Alfonso Maruccia

Furto d'identità a mezzo iCloud

Un reporter racconta con dovizia di particolari l'attacco subito. Aperta la breccia con l'ingegneria sociale, il cracker ha preso possesso di tutti gli account del malcapitato

Roma - Brutta avventura telematica quella vissuta da Mat Honan, ex-reporter di Gizmodo ora in forze a Wired, che ha dovuto subire un devastante attacco telematico personalizzato con tanto di cancellazione di dati personali. La colpa sarebbe di Apple e del suo "supporto" tecnico, prono a farsi bucare da qualche trucco di ingegneria sociale.

Honan descrive la disavventura sul suo Tumblr: in un pomeriggio come tanti, nel giro di poche ore, il reporter si è visto bloccare iPhone, iPad e il MacBook Air, i dati e gli account cancellati, il telefonino resettato, più di un anno di foto personali perduti nel nulla.

L'hack ha conosciuto un'escalation che ha portato alla compromissione dell'account Gmail (stesso nome di quello .mac usato da Honan), e in seguito anche del feed Twitter ufficiale di Gizmodo con tanto di accuse all'ex-reporter di defacing volontario in virtù di chissà quale risentimento.
Naturalmente le azioni di Honan non c'entravano nulla, ed è stato lo stesso hacker responsabile a spiegare al reporter come aveva agito: niente compromissione di password e attacchi a forza bruta, è bastato "semplicemente" prendere il controllo del suo account iCloud abusando del supporto tecnico di Apple con email appositamente confezionate per devastare i dati e gli iProfili online della vittima.

L'hack via "cloud computing" non si è concluso con un lieto fine: Honan ha ripreso il controllo del suo account Gmail, le informazioni e i dati archiviati presenti su iCloud (e rasi al suolo dall'hacker) sono spariti per sempre e ora un Genius di Apple stà provando a recuperarli dal MacBook con un'indagine forense condotta sul disco fisso locale del computer.

Alfonso Maruccia
48 Commenti alla Notizia Furto d'identità a mezzo iCloud
Ordina
  • Cerchiamo di fare chiarezza, perché dalle domande e dalle affermazioni di alcuni mi pare che la situazione non sia chiara.
    Cosa permette di fare iCloud, by design:
    1. backup remoto di tutti i dati
    2. ricerca dei dispositivi persi
    3. wipe totale dei dispositivi persi
    4. varie ed eventuali non di interesse

    La 3 in particolare è una funzionalità richiesta da molte aziende e implementata in tutti (o quasi) i sistemi di device management. Per la cronaca, anche Exchange ce l'ha. La funzionalità consente, al legittimo proprietario dell'account, di brasare completamente e in maniera sicura (motivo per cui l'undelete non funziona) i dati sul dispositivo. Nel caso di Apple per dispositivo si intende tutto. anche un mac (perché potrei perdere anche quello).

    Cosa ha fatto l'hacker
    Con tecniche di ingegneria sociale (che significa giocare con la psicologia delle persone e non a niente a che vedere con abilità tecnico-informatiche particolari) si è fatto dare la password dell'account iCloud (in realtà se l'è fatta resettare con una temporanea, ecc...). Da questo momento in poi, è potuto entrare nell'account esattamente come il legittimo proprietario e ha potuto richiedere il wipe del "suo" dispositivo utilizzando una feature che ha funzionato perfettamente...

    Dove è da biasimare Apple
    La sicurezza informatica c'entra poco... Apple dovrebbe prendere il dipendente AppleCare che ha dato la password per l'orecchio e prenderlo a calci in cu1o. Possiamo sicuramente dire che ha addestrato male i suoi dipendenti, ma non possiamo giudicare la sicurezza informatica dei suoi sistemi da questo caso specifico.

