Alfonso Maruccia

Assalto cinese a iCloud

Pechino al lavoro per compromettere gli account degli utenti Apple. Le autorità negano ma gli esperti confermano: un attacco è in corso, serve a scavalcare la cifratura dei nuovi iPhone

Roma - Stando a quanto sostiene GreatFire.org, le autorità cinesi sarebbero attivamente impegnate a compromettere gli account iCloud degli utenti Apple tramite un attacco di tipo man-in-the-middle. Obiettivo dichiarato: salvaguardare le capacità di censura e tecnocontrollo del regime anche dopo il rafforzamento delle pratiche di cifratura annunciato da Cupertino con il debutto di iOS 8.

Pechino farebbe uso di certificati di sicurezza e DNS contraffatti per "interfacciarsi" tra gli utenti e i server di iCloud, sfruttando l'opportunità di compromettere le credenziali dell'utente e avere libero accesso agli account telematici gestiti di Apple. L'uso di un meccanismo di autenticazione a doppio fattore è sufficiente a neutralizzare il tentativo di attacco da parte del governo cinese, così come l'uso di browser quali Firefox e Chrome permette di capire che qualcosa non va con la visualizzazione di allarmi riguardo i certificati contraffatti.

Sia come sia, la nuova cyber-iniziativa cinese coincide con il lancio degli iPhone 6 e 6 Plus, dispositivi in grado di fornire meccanismi di protezione aggiuntivi e che hanno quindi consigliato a Pechino di rivolgersi direttamente alla fonte: cioè ai backup dei dati degli utenti sui server iCloud.
Interpellato direttamente sulla questione, il governo cinese nega categoricamente l'iniziativa e dice di essere come sempre contrario alle pratiche di cracking. Ma gli esperti di sicurezza come Mikko Hypponen (CRO di F-Secure) dicono che le prove sin qui emerse confermano il coinvolgimento di Pechino nel nuovo attacco contro iCloud.

Alfonso Maruccia
Notizie collegate
18 Commenti alla Notizia Assalto cinese a iCloud
Ordina
  • iCloud

    Clicca per vedere le dimensioni originali

    Ma come, un sistema che finora s'era rivelato INVIOLABILE eh! Rotola dal ridereRotola dal ridereRotola dal ridere

    Ecco le potenti autorità che hanno impegato per violarlo.

    Clicca per vedere le dimensioni originali

    Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • L'importante è non fidarsi mai dei dispositivi sbandierati come "sicuri", anzi maggiore è la sicurezza sbandierata e maggiore è la falla occultata.

    Tra l'altro non ho capito come il 2-factor authentication possa debellare un attacco MITM.
  • - Scritto da: bradipao
    > L'importante è non fidarsi mai dei dispositivi
    > sbandierati come "sicuri", anzi maggiore è la
    > sicurezza sbandierata e maggiore è la falla
    > occultata.
    >
    eheh..
    guarda ai macachi cosa tocca fare per TENTARE di capire cosa viene sifonato su osx (su ios e' peggio ovviamente) https://github.com/fix-macosx/yosemite-phone-home

    > Tra l'altro non ho capito come il 2-factor
    > authentication possa debellare un attacco
    > MITM.
    beh perche' il 2'fattore e' fuori dal MITM... tipicamente auth via http (client->server) e feedback via SMS (server ti manda su rete cellulare un pin da dgt). Questo lo scenario 'di scuola'... poi campacavalloSorride
    non+autenticato
  • - Scritto da: bubba
    > > Tra l'altro non ho capito come il 2-factor
    > > authentication possa debellare un attacco
    > > MITM.
    > beh perche' il 2'fattore e' fuori dal MITM...
    > tipicamente auth via http (client->server) e
    > feedback via SMS (server ti manda su rete
    > cellulare un pin da dgt).

    Ma da quello che so, tu lo digiti e passa anche quello dal MITM, e pensi di essere al sicuro.
  • - Scritto da: bradipao
    > - Scritto da: bubba
    > > > Tra l'altro non ho capito come il 2-factor
    > > > authentication possa debellare un attacco
    > > > MITM.
    > > beh perche' il 2'fattore e' fuori dal MITM...
    > > tipicamente auth via http (client->server) e
    > > feedback via SMS (server ti manda su rete
    > > cellulare un pin da dgt).
    >
    > Ma da quello che so, tu lo digiti e passa anche
    > quello dal MITM, e pensi di essere al
    > sicuro.
    beh in quel che ho scritto, no di certo. (gsm e' ovviamente fuori dal MITM).
    Quel che ha implementato la apple nel 2fa non lo so. Penso pero' sia analogo al mio esempio di scuola (anche se avra' qualche fallback, tale da peggiorare la sicurezza generaleCon la lingua fuori )
    non+autenticato
  • un sistema del genere funziona contro dei criminali, ma dubito fortemente che possa fermare un governo

