togliere tutte le password che siano formate da sole lettere che quindi non rispettano il vincolo, ossia 26^n). E (36^n-26^n)>26^n già per n=3. Il tuo risultato equivale a prendere l'errato vincolo "il primo carattere sia un numero e gli altri caratteri siano tutte lettere" che sottostima grandemente il numero di possibili combinazioni. Viene detto di inserire almeno un numero perché la maggioranza degli utenti tende a inserire solo lettere (meno combinazioni) e un programma potrebbe sfruttare tale fatto. Ancora sarebbe meglio inserire il numero non come fanno quasi tutti all'inizio o alla fine della parola ma in un punto casuale della stessa aumentandone cosí l'entropia , in modo tale che chi crea i programmi per violare le password non noti una regolarità. E le regolarità sono sempre tutte sfruttabili in qualche modo.
Ciao,
secondo me sono 2 i fattori importanti di cui tenere conto e che dipendono dalle singole necessità:

- sicurezza del backup ossia che sia efficiente, costante e che sia sia in grado di recuperare le info.
- sicuro nel senso che i propri dati non vengano diffusi.

sul secondo punto mi stupisce che la stragrande maggioranza degli utenti ritenga più sicuro il proprio computer (collegato ad internet) piuttosto che un server di una seria azienda informatica (che sia MS, google, apple etc.. [per citare quelle famose])

Certo, quando capita che qualcuno rubi dei dati da questi cloud, si ha subito molta risonanza nei media; un po' come quando cade un aereo... Per poi scoprire che gli aerei sono il mezzo di trasporto più sicuro...

detto ciò, io ho adottato questo sistema per i dati "importanti"

premesso che
-non mi interessano le versioni vecchie dei miei file, quindi mi basta avere l'ultima.
-non ho una grossa proliferazione di dati

- dati sincronizzati su cloud con 2 computer
- uno di questi 2 computer fa un backup fisico che non cancella mai nessun file
- il backup fisico viene "scollegato" via software dal computer ogni volta in modo che un virus non lo intacchi in caso di infezione del computer.

my 2 cent
Grazie Alex
Il backup non è una soluzione sicura e definitiva, non basta avere un backup valido, bisogna che sia valido e recente.
Certo e' meglio che niente, ma, per esempio, avere un backup valido di sei mesi fa' serve pochetto.

Quindi il punto e' per quanto tempo il crypto malware riesce a nascondere le sue operazioni (e che quindi nel backup ci finiscono file criptati), se riesce a farlo per un periodo sufficientemente lungo, i backup diventano quasi inutili.
(E' possibile fare in modo, per esempio, che quando un wordprocessor apre un file questo venga decriptato, e quando lo salva, venga criptato, funzionano cosi' anche programmi di sicurezza leciti).
E usate un programma stand alone, quello di Windows sono più le volte che non ripristina che le altre...
" backup non è una soluzione sicura e definitiva, non basta avere un backup valido, bisogna che sia valido e recente"



Bisogna anche che non sia soggetto a furto da parte della CIA. O magari, più probabilmente, da bande di nigeriani...



(solo per dire che i backup fatti nel web mi lasciano parecchio perplesso)
La CIA non se ne fa niente del mio backup. Mi può tranquillamente spiare in modi più pratici.
I truffatori nigeriani non sono abbastanza furbi per mettersi a rubare i backup, oltretutto i gonzi ci cascano da soli. E per i furti di identità ci sono sistemi che richiedono meno impegno, tipo chiedermi la password della banca.