Dati tra le nuvole

Bella la funzione di storage automatico sul cloud online, ma…

Non è la prima volta che succede un casino e sicuramente non è nemmeno l’ultima, ma questa ha tutti i connotati delle 5 S di un certo giornalismo (sesso, sesso, sesso, sesso, sesso).

È oramai noto che sarebbero state trafugate delle foto molto personali di alcune celebrità.

Ho recuperato alcune foto da una fonte che credo sia attendibile e ne ho guardate un po’. Enfasi su un po’ perché dopo la l’n-sima serie di tette, fighe e culi ripresi male in contesti privati uno si stufa anche.

Le immagini sono essenzialmente di due tipi: copiate così come sono dopo che l’applicazione della fotocamera le ha salvate nella memoria del telefono (file di circa 2 Mb) oppure elaborate con i dati EXIF rimossi e ricampionate a bassa qualità (100-500 k circa). Molte di quelle con i dati EXIF risultano acquisite da un iPhone e salvate successivamente da Windows Image Viewer, cosa che capita quando (ad esempio) si apre un’immagine con il visualizzatore di Windows, la si ruota e la si salva. Non è però dato sapere se l’elaborazione sia stata fatta dopo il furto, cosa da non escludere se il malvivente ha deciso di cancellare delle tracce.

In una directory è addirittura presente il file PDF di 4 pagine di Dropbox con le istruzioni base per l’utilizzo del servizio. Il file risulta pulito all’analisi di VirusTotal.

Come questi file siano finiti in mani di terzi non autorizzati non è chiaro. Ci sono molte ipotesi, che al momento restano, appunto, ipotesi senza conferma, quindi meglio aspettare.

Molti telefoni o applicazioni di ripresa hanno una funzione di backup automatico online delle fotografie; alcuni servizi di storage online possono aggiungere questa opzione indipendentemente dall’applicazione utilizzata. Fino a ieri a qualcuno pareva una bella idea, ma adesso ripensateci un attimo se scattate foto personali.

Ho attivato anche io quella funzione compresa nei servizi di Google, ma se dovessero essere pubblicate le mie foto ci sarebbero in questo momento numeri di serie di server, schermate, gatti, cibo, panorami, cazzeggio, un concerto e poco altro. Di sicuro non ci sarebbe nessuna foto compromettente perché non ne faccio di abitudine e, se dovessi farle, utilizzerei un dispositivo offline.

Il problema di mettere i dati online è sempre il medesimo: la differenza tra la segretezza e l’accesso completo è data dalla robustezza del metodo di autenticazione. Mentre una persona o un’organizzazione in casa propria può aumentare a volontà la sicurezza e può compiere varie verifiche, quando utilizza un servizio terzo online deve solamente sperare che quello che viene promesso sia vero e che il metodo di autenticazione (credenziali più algoritmi di accesso) sia abbastanza sicuro da scoraggiare la maggior parte degli attaccanti. Abbiamo parlato di servizi online che garantiscono by design un alto grado di sicurezza, ma non sono inattaccabili: basta una password poco sicura o un keylogger (per citare due esempi) che i file diventano pubblici o comunque accessibili a terzi non autorizzati.

Pochi giorni fa un cliente (uno studio di professionisti) mi chiedeva se era possibile utilizzare un backup automatico online al posto di un NAS. Ho cercato di convincerlo che non è il caso proprio perché questi episodi sono una delle ragioni per cui non è proprio una bella idea utilizzare un backup online per i propri dati di lavoro. Il miglior backup resta sempre quello su un dispositivo normalmente offline e non alimentato, anche se molti utenti preferiscono non doversi ricordare di compiere delle azioni manuali periodiche. Chi ve lo consiglia non lo fa per sadismo, ma per tutelare i vostri dati.

Alla luce di questi fatti, vale il consiglio: se non volete che le foto vadano in giro non usate i telefoni. Le persone consenzienti devono essere libere di scattare tutte le foto che vogliono nella loro sfera privata, questi eventi non devono limitare la libertà degli individui consenzienti, ma devono accendere dei campanelli d’allarme. Le foto che potrebbero essere imbarazzanti si possono scattare con fotocamere digitali non connesse a Internet. Basta andare in un supermercato e prendere una fotocamera compatta, che, tra l’altro, ha sicuramente un’ottica migliore di un telefono e se ne trovano moltissime ad un prezzo decisamente a sud dei 100 Euro.

Fino a ieri la frase poteva essere “guarda che può succedere che…”, da oggi la frase diventa “te l’avevo detto che poteva succedere che…”

Aggiornamento del 2/9/2014

Apple ha rilasciato un aggiornamento per un problema di Find My iPhone che sarebbe stato utilizzato per rubare le immagini ad alcune persone (più o meno) famose.

Pochi giorni prima della diffusione delle immagini alcune persone avevano pubblicato iBtrute su GitHub, una proof of concept che dimostrava come era possibile sfruttare un baco di Find My iPhone. Non è certo che questo tool sia stato utilizzato per trafugare le informazioni né è certo che sia stata usata proprio la vulnerabilità di Find My iPhone per farlo, ma la scansione temporale potrebbe far pensare a quello.

Anche Apple, come Google, Dropbox e altri, offre la possibilità di abilitare l’autenticazione a due fattori. Alcuni utenti la possono vedere come una seccatura o una scomodità, decidano loro se è più scomoda quell’autenticazione o le foto private spiattellate su Internet.

Aggiornamento 3/9/2014

Sembra che l’autenticazione a due fattori di Apple non copra iCloud Backup. Se fosse davvero così, complimenti!


Pubblicato

in

, ,

da

Commenti

5 risposte a “Dati tra le nuvole”

  1. Avatar Andrea (aka Zappa)

    Le foto che faccio col mio telefono sono backuppate verso il mio nas (Nas4Free) e verso il mio desktop con btsync ma solo quando sono a casa in LAN o quando il laptop è nella stessa rete. Il Nas si accende con un WOL poi a fine backup si spegne. I miei files sono a casa mia, non nei dischi altrui. Sarò paranoico, ma non mi fido.

  2. Avatar Elio
    Elio

    Premesso che quello che scrivi (e che scrive anche Attivissimo) è tutto corretto e condivisibile, mi permetto una battuta:
    scusa se te lo dico, ma cosa me ne faccio dell’ottica migliore di una compatta da 100 euro rispetto a quella del mio cellulare se devo fotografarmi nudo davanti allo specchio? È proprio un ragionamento da geek! 🙂

    1. Avatar Luigi Rosa

      Nella mia osservazione sottintendevo che la fotocamera potesse essere usata ANCHE per riprese private, non SOLAMENTE per quelle 😛

  3. Avatar Elio
    Elio

    Era chiaro e non fraintendibile in realtà, ma scusami se ho fatto associazioni mentali un po’ distorte, forse fuorviato dal tema: è tutta colpa mia!
    È che mentre leggevo mi sono pensato in bagno a farmi le foto e mi chiedevo: ma davvero mi interessa fotografarmi con una ottica migliore? Ho uno specchio piccolo e la luce non è delle migliori, e la finestra è piccola e filtra poca luce naturale, davvero è l’ottica il primo dei miei problemi? E alla fine il pensiero è: ma davvero è la qualità della foto il primo dei miei problemi?
    😀

  4. […] all’articolo precedente lo sviluppo del lato tecnico della storia del furto di immagini, qui vorrei fare qualche […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *