1. “TROVA IL MIO IPHONE” E TROVERAI UN TESORO DI PORNO-SELFIE! APPLE NEGA CHE IL FURTO DI FOTO VIP SIA COLPA DI ICLOUD: “SONO LE PASSWORD DEBOLI A ESSERE RESPONSABILI” 2. MA “WIRED” RICOSTRUISCE TUTTE LE FALLE DEL SISTEMA APPLE, CHE PUÒ ESSERE FACILMENTE SCASSINATO CON UN’APPLICAZIONE NATA PER LA POLIZIA E USATA DAGLI HACKER 3. CON “EPPB PASSWORD BREAKER” SI PUÒ SCARICARE L’INTERO BACKUP DEL TELEFONO DI CHIUNQUE, BASTA USARE UN PROGRAMMA (IBRUTE) CHE TROVA LE CHIAVI D’ACCESSO. APPLE PERMETTE DI PROVARE ALL’INFINITO FINCHÉ NON SI TROVA LA PAROLA GIUSTA 4. EPPB FA CREDERE AD ICLOUD DI ESSERE IL TELEFONO DELLA VITTIMA E SI FA INVIARE L’INTERO BACKUP DA GESTIRE “COMODAMENTE” SUL COMPUTER. FOTO, VIDEO, MESSAGGI 5. PER PROTEGGERSI DAGLI HACKER OLTRE ALLE PASSWORD COMPLICATE, SERVONO SISTEMI CON PIÙ PASSAGGI (UN CODICE VIA SMS, UNA CHIAVETTA TIPO CONTO BANCARIO)
1. APPLE, FOTO CELEBRITÀ RUBATE: "NESSUNA VIOLAZIONE DEI SISTEMI E DI ICLOUD"
Finanza.com – “Nessuna violazione dei sistemi Apple inclusi iCloud o Trova il mio iPhone”. Questa la comunicazione ufficiale che arriva dal quartier generale di Cupertino, fornendo così un primo aggiornamento sull'indagine in merito al furto di foto di alcune celebrità e alla pubblicazione in Rete, tra cui quelle dell'attrice Jennifer Lawrence.
"Dopo oltre 40 ore di indagine, abbiamo scoperto che alcuni account di celebrità sono stati compromessi da un attacco molto mirato sui nomi utente, le password e le domande di sicurezza, una pratica che è diventata fin troppo comune su Internet - si legge nella nota ufficiale diramata da Apple - Nessuno dei casi su cui abbiamo indagato è risultato derivante da alcuna violazione di alcuno dei sistemi Apple inclusi iCloud o Trova il mio iPhone. Stiamo continuando a lavorare con le forze dell'ordine per aiutare a identificare i criminali coinvolti".
2. FURTO DELLE FOTO DEI VIP: ECCO COME HANNO FATTO I MALINTENZIONATI E LE COLPE DI APPLE
Esperti di sicurezza americani ricostruiscono le tecniche usate dai pirati per rubare le foto dei Vip di Hollywood e giungono alle conclusioni che iCloud non ha falle di sicurezza in senso proprio, ma Apple non manca di colpe e ha sottovalutato alcuni aspetti importanti nella tutela della privacy dei propri utenti.
iCloud forse non ha delle backdoor, ma Apple non manca di colpe. Questa la conclusione cui giunge un articolo pubblicato questa notte da Wired e che, spiegando molto dettagliatamente le tecniche usate dai malintenzionati per rubare immagini private dagli account iCloud di alcune celebrità, punta il dito contro le leggerezze dei vertici dell’azienda americana.
icloud kaley cuoco nude leaked
Il servizio, molto interessante perchè rivela strumenti e metodi impiegati dal non rado popolo degli spioni, parte da alcune affermazioni rilasciate nel corso della serata di Apple, secondo la quale la vicenda nasce da password troppo deboli e dal mancato uso delle password con verifica a due passaggi. Ma se anche iCloud non è stato compromesso in senso proprio, Apple, si comprende dall’articolo, avrebbe potuto fare di più e di meglio.