    Sul cloud
    Sicuramente mettere in mano a terzi i propri dati può presentare delle criticità, una delle quali è proprio quella di questo esempio. Il cloud se non usato bene e se non gestito bene può portare a disastri vari, quello di Apple come quello di chiunque altro. Per rimanere in tema, parte dell'informazione necessaria è stata fornita da un operatore di Amazon... Finché andiamo avanti a password, per compromettere la sicurezza basta poco. D'altra parte, altri sistemi di autenticazione possono non essere così immediati ed efficaci. Pensate se per accedere alla vostra cloud o alla vostra mail dovreste avere il vostro SecurID (peraltro crackato) o SmartCard e reader... Il gioco è sempre lo stesso: si scambia comodità per sicurezza, servizi per privacy. Possiamo dire di no, basta non usare i servizi.... il computer più sicuro è quello che non si connette alla rete.
    non+autenticato
  • - Scritto da: Marco

    > Dove è da biasimare Apple
    > La sicurezza informatica c'entra poco... Apple
    > dovrebbe prendere il dipendente AppleCare che ha
    > dato la password per l'orecchio e prenderlo a
    > calci in cu1o. Possiamo sicuramente dire che ha
    > addestrato male i suoi dipendenti, ma non
    > possiamo giudicare la sicurezza informatica dei
    > suoi sistemi da questo caso specifico.

    Il caso e' stato riprodotto anche da giornalisti, il che significa che non ha addestrato male il dipendente ( che non vuol dire granche ), ma che le procedure intere di reset password sono rivelate poco sicure.
    krane
    22544
  • bloccare iPhone, iPad e il MacBook Air..

    volete dire che non funzionavano più? Capisco l'iPhone ma neanche tanto, non potrei voler cambiare gestore e usare solo quello? D'accordo che si parla di Apple, ma spero che sia lecito. Poi cosa c'entra l'account di Apple con un telefono, faccio il numero e parlo. ( non capisco il funzionamenti di un telefono super evoluto ? )

    l'iPad? ma non funziona senza collegamento remoto?

    il MacBook Air non è un normale PC portatile della Apple, neanche qui capisco perchè dovrebbe bloccarsi.

    Va bene ho perso i miei dati si cloud. Esisteranno spero dei backup, volete che prenda fuoco una sede, cosa fanno? Ricordate solo il caso Aruba di qualche mese fa?

    Non è che volevano dire, tutto funzionava ma ha perso i dati, quindi non di blocco dei PC, ma di blocco cardiaco del giornalista ;(.

    Il bello di avere anche un backup in locale su 3 dispositivi diversi.
  • Esiste dai tempi di Captain Crunch, niente di nuovo, come il shoulder surfing, thrashing e allegra compagnia.

    Oggi si è solo più esposti, tutto qui, sia essa Apple, Amazon, Dropbox, Google o chiunque altro, un attacco mirato è pur sempre un attacco mirato.
    non+autenticato
  • - Scritto da: Vindicator
    > Esiste dai tempi di Captain Crunch, niente di
    > nuovo, come il shoulder surfing, thrashing e
    > allegra
    > compagnia.
    >
    > Oggi si è solo più esposti, tutto qui, sia essa
    > Apple, Amazon, Dropbox, Google o chiunque altro,
    > un attacco mirato è pur sempre un attacco
    > mirato.

    Sopratutto perchè poi gli ha sfondato anche l'account gmail.
    Ovviamente il motivo è lapalissiano.
    maxsix
    10366
  • spianargli il mac e l'iphone invece da cosa dipende?
    non+autenticato
  • Ma l'articolo originale su wired l'avete letto? Di hacking qui non c'è nulla! Solo uno smaliziato che ha chiamato il supporto apple e chiesto un reset della password ad un impiegato, credo ormai per strada, poco zelante della sicurezza.

    http://www.wired.com/gadgetlab/2012/08/apple-amazo...

    Cito:

    "At 4:33 p.m., according to Apple’s tech support records, someone called AppleCare claiming to be me. Apple says the caller reported that he couldn’t get into his .Me e-mail — which, of course was my .Me e-mail.

