La storia che vi sto per raccontare è abbastanza recente, e riguarda una persona che con la tecnologia informatica ci lavora.
E' una dimostrazione (dopo il caso di Megaupload) di come il cloud non è sicuro come vogliono farci credere.
Premessa:
Leggo regolarmente Il Disinformatico il blog del giornalista italo-elvetico Paolo Attivissimo.
Ieri (17 agosto ndr) leggo un suo "Articolo" che parla del suo ultimo podcast e del relativo articolo scritto per la rete tre elvetica.
L'articolo scritto, parla della vicenda di giornalista americano, Mat Honan, che scrive per l'importantissima rivista del settore informatico Wired.
Dall'articolo di Attivissimo quindi trovo il link all'articolo originale dello stesso Honan, che spiega come in un oretta circa lui abbia perso praticamente tutta la sua vita digitale.
Qui per comodità ne faccio un breve riassunto.
I Protagonisti:
In questa vicenda vi sono 4 protagonisti, responsabili a vario livello dell'accaduto, e sono:
- Mat Honan, il giornalista e proprietario degli account cancellati.
- Apple, nota azienda nel campo dell'informatica e produttore di alcuni dei più ambiti gadget elettronici dell'ultimo decennio.
- Amazon, il noto negozio online di libri e molto altro.
- Phobia, l'hacker che ha attaccato Honan.
I fatti:
Honan, il pomeriggio del 3 agosto sta giocando con la figlia, verso le 5 del pomeriggio il suo iphone si spegne improvvisamente, siccome il giornalista attendeva una telefonata, lo riaccende, ma qui s'accorge che il telefono richiede la configurazione. Fastidioso, ma può accadere con gli apparecchi elettronici, basta un baco e ci si ritrova a dover fare alcune procedure noiose, ma è il prezzo della tecnologia.
Honan è infastidito ma non preoccupato dalla cosa, prova a farlo riconfigurare con il suo account icloud, ma non viene accettato, altro fastidio, ma succede, un giorno no.
Allora lo collega al PC per fare un ripristino, ma parte un avviso che lo informa che il suo account apple non riesce a collegarsi con il suo account gmail, il tutto si disattiva e si trova davanti ad una schermata grigia che gli chiede in codice pin a 4 cifre.
Mat comprende che qualcosa non va, per sicurezza stacca dalla rete tutti gli apparecchi apple, prende il telefonino della moglie e contatta il servizio clienti apple, dove parla con un assistente per un ora e mezza.
Dopo aver riottenuto un account sicuro, il giornalista scopre che il suo account gmail ed il suo account apple non esistono più.
Cos'è accaduto:
Nell'articolo di Mat Honan c'è un esauriente spiegazione, quindi io per comodità riassumo gli avvenimenti.
Phobia, l'hacker, vuole entrare in possesso dell'account twitter di Honan, gli piace il suo "nick" su twitter, e vuole fargli un tiro mancino.
- Prima di tutto risale all'account gmail di Honan da Twitter.
- Entra in Gmail inserendo la mail di Honan, per fare una richiesta di recupero password.
- Dalla richiesta arriva alla mail collegata per ricevere la nuova pass, Phobia in questo momento non fa richiesta, gli serve solo vedere quale mail è collegata a quella di google.
- La mail indicata da Google è parzialmente criptata, ma è una mail Me.com, e dalle lettere visibili, riesce facilmente a capire qual'è la mail completa, che era m.honan@me.com.
- Phobia ora ha bisogno di alcuni dati utili per accedere all'account di apple di Honan.
- Prima va su whois e con il dominio personale di honan ottiene il suo indirizzo di fatturazione. L'email era già in suo possesso, quindi gli mancavano solo le ultime 4 cifre della carta di credito.
- Phobia, grazie ad un generatore coerente di numeri di carte di credito, crea un "falso".
- Contatta telefonicamente Amazon, dove sa che Honan ha un account come molti americani, e li informa che vuole aggiungere una seconda carta al suo account, gli basta nome, cognome, indirizzo di fatturazione e indirizzo mail per inserire questa "nuova carta".
