L’hacker negli iPhone di Apple che ha permesso di mettere in rete foto osé di attrici e cantanti scatena adesso anche un’inchiesta dell’Fbi. Oltre alle scuse di Apple, che si dice dispiaciuta per quanto accaduto, pur negando che si sia trattato di un problema legato ai suoi sistemi di sicurezza o al suo iCloud. L’incidente si deve invece, secondo il colosso di Cupertino, a un attacco mirato e personalizzato rivolto alle celebrità di Hollywood. Che del resto vanno periodicamente incontro a furti di foto private, anche per quel morboso desiderio del pubblico di vedere le star non solo senza veli ma anche senza trucco, quasi a volerne scoprire difetti e debolezze.

LA VERSIONE DI APPLE

La portavoce dell’Fbi Laura Eimiller ha dichiarato che il bureau ha preso atto delle intrusioni informatiche con conseguente “illecita diffusione di materiale riguardante personaggi noti e si sta occupando dell’accaduto”. Ma che cosa è accaduto? All’indomani dell’incidente è stato scritto che le immagini senza veli sarebbero state sottratte da iCloud, il sistema di Apple che permette di archiviare dati e foto “prelevandoli” dall’iPhone e conservandoli online nella “nuvola”. Da qui le immagini sono finite sulla piattaforma di file-sharing 4chan e poi sui social media. Apple però, dopo aver condotto sull’accaduto un’indagine interna di 40 ore, ha concluso che l’intrusione è stata dovuta a un generico problema con gli account online, non a un problema specifico con iCloud, e ha invitato tutti gli utenti di iPhone, iCloud e iTunes a usare password lunghe e non banali. L’indagine della Mela ha scoperto che “alcuni account di personaggi famosi sono stati compromessi da attacchi molto mirati sugli username, le password e le domande di sicurezza, una pratica molto comune su Internet. In nessun caso invece si è verificata un’intrusione nei sistemi di Apple come iCloud o Find my iPhone. Stiamo collaborando con le autorità per individuare gli autori dell’attacco”.

LA STORIA DEL BACO

Le dichiarazioni di Apple non arrivano a caso. Qualche ora prima della diffusione delle foto osé un utente ha pubblicato un post sul sito di code-sharing GitHub dicendo di aver scoperto un baco nel servizio Find My Phone (Trova il mio telefono) di Apple, che rileva la posizione del telefono e permette di disattivarlo da remoto se è stato rubato. Il baco permetteva, rivelava il post, di provare e riprovare a inserire password all’infinito fino a trovare quella giusta, anziché, come accade di solito con i servizi online, bloccare l’utente dopo un certo numero di tentativi sbagliati (in pratica il baco permetteva l’attacco cosiddetto “di forza bruta”). Qualche ora dopo, sempre su GitHub, un post rivelava che Apple aveva rimediato alla falla. Ma è possibile che gli hacker l’abbiano sfruttata nel frattempo per sottrarre le foto dai telefoni delle celebrità? Rich Mogull, chief executive della società di security Securosis, dice che potrebbe esserci una relazione tra quanto pubblicato su GitHub e l’incidente delle foto messe online, ma per Mogull gli hacker sono probabilmente entrati negli account individuali di attrici e cantanti, non nel sistema di Apple (esattamente come sostiene Cupertino). “Sarebbe davvero sorprendente se Apple fosse vittima di hacker”, afferma l’esperto. Apple non ha né confermato né negato l’esistenza di questa vulnerabilità né della successiva patch. Andrey Belenko, senior security engineer della società di security viaForensics, fa però notare che la pubblicazione del baco online su GitHub è avvenuta circa 36 ore prima della diffusione delle prime foto osé: troppo poco tempo perché gli hacker potessero andare a segno.

LE ALTRE IPOTESI

L’ipotesi dell’attacco agli account individuali è in linea con la teoria di chi pensa che le celebrità (o i loro manager) siano state vittima di “phishing”, le note email fraudolente che cercano di indurci a rivelare le nostre password. “Le ipotesi su questa storia si sprecano, mentre i fatti sono pochi”, osserva Carl Howe, vice-president of data sciences research della società di analisi 451 Research. “Se le foto sono autentiche si è probabilmente trattato di un social engineering attack: l’hacker in qualche modo si è impossessato della password del personaggio famoso, magari tramite amici di amici”.

IL TRAFFICO DELLE FOTO

Tuttavia va calcolato che la quantità di foto private messe online a danno delle celebrità, di cui molte cancellate dall’iPhone, indica che probabilmente l’attacco non è questione di poche ore e nemmeno di giorni ma frutto di un “lavoro” di mesi se non anni da parte di pirati del web. Potrebbe esistere anche una rete di criminali che fa traffico di foto di celebrità e che opera da tempo: qualche membro del gruppo deve aver deciso di postare qualcuna delle foto adesso, ma l’operazione deve essere opera di molteplici hacker e di anni di “attività”.

QUESTIONE DI PRIVACY

In ogni caso l’incidente riporta in auge il tema della sicurezza delle informazioni conservate online, specialmente quando si tratta di dati personali sensibili. Oggi il cloud è una soluzione proposta anche alle grandi aziende per conservare in modo conveniente volumi di dati enormi, ma è chiaro che una violazione del cloud rischia di far perdere in un colpo solo quantità gigantesche di informazioni, spesso preziose. I sistemi cloud sono molto diffusi anche a livello consumer e, secondo David Chismon, senior researcher di MWR InfoSecurity, “le persone, quando mettono i dati nel cloud, devono decidere se accettare il rischio, che esiste”. E’ anche vero che proteggersi è possibile: spesso gli utenti hanno la tendenza ad affidarsi a password uguali per tutti i device e formulate in modo prevedibile (nome di battesimo, data di nascita…). Basti pensare che la password più utilizzata nel 2013, secondo SplashData, è stata 123456.