    In response, Apple issued a temporary password. It did this despite the caller’s inability to answer security questions I had set up. And it did this after the hacker supplied only two pieces of information that anyone with an internet connection and a phone can discover."

    A questo punto è uno scherzo. Vai su gmail con la stessa username e, per deduzione, o per puro cu1o, capisci che l'account gmail ha come mail secondaria quella di mobileme (oggi icloud), chiedi un reset della password di gmail ed ecco la tua nuova password di gmail sull'account icloud appena resettato da un operatore apple!

    Poi così via, un account porta ad un altro, tutti legati all'identità di gmail, presa quella, preso tutto.

    Non c'è nulla di tecnico, nulla di hacking, semplice social engineering.

    RTFA.
    non+autenticato
  • Sì, è vero, social engineering, nulla di particolarmente nuovo o inedito! Ciò che trovo incredibile in tutta questa faccenda è che sia possibile eliminare tutti i dati su iPhone, iPad e perfino su Macbook DA REMOTO! Questa è la cosa più sconcertante di tutte, che dovrebbe far capire che una cosa del genere non va bene, che i dati locali dovrebbero essere una faccenda a parte! Su Windows (per ora) una cosa del genere non potrebbe mai capitare (a parte virus/trojan o sofware malevolo), e forse (spero) nemmeno su Android!
  • - Scritto da: Mela avvelenata
    > Sì, è vero, social engineering, nulla di
    > particolarmente nuovo o inedito! Ciò che trovo
    > incredibile in tutta questa faccenda è che sia
    > possibile eliminare tutti i dati su iPhone, iPad
    > e perfino su Macbook DA REMOTO!

    Vero, ma quando te li fregano la funzione torna utile no?Occhiolino
    I coltelli da cucina servono per cucinare, ma volendo si possono usare per fare del male, eppure nessuno ritira dal commercio i coltelli da cucina.Sorride
    non+autenticato
  • - Scritto da: Vindicator
    > - Scritto da: Mela avvelenata
    > > Sì, è vero, social engineering, nulla di
    > > particolarmente nuovo o inedito! Ciò che
    > trovo
    > > incredibile in tutta questa faccenda è che
    > sia
    > > possibile eliminare tutti i dati su iPhone,
    > iPad
    > > e perfino su Macbook DA REMOTO!
    >
    > Vero, ma quando te li fregano la funzione torna
    > utile no?
    >Occhiolino

    Sicuro, ma tanto vale fare un backup su disco esterno o dvd, e stai altrettanto sicuro (se non di più)


    > I coltelli da cucina servono per cucinare, ma
    > volendo si possono usare per fare del male,
    > eppure nessuno ritira dal commercio i coltelli da
    > cucina.
    >Sorride

    No, l'analogia non è pertinente, qua si parla di un sistema fallato di per sè, un unico account per tutti i propri dispositivi non è proprio l'idea migliore del mondo (seppure possa essere comodo!). Di fatto, se mi bucassero l'account Gmail il danno sarebbe ugualmente esteso (tutti gli account collegati sarebbero compromessi), ma non ci sarebbe nessun modo di accedere (anzi, di cancellare) ai miei dati locali, nè su pc, nè su tablet/smartphone!!
  • - Scritto da: Mela avvelenata
    > si parla di
    > un sistema fallato di per sè, un unico account
    > per tutti i propri dispositivi non è proprio
    > l'idea migliore del mondo (seppure possa essere
    > comodo!). Di fatto, se mi bucassero l'account
    > Gmail il danno sarebbe ugualmente esteso (tutti
    > gli account collegati sarebbero compromessi), ma
    > non ci sarebbe nessun modo di accedere (anzi, di
    > cancellare) ai miei dati locali, nè su pc, nè su
    > tablet/smartphone!!

    condivido il tuo scetticismo, tanto che nel mio pad e mac la funzione "back to my mac" e "find my ipad" sono tutte disabilitate però così come in questo caso sono state usate per creare danni così altri hanno ritrovato il proprio icoso o il proprio macbook grazie ad esse.
    inoltre stiamo parlando anche di un caso strano, una persona che prima lavorava su gizmodo, ora su wired, uno dei nuovi "esperti informatici" eletti dalla rete a ruolo di gadgettomani, scrivono recensioni, danno pareri ma, alla luce dei fatti, pare che non si preoccupino nemmeno di avere un backup sicuro dei propri dati, e già, gente proprio IT.

    anche nei blackberry c'è il wipe da remoto del terminale, qualche volta l'abbiamo usato in caso di furto, ma in quel caso si tratta principalmente di proteggere informazioni aziendali, anche se c'è chi nelle note scrive i codici del bancomat, pin di questo, password di quello, et cetera.
    non+autenticato
  • - Scritto da: Vindicator
    > - Scritto da: Mela avvelenata
    > > si parla di
    > > un sistema fallato di per sè, un unico
    > account
    > > per tutti i propri dispositivi non è proprio
    > > l'idea migliore del mondo (seppure possa
    > essere
    > > comodo!). Di fatto, se mi bucassero l'account
    > > Gmail il danno sarebbe ugualmente esteso
    > (tutti
    > > gli account collegati sarebbero
    > compromessi),
    > ma
    > > non ci sarebbe nessun modo di accedere
    > (anzi,
    > di
    > > cancellare) ai miei dati locali, nè su pc,
    > nè
    > su
    > > tablet/smartphone!!
    >
    > condivido il tuo scetticismo, tanto che nel mio
    > pad e mac la funzione "back to my mac" e "find my
    > ipad" sono tutte disabilitate però così come in
    > questo caso sono state usate per creare danni
    > così altri hanno ritrovato il proprio icoso o il
    > proprio macbook grazie ad
    > esse.

    non dico che non siano funzionalità utili, anzi...


    > anche nei blackberry c'è il wipe da remoto del
    > terminale, qualche volta l'abbiamo usato in caso
    > di furto, ma in quel caso si tratta
    > principalmente di proteggere informazioni
    > aziendali, anche se c'è chi nelle note scrive i
    > codici del bancomat, pin di questo, password di
    > quello, et
    > cetera.

    spero che nel caso dei Blackberry questa funzionalità wipe sia molto più sicura, in modo da evitare cancellazioni involontarie, o peggio cancellazioni da parte di terzi malintenzionati!
  • - Scritto da: Mela avvelenata
    > - Scritto da: Vindicator
    > > - Scritto da: Mela avvelenata
    > > > Sì, è vero, social engineering, nulla di
    > > > particolarmente nuovo o inedito! Ciò che
    > > trovo
    > > > incredibile in tutta questa faccenda è
    > che
    > > sia
    > > > possibile eliminare tutti i dati su
    > iPhone,
    > > iPad
    > > > e perfino su Macbook DA REMOTO!
    > >
    > > Vero, ma quando te li fregano la funzione
    > torna
    > > utile no?
    > >Occhiolino
    >
    > Sicuro, ma tanto vale fare un backup su disco
    > esterno o dvd, e stai altrettanto sicuro (se non
    > di
    > più)
    >
    >
    Chiamasi Time machine.
    Il backup incrementale più fico e funzionale inventato dall'era della pietra.
    maxsix
    10366
  • - Scritto da: maxsix
    > - Scritto da: Mela avvelenata
    > > - Scritto da: Vindicator
    > > > - Scritto da: Mela avvelenata
    > > > > Sì, è vero, social engineering,
    > nulla
    > di
    > > > > particolarmente nuovo o inedito!
    > Ciò
    > che
    > > > trovo
    > > > > incredibile in tutta questa
    > faccenda
    > è
    > > che
    > > > sia
    > > > > possibile eliminare tutti i dati su
    > > iPhone,
    > > > iPad
    > > > > e perfino su Macbook DA REMOTO!
    > > >
    > > > Vero, ma quando te li fregano la
    > funzione
    > > torna
    > > > utile no?
    > > >Occhiolino
    > >
    > > Sicuro, ma tanto vale fare un backup su disco
    > > esterno o dvd, e stai altrettanto sicuro (se
    > non
    > > di
    > > più)
    > >
    > >
    > Chiamasi Time machine.
    > Il backup incrementale più fico e funzionale
    > inventato dall'era della
    > pietra.