- Successivamente ricontatta Amazon, e fornendo i dati in suo possesso ottiene una pass provvisoria.
- Sui dati dell'account Phobia trova le ultime 4 cifre della vera carta di credito di Honan, ora ha tutte le chiavi per l'account apple di Honan.
- Phobia contatta il servizio clienti di apple verso le 4 e 30 del pomeriggio, e chiede una pass temporanea per accedere al suo account poiché non ricorda più la sua, fornisce quindi indirizzo email di me.com, indirizzo di fatturazione e le ultime 4 cifre della carta di credito.
- Ottenuti questi dati, ora accede all'account di google di Honan, e fa richiesta di una nuova password.
- Grazie al fatto che ora è in possesso dell'account apple di Honan, Phobia recupera così la password dell'accunt di Google del giornalista.
- Dall'account di Google ora ha accesso anche a quello di Twitter.
- Phobia usa l'account di twitter di Honan per far circolare messaggi razzisti e spazzatura.
Gli errori:
Prima di tutto ci sono quelli di Honan, aveva gli account più preziosi concatenati da loro, e sopratutto non ha utilizzato il sistema di sicurezza a doppio controllo di Gmail, se aveva quello attivo probabilmente Phobia avrebbe desistito, od avrebbe agito in modo diverso.
Amazon ha dato accesso ad un suo account con un minimo controllo di sicurezza, che è stato pressoché nullo, fornendo ad una persona non autorizzata dei dati sensibili, ritenendo le ultime 4 cifre della carta di credito come un dato "standard" e non prezioso.
Apple di suo invece ha usato un dato sensibile come quelle quattro cifre come dato sicuro, e quindi utilizzabile per la richiesta della pass, inoltre, come sopra, ha dato l'accesso ad un account ad una persona non autorizzata con estrema facilità.
Phobia non ha fatto altro che sfruttare le debolezze insite del sistema di assistenza clienti delle due multinazionali.
Da tener presente:
Phobia ha ottenuto dei dati sensibili sfruttando delle debolezze del sistema.
Ha ottenuto l'indirizzo di fatturazione di Honan con una ricerca su Whois, ma poteva ottenere la stessa cosa usando le pagine bianche od altri sistemi che consentono di trovare gli indirizzi pubblici di un conoscente o di una ditta.
Ha ottenuto le email di Honan partendo da twitter, per arrivare a Gmail, e poi a Me.com e viceversa.
Ha ottenuto le 4 cifre della carta di credito di Honan semplicemente facendo una telefonata, ma state attenti, molti "negozi online" o servizi di pagamento online nel vostro account personale non occultano le ultime 4 cifre della carta di credito, quindi sono altrettanto violabili. Inoltre spesso queste si trovano anche nelle ricevute di pagamento fatte al ristorante, o dal benzinaio. Honan nel suo articolo dice anche una cosa preoccupante, quando ordinano la pizza da consegnare a domicilio, spesso negli usa si paga anche con la carta, e se si pensa bene alla cosa, si fornisce ad un sedicenne due dati sensibili, la carta di credito e l'indirizzo, e già con questi due si possono fare molti danni.
D'altro canto c'è pure la debolezza dei servizi di assistenza al cliente che hanno reso il tutto fattibile.
Il modo di verifica dell'identità di un cliente via telefono è fallace, se basta il possesso di 4 elementi per ottenere accesso liberamente ad account dove è presente una carta di credito, con la quale si possono fare diversi danni.
Lo stesso servizio di assistenza spesso poi commette errori.
Honan è stato un ora e mezza abbondante al telefono con il servizio assistenza della apple, non riuscendo ad avere accesso al suo account, un ora e mezza persa perché l'addetto ha capito Herman invece di Honan. Quindi il nostro Mat non riusciva a rispondere alle domande di sicurezza ne a fornire i dati corretti.