    in fondo le reti mobili sono sotto il controllo di aziende sottoposte al controllo governativo
    non+autenticato
  • - Scritto da: collione
    > un sistema del genere funziona contro dei
    > criminali, ma dubito fortemente che possa fermare
    > un
    > governo
    >
    > in fondo le reti mobili sono sotto il controllo
    > di aziende sottoposte al controllo
    > governativo
    ma si ovvio, nel fantahacking puo' essere tutto.
    MA il caso di specie fan vedere del normalissimo dns mangling con un cert fake (aka neanche 'valido ma rubato' o roba simile).
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: bradipao
    > > - Scritto da: bubba
    > > > > Tra l'altro non ho capito come il 2-factor
    > > > > authentication possa debellare un attacco
    > > > > MITM.
    > > > beh perche' il 2'fattore e' fuori dal MITM...
    > > > tipicamente auth via http (client->server) e
    > > > feedback via SMS (server ti manda su rete
    > > > cellulare un pin da dgt).
    > >
    > > Ma da quello che so, tu lo digiti e passa anche
    > > quello dal MITM, e pensi di essere al
    > > sicuro.
    > beh in quel che ho scritto, no di certo. (gsm e'
    > ovviamente fuori dal MITM).
    in Cina, sicuro?
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: bubba
    > > - Scritto da: bradipao
    > > > - Scritto da: bubba
    > > > > > Tra l'altro non ho capito
    > come il
    > 2-factor
    > > > > > authentication possa
    > debellare un
    > attacco
    > > > > > MITM.
    > > > > beh perche' il 2'fattore e' fuori
    > dal MITM...
    >
    > > > > tipicamente auth via http
    > (client->server)
    > e
    > > > > feedback via SMS (server ti manda
    > su
    > rete
    > > > > cellulare un pin da dgt).
    > > >
    > > > Ma da quello che so, tu lo digiti e
    > passa
    > anche
    > > > quello dal MITM, e pensi di essere al
    > > > sicuro.
    > > beh in quel che ho scritto, no di certo.
    > (gsm
    > e'
    > > ovviamente fuori dal MITM).
    > in Cina, sicuro?
    IO non son sicuro di niente.
    Sono LORO che fan vedere del normalissimo dns mangling con un cert fake (aka neanche 'valido ma rubato' o roba simile piu' tosta).
    non+autenticato
  • - Scritto da: bradipao
    > - Scritto da: bubba
    > > > Tra l'altro non ho capito come il 2-factor
    > > > authentication possa debellare un attacco
    > > > MITM.
    > > beh perche' il 2'fattore e' fuori dal MITM...
    > > tipicamente auth via http (client->server) e
    > > feedback via SMS (server ti manda su rete
    > > cellulare un pin da dgt).
    >
    > Ma da quello che so, tu lo digiti e passa anche
    > quello dal MITM, e pensi di essere al
    > sicuro.

    si ma non appena lo usi scade e non è più utilizzabile, quindi lo usa solo chi lo inserisce
    non+autenticato
  • - Scritto da: rotore
    > - Scritto da: bradipao
    > > - Scritto da: bubba
    > > > > Tra l'altro non ho capito come il 2-factor
    > > > > authentication possa debellare un attacco
    > > > > MITM.
    > > > beh perche' il 2'fattore e' fuori dal MITM...
    > > > tipicamente auth via http (client->server) e
    > > > feedback via SMS (server ti manda su rete
    > > > cellulare un pin da dgt).
    > >
    > > Ma da quello che so, tu lo digiti e passa anche
    > > quello dal MITM, e pensi di essere al
    > > sicuro.
    >
    > si ma non appena lo usi scade e non è più
    > utilizzabile, quindi lo usa solo chi lo inserisce

    Certo, non potranno accedervi separatamente, ma vedono ugualmente tutto quello che passa.
  • - Scritto da: bradipao

    > Tra l'altro non ho capito come il 2-factor
    > authentication possa debellare un attacco
    > MITM.

    Leggo che firefox ed altri browser avvertono dell'anomalia mentre il browser che si usa per la maggiore in Cina, no.
    Quindi i certificati sono farlocchi e il browser cinese non lo notifica neppure (a pensar male...).
    In tale scenario direi che se Apple e Microsoft non hanno lavorato da cani, il device rifiuta la connessione e non partono di conseguenza tutte le funzioni che si appoggiano ai rispettivi cloud (anche con l'autenticazione singola).

    Sostanzialmente si tratta fishing per chi usa il desktop.
  • Non è pechino il problema ma la scarse misure di sicurezza che apple ha nei suoi dispositivi per permettere, volutamente, questo tipo di attacchi.
    Quindi le autorità diceni fanno esattamente quello che fa l'america per mano dell'nsa solo che lo fa massivamente su tutti gli utenti anzichè su singoli bersagli, il risultato non cambia!
    non+autenticato
  • - Scritto da: federico
    > Non è pechino il problema ma la scarse misure di
    > sicurezza che apple ha nei suoi dispositivi per
    > permettere, volutamente, questo tipo di
    > attacchi.
    > Quindi le autorità diceni fanno esattamente
    > quello che fa l'america per mano dell'nsa solo
    > che lo fa massivamente su tutti gli utenti
    > anzichè su singoli bersagli, il risultato non
    > cambia!
    Con l'unica differenza che le chiavi alla nsa le da direttamente apple
    non+autenticato
  • - Scritto da: 2014
    > Con l'unica differenza che le chiavi alla nsa le da direttamente apple

    puo anche esser che la mela in quanto americana debba usare serrature americane/nsa ? (oppure niente abbuono delle milionate di multa per l elusone fiscale e altri 'favori'tipo poter esister ancoa)
    non+autenticato