    Così fico e funzionale che il giornalista in questione NON l'ha fatto...Ovvio che è colpa sua, ciò che trovo assurdo in tutta questa storia è la facilità con cui sia stato possibile perdere i propri dati, nonostante non ci siano stati problemi di natura hardware, ma solo delle "feature" implementate senza pensare ad una sicurezza a doppia (o tripla) mandata! Insomma, 'sto povero cristo il backup ce l'aveva sul cloud (anzi, sull'iCloud!), ma non serve ad un tubo se qualunque pirla riesce ad accedere al tuo account semplicemente telefonando al supporto tecnico, ti pare?
  • Usare apple non è sicuro e questo avvenimento lo dimostra ancora una volta. Apple bada solo ad incassare per prodotti cotruiti in cina da operai schiavi e venduti a prezzo centuplicato, punto. Se accadono cose del genere evidentemente l'assistenza e la sicurezza non vengono contemplate nella loro policy.
    non+autenticato
  • - Scritto da: offensivo
    > Usare apple non è sicuro e questo avvenimento lo
    > dimostra ancora una volta. Apple bada solo ad
    > incassare per prodotti cotruiti in cina da operai
    > schiavi e venduti a prezzo centuplicato, punto.
    > Se accadono cose del genere evidentemente
    > l'assistenza e la sicurezza non vengono
    > contemplate nella loro policy.

    Sinceramente il problema non è che Apple non è sicura, al contrario, è sicura esattamente come gli altri competitor. Il problema è credere che sia automaticamente la più sicura di tutte, senza che l'utente debba preoccuparsi di niente. Questa sensazione di onnipotente sicurezza porta a fare gli errori del malcapitato di turno.
  • ...e pian piano, la notizia scivola via!

    ;)
    non+autenticato
  • - Scritto da: crumiro
    > ...e pian piano, la notizia scivola via!
    >
    >Occhiolino

    Semplicemente perchè l'accaduto è dovuto ad un errore umano.
    C'è poco da commentare e/o dire.
    maxsix
    10366
  • Infatti l'errore umano è stato quello di acquistare un prodotto Apple in cui l'esperienzs Apple in fatto di sicurezza è ferma a 10 anni fa ( a detta di ruppolo in un thread precedente ... e se ne faceva pure vanto ... pensa te come stanno messi e ruppolo è il migliore!)
    non+autenticato
  • - Scritto da: maxsix
    > - Scritto da: crumiro
    > > ...e pian piano, la notizia scivola via!
    > >
    > >Occhiolino
    >
    > Semplicemente perchè l'accaduto è dovuto ad un
    > errore
    > umano.
    > C'è poco da commentare e/o dire.

    Per errore umano intendi quello dei programmatori del sistema iCloud, giusto? No, perchè è di sicuro un sistema integrato fantastico, a prova di idiota, ma forse non così perfetto come tutti in Apple sembravano pensare!
  • - Scritto da: Mela avvelenata
    > - Scritto da: maxsix
    > > - Scritto da: crumiro
    > > > ...e pian piano, la notizia scivola via!
    > > >
    > > >Occhiolino
    > >
    > > Semplicemente perchè l'accaduto è dovuto ad
    > un
    > > errore
    > > umano.
    > > C'è poco da commentare e/o dire.
    >
    > Per errore umano intendi quello dei programmatori
    > del sistema iCloud, giusto? No, perchè è di
    > sicuro un sistema integrato fantastico, a prova
    > di idiota, ma forse non così perfetto come tutti
    > in Apple sembravano
    > pensare!

    Attenzione, non vorrei che I-diota fosse (c) apple...
    krane
    22544
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 13 discussioni)