Bella la funzione di storage automatico sul cloud online, ma…
Non è la prima volta che succede un casino e sicuramente non è nemmeno l’ultima, ma questa ha tutti i connotati delle 5 S di un certo giornalismo (sesso, sesso, sesso, sesso, sesso).
È oramai noto che sarebbero state trafugate delle foto molto personali di alcune celebrità.
Ho recuperato alcune foto da una fonte che credo sia attendibile e ne ho guardate un po’. Enfasi su un po’ perché dopo la l’n-sima serie di tette, fighe e culi ripresi male in contesti privati uno si stufa anche.
Le immagini sono essenzialmente di due tipi: copiate così come sono dopo che l’applicazione della fotocamera le ha salvate nella memoria del telefono (file di circa 2 Mb) oppure elaborate con i dati EXIF rimossi e ricampionate a bassa qualità (100-500 k circa). Molte di quelle con i dati EXIF risultano acquisite da un iPhone e salvate successivamente da Windows Image Viewer, cosa che capita quando (ad esempio) si apre un’immagine con il visualizzatore di Windows, la si ruota e la si salva. Non è però dato sapere se l’elaborazione sia stata fatta dopo il furto, cosa da non escludere se il malvivente ha deciso di cancellare delle tracce.
In una directory è addirittura presente il file PDF di 4 pagine di Dropbox con le istruzioni base per l’utilizzo del servizio. Il file risulta pulito all’analisi di VirusTotal.
Come questi file siano finiti in mani di terzi non autorizzati non è chiaro. Ci sono molte ipotesi, che al momento restano, appunto, ipotesi senza conferma, quindi meglio aspettare.
Molti telefoni o applicazioni di ripresa hanno una funzione di backup automatico online delle fotografie; alcuni servizi di storage online possono aggiungere questa opzione indipendentemente dall’applicazione utilizzata. Fino a ieri a qualcuno pareva una bella idea, ma adesso ripensateci un attimo se scattate foto personali.
Ho attivato anche io quella funzione compresa nei servizi di Google, ma se dovessero essere pubblicate le mie foto ci sarebbero in questo momento numeri di serie di server, schermate, gatti, cibo, panorami, cazzeggio, un concerto e poco altro. Di sicuro non ci sarebbe nessuna foto compromettente perché non ne faccio di abitudine e, se dovessi farle, utilizzerei un dispositivo offline.
Il problema di mettere i dati online è sempre il medesimo: la differenza tra la segretezza e l’accesso completo è data dalla robustezza del metodo di autenticazione. Mentre una persona o un’organizzazione in casa propria può aumentare a volontà la sicurezza e può compiere varie verifiche, quando utilizza un servizio terzo online deve solamente sperare che quello che viene promesso sia vero e che il metodo di autenticazione (credenziali più algoritmi di accesso) sia abbastanza sicuro da scoraggiare la maggior parte degli attaccanti. Abbiamo parlato di servizi online che garantiscono by design un alto grado di sicurezza, ma non sono inattaccabili: basta una password poco sicura o un keylogger (per citare due esempi) che i file diventano pubblici o comunque accessibili a terzi non autorizzati.
Pochi giorni fa un cliente (uno studio di professionisti) mi chiedeva se era possibile utilizzare un backup automatico online al posto di un NAS. Ho cercato di convincerlo che non è il caso proprio perché questi episodi sono una delle ragioni per cui non è proprio una bella idea utilizzare un backup online per i propri dati di lavoro. Il miglior backup resta sempre quello su un dispositivo normalmente offline e non alimentato, anche se molti utenti preferiscono non doversi ricordare di compiere delle azioni manuali periodiche. Chi ve lo consiglia non lo fa per sadismo, ma per tutelare i vostri dati.
Alla luce di questi fatti, vale il consiglio: se non volete che le foto vadano in giro non usate i telefoni. Le persone consenzienti devono essere libere di scattare tutte le foto che vogliono nella loro sfera privata, questi eventi non devono limitare la libertà degli individui consenzienti, ma devono accendere dei campanelli d’allarme. Le foto che potrebbero essere imbarazzanti si possono scattare con fotocamere digitali non connesse a Internet. Basta andare in un supermercato e prendere una fotocamera compatta, che, tra l’altro, ha sicuramente un’ottica migliore di un telefono e se ne trovano moltissime ad un prezzo decisamente a sud dei 100 Euro.
Fino a ieri la frase poteva essere “guarda che può succedere che…”, da oggi la frase diventa “te l’avevo detto che poteva succedere che…”
Aggiornamento del 2/9/2014
Apple ha rilasciato un aggiornamento per un problema di Find My iPhone che sarebbe stato utilizzato per rubare le immagini ad alcune persone (più o meno) famose.
Pochi giorni prima della diffusione delle immagini alcune persone avevano pubblicato iBtrute su GitHub, una proof of concept che dimostrava come era possibile sfruttare un baco di Find My iPhone. Non è certo che questo tool sia stato utilizzato per trafugare le informazioni né è certo che sia stata usata proprio la vulnerabilità di Find My iPhone per farlo, ma la scansione temporale potrebbe far pensare a quello.
Anche Apple, come Google, Dropbox e altri, offre la possibilità di abilitare l’autenticazione a due fattori. Alcuni utenti la possono vedere come una seccatura o una scomodità, decidano loro se è più scomoda quell’autenticazione o le foto private spiattellate su Internet.
Aggiornamento 3/9/2014
Sembra che l’autenticazione a due fattori di Apple non copra iCloud Backup. Se fosse davvero così, complimenti!
Lascia un commento