L’applicazione su cui gli hacker hanno fatto perno è Phone Password Breaker (EPPB) un’applicazione creata in Russia e (formalmente) destinata alle forze di polizia, ma che si trova anche piratata su Internet. EPPB attraverso un processo di reverse engineering, consente ad un malintenzionato di scaricare in locale l’intero backup fingendo di essere l’iPhone del legittimo possessore.
Tutto quel che serve al malintenzionato è conoscere la login e la password della vittima, informazioni che gli hacker avrebbero ottenuto con iBrute, un software che si logga in un sistema e poi tenta e ritenta anche decine di migliaia o centinaia di migliaia di volte fino a quando non indovina la giusta combinazione di un account. Usando questa combinazione di applicazioni, di cui ci sono tracce nei metadati delle foto rubate come testimonia l’investigatore Jonathan Zdziarski, i pirati annidati sul forum Anon-IB, avrebbero avuto accesso ad una serie di informazioni e dettagli privati che semplicemente accedendo con iBrute (come pare supporre Apple) non avrebbero potuto avere.
Da qui arrivano le accuse, implicite, ad Apple da parte degli esperti di sicurezza. Se è vero che le celebrità di Hollywood non avrebbero dovuto usare password come, ad esempio, “12345″ “Mamma” o “Amore” e mettere come domanda di sicurezza “come si chiama il tuo animale domestico preferito” (visto che cose come queste si trovano su tutti i giornali di gossip), dall’altra Cupertino ha sbagliato a non forzare l’uso di un sistema di autenticazione a due fattori ed a lasciare libero un sistema informatico di provare all’infinito fino a quando non trova la password giusta.
Che questa semplice procedura avrebbe avuto il potere di fermare l’attacco sul nascere lo dice l’inventore di iBrute, Alexey Troshichev, che lunedì si è rammaricato della “fine del gioco” quando Apple, dopo la scoperta della fuga di notizie, ha bloccato a cinque i tentativi di immissione della password sbagliata. Di fatto, dice Zdziarski, Apple dovrebbe considerare questo errore una “falla” a pieno diritto, invece che chiamarsi fuori sostenendo che la colpa è di password deboli.
Un secondo problema ed una seconda colpa deriva dalla mancata attenzione al fatto che una azienda come Elcomsoft ha potuto fare il reverse engineering del protocollo usato da Apple per far comunicare iCloud e i dispositivi iOS; grazie a questa operazione EPPB, grazie alle password rubate, fa credere ad iCloud di essere il telefono della vittima e si fa inviare l’intero backup da gestire “comodamente” in locale. Non si limita a scaricare solo le foto, ma anche video, messaggi di testo e tutta una serie di informazioni che potrebbero essere usate anche in futuro per infastidire di nuovo le vittime o ricattarle.
«Apple – aggiunge l’investigatore ed esperto di tecnologie per la sicurezza Zdziarski – avrebbe potuto rendere questa operazione molto più difficile o addirittura impedirla. Avere una terza parte che si finge un hardware, è una seconda vulnerabilità, visto che si permette ad altre realtà di continuare ad interfacciarsi con il sistema che dovrebbe essere protetto. Apple potrebbe intraprendere dei passi per impedire tutto questo e io penso che dovrebbe»
3. CON I PIRATI IN ICLOUD, APPLE CADE DALLE NUVOLE
Luca De Biase per “Il Sole 24 Ore”
È un giallo che affascina i voyeur. Ma è soprattutto un giallo istruttivo per chi vive in simbiosi col cellulare connesso in rete. Come sono state trovate le foto delle artiste svestite pubblicate su 4Chan e delle quali parla mezzo mondo? Molti hanno scritto che erano sull'iCloud della Apple e hanno visto una responsabilità dell'azienda. Ma Apple ha studiato e smentito, l'Fbi continua le indagini e sappiamo che c'è altro: una delle vittime, Mary Winstead, dice che da lì le aveva tolte; mentre per Victoria Justice e Ariana Grande le foto sono false. Perché qualcuno ha fatto scoppiare lo scandalo ora? Di certo è un danno per la Apple a pochi giorni dal lancio del nuovo iPhone. Come hanno superato i sistemi di sicurezza? Ci sono ipotesi: ma è chiaro che la vicenda invita alla prudenza online.
