La verità sulle foto nude delle star (e cosa ci insegna)

Ecco la vera storia dietro le foto nude delle star di Hollywood esposte in rete e quello che l’episodio ci deve insegnare.

/ Decine di star di Hollywood sono state esposte in rete, centinaia di foto nude delle celebrità sono state pubblicate il 1° settembre. Tra le vittime Jennifer Lawrence, Kate Upton, Avril Livigne, Mary Elizabeth Winstead, Mary Kate Olsen, Hillary Duff, Trisha Hershberger.
Si tratta di foto scattate nell’intimità delle proprie case, a volte in camera da letto, alcune in atteggiamenti molto intimi. Molti hanno gioito: “Finalmente Jennifer Lawrence nuda! Finalmente Kate Upton nuda!”. La rete è andata in subbuglio, si tratta di uno dei casi più eclatanti  e sconvolgenti di “hackeraggio” a danno di privati cittadini, perchè di questo si tratta.  Che le foto siano vere non c’è dubbio, sono state le stesse attrici furiose a confermarlo (indirettamente) su Twitter.

To those of you looking at photos I took with my husband years ago in the privacy of our home, hope you feel great about yourselves.

— Mary E. Winstead (@M_E_Winstead) 31 Agosto 2014

– Le foto sono state da rubate dal cloud e poi postate su 4chan.com il 1° settembre. Il primo ad andare sul banco degli accusati è stato iCloud, il servizio di Apple che fa un copia delle foto nella nuvola. Le prime indiscrezioni parlavano di una vulnerabilità in iCloud che sarebbe stata sfruttata dagli hacker per entrare negli account delle star e copiare tutte le foto salvate. Ma gli hacker hanno anche rubato dei video, che hanno cercato do vendere. E qui è il primo problema, Photostream (in servizio che copia in automatico le foto su iCloud) non funziona con i video.

Allora forse gli hacker non hanno sfruttato una vulnerabilità di iCloud. In effetti un iPhone copia anche i video nel cloud solo due casi: o se l’utente vuole fare l’upload e condividerli, oppure quando effettua il back-up completo del dispositivo. Entrare in possesso del backup completo dell’iPhone avrebbe permesso agli hacker di replicare tutti i contenuti del telefono su un altro device vuoto. Se una vulnerabilità è stata sfruttata non è di icloud. Allora sul banco degli imputati è andato “Find my iPhone” il servizio di Apple che consente di ritrovare il proprio telefono, di accedere ai contenuti ed eventualmente di bloccarlo. Ma alle indagini hanno dato una mano anche le celebrità: Trisha Hershberger ha pubblicato su Twitter qualcosa di importante per capire cosa sia successo: “A tutti quelli che dicono di avere le mie foto sfuggite da iCloud, vi dico che io uso Android”.

Hey Ahole claiming to have iCloud leaked nudes of me a) I use #Android & b) you’re missing my vampire bite moles! pic.twitter.com/1ZMzUjtCTl — Trisha Hershberger (@thatgrltrish) 1 Settembre 2014

– Apple accusata dal mondo intero e dalle star come Kristen Dunst che si sono scagliate contro iCloud, ha avviato da subito un’indagine.

“Appena abbiamo saputo che erano stati compromessi degli account e che erano state rubate delle foto nude di celebrità abbiamo immediatamente bloccato i nostri ingegneri per scoprirne l’origine. La privacy e la sicurezza dei nostri utenti sono per noi di grandissima importanza. Dopo 40 ore di investigazioni (…) possiamo dire che nessuno dei casi è originato da una falla in iCloud né in Find my iPhone”.
I sistemi Apple non hanno buchi, o comunque non sono state sfruttate delle vulnerabilità di iCloud o Find my iPhone per entrare in possesso delle foto intime delle celebrità.
E allora come hanno fatto gli hacker ad impossessarsi di queste immagini? In un modo molto semplice.
Hanno scoperto la user name e password degli account delle star.
E la stessa Apple a svelare il mistero “Abbiamo scoperto che alcuni account di celebrità sono stati compromessi da un attacco estremamente mirato su user name, password e domande di sicurezza, una pratica che è diventata fin troppo comune su Internet.” Nome utente e password, in fondo cosa c’è di più semplice?
Si è trattato di un APT: Advanced peristent threat, cioè un attacco in cui si individua esattamente la vittima, si utilizzano diversi tipi di tecniche, senza farsi notare, rimanendo anche per lungo tempo “nascosti” fino a quando si è sicuri di avere accesso a quello che si vuole senza essere scoperti.
Di APT se ne parla da tempo ma tutti (o quasi) prendono sottogamba il fenomeno, si ripropone un pensiero che abbiamo sentito tante volte “perché a me, io in fondo non ho nulla che può interessare”. Da questo episodio c’è molto da imparare.

