Nelle scorse ore, dopo l’incidente che ha visto coinvolte decine di
“celebrità” statunitensi, le cui foto (spesso di nudo) sono apparse
online, Apple ha voluto dire la sua cercando di gettare acqua sul fuoco. I tecnici del colosso di Cupertino assicurano che non esistevano e non esistono vulnerabilità note nei servizi “Trova il mio telefono” ed iCloud.
La Mela lo spiega in un conciso comunicato, pubblicato a questo indirizzo: “Dopo oltre 40 ore di indagine, abbiamo scoperto che alcuni account di
celebrità sono stati compromessi da un attacco molto mirato sui nomi
utente, le password e le domande di sicurezza, una pratica che è
diventata fin troppo comune su Internet. Nessuno dei casi su cui abbiamo indagato èrisultato derivante da
alcuna violazione di alcuno dei sistemi Apple inclusi iCloud o Trova il
mio iPhone“.
Apple, insomma, sposta la
responsabilità, in primis, sugli utenti. E ciò corrisponde anche al vero
perché quando un utente si astiene dall’impostare una password
complessa, a tutela del suo account, contenente caratteri alfanumerici e
simboli, la frittata è già fatta.
Piuttosto,
le applicazioni web – soprattutto quelle che autenticano l’utente e
fungono da lasciapassare verso una sconfinata quantità di dati personali
– dovrebbero non consentire l’utilizzo di password troppo semplici o
comnque l’impiego di parole chiave che non rispettino standard minimi di
sicurezza (presenza di lettere, numeri e simboli).
Inoltre, sebbene il servizio di Apple “Trova il mio telefono”
non contenesse una vera e propria falla, è ormai pacifico che – nelle
ore successive all’attacco – sia stato aggiornato non permettendo più,
a utenti remoti, di porre in essere attacchi brute force ossia di provare sequenzialmente, e senza limitazioni, migliaia di password una dopo l’altra.
Utilizzare password facili da indovinare per proteggere i propri account online, quindi, è una pratica sconsiderata: ed è tutta qui la radice del problema. “Se non potete usare password lunghe (almeno 15 caratteri) e complesse o non potete sfruttare l’autenticazione a due fattori, semplicemente, non utilizzate il servizio“, è la chiosa di un post pubblicato sul sito di ISC (SANS).
In queste ore sono emersi ulteriori interessanti particolari. Per
fare razzìa delle “foto imbarazzanti” delle personalità di spicco USA,
gli aggressori si sarebbero serviti anche del software Phone Password
Breaker, sviluppato dalla nota società russa ElcomSoft. I suoi prodotti sono piuttosto popolari tra chi ha esigenza di “recuperare password dimenticate“, in molteplici ambiti.
Nel catalogo prodotti di ElcomSoft figura anche Phone Password Breaker,
un’applicazione che – conoscendo le credenziali d’accesso ad un account
iCloud o Windows Live – permette di recuperare le copie di backup
dell’intero contenuto di smartphone e tablet (qui tutti i dettagli).
Combinando
l’utilizzo di ElcomSoft Phone Password Breaker (EPPB) con l’impiego
dello script Python che ha consentito di mettere in atto l’attacco brute force, gli aggressori sarebbero riusciti a “impersonare”
gli iPhone delle vittime e scaricare backup completi piuttosto che il
singolo materiale conservato sul servizio iCloud.
Grazie a
EPPB, gli aggressori avrebbero avuto accesso non solo alle “foto
compromettenti” ma anche ad una vasta mole di dati personali: video, dati delle applicazioni installate sui dispositivi mobili, liste di contatti, messaggi di testo e così via.
Esaminando
le foto apparse in queste ore, sembra che alcune di esse non fossero
conservate affatto su iCloud ma, in quanto precedentemente cancellate,
provenissero da backup completi dello smartphone.