L'FBI INDAGA TRA LE NUVOLE
Le prime interpretazioni hanno puntato l'indice contro la Apple. Quelle foto intime sono uscite in rete poche decine di ore dopo che su GitHub, il sito di scambio di software, qualcuno ha postato un programmino che serviva a provare molte password sul servizio "trova il mio iPhone". L'hanno visto i siti specializzati come Engadget e BuzzFeed. Se n'è dedotto che il problema poteva essere quella falla nella sicurezza di iCloud. Perché un modo banale per entrare in un sistema protetto da password è quello di provarne tante. Immaginandole o facendosi aiutare da un generatore automatico.
La star di Hunger Games Jennifer Lawrence
Ma, dopo alcuni tentativi con password sbagliate, i sistemi di autenticazione di solito si bloccano. Se un sistema non lo fa è fallato. Per questo l'attrice Kristen Dunst ha accusato iCloud. Dopo poche ore su TheNextWeb e altrove è apparsa la notizia che Apple aveva chiuso la falla. La casa di Cupertino ha fatto una dichiarazione piuttosto generica. Dicendo che stava indagando. Probabilmente stava chiedendo a ciascuna delle vittime dove tenesse le sue foto e come gestisse il suo account. I primi dubbi sulla ricostruzione anti-Apple sono emersi quando, appunto, Mary Winstead ha scritto su Twitter che le sue foto pubblicate non erano su iCloud. Gli esperti hanno cercato alternative.
american hustle JENNIFER LAWRENCE
Si è ipotizzato – usando un metodo induttivo – che le foto potevano essere anche su Dropbox o altrove. O che le password potevano essere state rubate da altri servizi e riusate su iCloud: senza necessariamente ricordare il grande furto subito tempo fa da LinkedIn, ci sono altri indiziati. Insomma, l'indagine non è chiusa. E l'Fbi sta cercando il colpevole. Di certo è qualcuno che ha voluto danneggiare la Apple. Che dopo 40 lunghe ore di indagini ha concluso che il suo servizio non è stato usato per l'attacco.
Il lato positivo è che questa storia ha alzato l'attenzione sulla sicurezza online. E il primo insegnamento è che le foto, i testi, i video che si registrano in rete, anche usando servizi votati alla privacy, vanno pensati come pubblici. Un rischio che lo diventino è sempre presente. Ma non è tutto qui.
Si può fare qualcosa? In effetti, sì. Andrea Rigoni, di Intellium, uno dei grandi esperti italiani in materia, offre i suoi suggerimenti. «I primi avversari della sicurezza sono gli utenti stessi quando usano la stessa password per iscriversi a diversi servizi: così facendo, se si usa anche una sola volta su un sito poco affidabile o che viene violato crollano tutte le difese».
L'errore si può evitare. Anche con l'aiuto di applicazioni come 1Password. Altri problemi vengono dagli operatori che non conservano le password in database cifrati correttamente e dalle leggi che non li obbligano a farlo: in Italia, il Garante per la protezione dei dati personali si sta facendo parte proattiva per alzare i livelli di sicurezza ma la strada è lunga. Anche perché ci anche sono i falsi amici: gli esperti di sicurezza dicono che la Nsa ha contribuito a definire standard deboli per il sistema di generazione casuale dei numeri primi necessari alla cifratura e questo ha probabilmente facilitato l'agenzia nelle intercettazioni rivelate da Edward Snowden.
JENNIFER LAWRENCE OSCAR 
Jennifer Lawrence wearing Chopard
Ma la battaglia è ancora aperta. Gli standard migliorano. In Italia si avvicina l'avvento di Spid che gestirà l'identità in rete con una metodologia molto avanzata. E poi si sperimentano i sistemi biometrici, con le impronte digitali, il tono di voce o altro. Internet ha bisogno di sicurezza e combatte per trovarla. Ma gli utenti devono coltivare maggiore consapevolezza. E l'occasione è stata buona per alimentarla.