L’analisi dei metadata inclusi nelle foto ha dato alcune informazioni in più. Gli hacker hanno copiato l’intero backup online dei telefoni, ottenendo una copia esatta di tutto il contenuto del dispositivo: dalle foto ai video, compresi i contatti, i numeri di telefono Tecnicamente le foto sono state copiate in blocco da ciascun account utilizzando un software in uso alle forze dell’ordine per l’analisi forense dei dati: Elcomsoft Phone Password Breaker (EPPB), che ha permesso di copiare in blocco l’intero backup dei dati caricati nel cloud, una volta ottenuti user ID e password. Il software (sviluppato da un’azienda di Mosca) è in vendita a 399 dollari, è pensato per l’utilizzo da parte delle Polizie, ma in realtà all’acquisto non viene richiesta alcuna credenziale.

Che cosa dobbiamo imparare

1- Il sistema user ID e Password è strutturalmente debole e a poco servono per rinforzarlo le domande di sicurezza

2- Gli APT sono una minaccia per tutti, anche per i privati cittadini. Oggi hanno colpito le star, ma per gli stesi motivi potrebbero essere indirizzati verso i privati. Molti hanno foto intime nel proprio smatrphone, che le replica nel cloud

3- Gli hacker sono come dei terroristi e ricercano il sostegno o la benevola indifferenza dell’opinione pubblica. Hanno colpito ed esposto le celebrità perché sapevano che molti l’avrebbero considerata una “bravata” e sarebbero corsi a sbirciare le foto.

4- La vita digitale e quella reale non sono distinte, è un unico flusso, sia per le persone che per le aziende. Le attività digitali sono attività reali e hanno una conseguenza diretta sulla vita.

5- Bisogna conoscere bene gli strumenti che si utilizzano, sapere se un dispositivo replica i contenuti nel cloud e in che modo lo fa per esempio. L’ignoranza espone a rischi. Se non si è in grado di farlo da soli meglio chiedere informazioni ad un professionista.

6- La sicurezza non è un optional. Bisogna “pensare sicuro” quando si utilizzano gli strumenti digitali dal telefono personale al server aziendale. La prima domanda da porsi è “è sicuro quello che sto facendo? Come potrei farlo esponendomi meno ai rischi?”

Qui trovate una guida passo passo per cancellare le foto da iCloud

Le conseguenze

Apple ha subito diramato una raccomandazione ai suoi utenti dicendo di utilizzare password complesse e la “two steps autentications”, ma non solo come racconta qui http://support.apple.com/kb/ht4232 , ma non solo. Apple sta per rilasciare nuovi sistemi di sicurezza, come le notifiche che avvisano se qualcuno sta cambiando la password del servizio iCloud, se i dati vengono copiati su un nuovo dispositivo o se vi è un accesso ai dati dell’account da parte di un dispositivo mai utilizzato prima.
Insomma una livello di avviso come quello approntato dalle banche per l’utilizzo di bancomat e carte di credito. Nel giro di pochi giorni queste funzionalità saranno a disposizione di tutti gli utenti Apple, lo ha detto lo stesso Tim Cook in persona in un’intervista a The Wall Street Journal che potete leggere qui.

Anche Google sta rafforzando i sistemi di sicurezza basati su ID e password e ha annunciato un generatore di password temporanee come estensione del browser Chrome. La funzionalità in realtà è presente dal 2012 ma ora Google l’ha migliorata e la sta pubblicizzando. Per utilizzare il generatore di parole segrete occorre Chrome Canary, e bisogna abilitarlo in due punti: chrome://flags/#enable-password-generation and chrome://flags/#enable-save-password-bubble.