Lo stesso servizio assistenza di apple ha poi trascurato di avvisare Honan del fatto che mezz'ora prima della sua telefonata un altra persona li aveva contattati spacciandosi per lui, Honan l'ha scoperto solo quando è riuscito a contattare Phobia, che successivamente gli ha spiegato come aveva fatto, e dopo una nuova telefonata al servizio clienti apple.
Honan ha imparato duramente che sul Web la sicurezza è funzionale solo quando tutto è protetto a dovere, basta una piccola falla o il trascurare il briciolo di sicurezza in più offerto da chi ci fornisce i servizi per finire nei guai.
Honan ha perso più di un anno di dati, foto, ed altro, inoltre ha perso 5 anni di appunti e tutti i suoi contatti su gmail.
Il tutto è stato poi solo il danno collaterale causato da un ragazzino che voleva il suo account twitter.
In chiusura... Consigli:
Tenete presente che il cloud non è sicuro, Apple lo sta promuovendo, Google sta basando tutto il suo nuovo sistema operativo su di esso, e Windows 8 è una piattaforma cloud-centrica.
Quindi per esser sicuri fate come segue:
Evitate di avere account importanti collegati tra loro, quelli del provider, o di un servizio sono sempre da considerare importanti, piuttosto usate una seconda mail indipendente per tutti.
Cercate di assicurarvi della sicurezza che un fornitore di servizi online vi offre, anche quella telefonica, cercate sempre di mettere al sicuro le password, evitate i siti di raccolta pass, una volta avuto accesso a quel servizio, hanno in mano tutto.
Insomma premunitevi, sull'articolo di Attivissimo vi sono altre accortezze, ma tenete presente una cosa:
Un domani, quando il Cloud sarà di uso comune è bene sempre avere copia fisica di tutti i vostri file, non fidatevi, inoltre nei primi tempi è facile che i sistemi di sicurezza siano gli stessi usati oggi, che sono abbastanza limitati, e non crediate che un domani aumentino a dismisura, una persona che voglia far danno, un modo lo trova sempre, quindi prendete sempre tutte le precauzioni del caso e non fidatevi a lasciare in mano a chi non conoscete dei file o dei dati importanti.
@BF, come ho scritto sul sito di Paolo, sarà che sono "vecchio" (informatico dal 1976, ma i miei dati sensibili NON SONO e NON SARANNO MAI sul cloud, NON MI FIDO DELLA PSEUDO SICUREZZA della rete.
RispondiEliminaAnche perché i MIEI dati sono SOLO MIEI, e non di google, facebook o altre società poco sicure come apple, amazon o simili.
Sarà perché lavoro nella sicurezza informatica, ma trovo IDIOTA il comportamenti di questi "esperti" di sicurezza, e mart ne è l'esempio parlante
Il discorso in se è che una copia fisica resta una copia fisica, purtroppo nemmeno quella è sicura al 100%.
EliminaSon d'accordo con te, è idiota lasciare dei dati, personali sopratutto, nella rete, ma alle volte può essere utile.
Tempo addietro causa incidente domestico, andò a fuoco la scrivania del computer, risultato, distrutto il pc, completamente, e le copie fisiche che ovviamente, erano sulla stessa scrivania, ci fosse stato il cloud allora, avrei salvato i miei files, invece così persi tutto.
Certo, il mio è stato un caso limite, ma anche i supporti fisici sono soggetti a danneggiamento, e quindi a perdita dei dati.
L'idea migliore sarebbe avere più copie, sia fisiche che virtuali, ed in questo il cloud può essere utile, ma fino a quando la sicurezza dello stesso viene gestita come nel caso di Mat Hosen...
@bf infatti i miei dati sono su almeno 2 PC in posti diversi e su almeno 1 disco esterno e/o chiavetta USB che mi porto dietro.
EliminaMi è capitato di perdere dei dati (per fortuna NON importanti) in seguito alla rottura di dell'HD del portatile, da allora i miei dati sono (anche) in posti fisici diversi.
Poi il cloud NON è ancora abbastanza sicuro, IMHO, per avere i MIEI dati (e non lo sarà MAI)