Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

Apple, gli hacker, l'FBI e l'insana cultura del complotto

Apple, gli hacker, l'FBI e l'insana cultura del complotto Photo by on Unsplash
1233 parole - Lo leggerai in 6 minuti

Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere dentro un film di achers, dove veniamo spiati e dove siamo pedine inconsapevoli di qualche cospirazione internazionale.

Intendiamoci, magari è effettivamente così. Magari le nostre fantasie più segrete sono accontentate a nostra insaputa. Magari un nuovo, dio mi perdoni, captatore informatico1, sta intercettando i miei keystroke proprio mentre sto scrivendo questo post.

O magari semplicemente, no. Magari semplicemente, non esiste alcuna backdoor magica che mi permette di entrare ovunque e spiare la casalinga di Voghera per scoprire che se la intende con il macellaio della piazza mentre il marito è al lavoro.

Il caso è, chiaramente, quello dei giganti del’IT, Google ed Apple, contro l’FBI nel caso dell’attentatore di San Bernardino.

I fatti

Lo scorso anno, a [San Bernardino], in Florida, un terrorista con la sua compagna, abusando di una religione che ha più legami con quella cattolica di quanto gli stessi papaboys sappiano, compie una strage.

Perché? Perché Dio, quando ha inventato il libero arbitrio, ha lasciato questi bug? Non lo so. Se mi occupassi di filosofia o teologia, mi sarei già sparato un colpo in testa. Ognuno la pensi come vuole.

Se una persona non vede quanto è bella la vita, nelle piccole cose che lo circonda, allora è un poverino e non sarà la religione la risposta alle sue domande.

In breve, pochi giorni fa, un giudice federale degli Stati Uniti d’America, ordina ad Apple di aiutare l’FBi nella sua richiesta di poter accedere ai dati contenuti nell’iPhone 5C degli attentatori.

Apple, in un’accorata lettera di Tim Cook, dice che non ottemperà a nessuna richiesta del buraeu perché la privacy degli utenti, priorità, blablabla. Metteteci voi un po’ di buzzword per rendere Apple paladina nel campo dei diritti della privacy.

A Cook si unisce presto, sia Google che addirittura Snowden. La tesi, sostenuta dai più è che si aprirebbe un pericolo precedente se Apple dicesse sì all’FBI.

Al terzetto si è aggiunto John MCAFEE che si è offerto di violare il device a gratis per l’FBI che si è dimostrata incapace di assumere le persone giuste.

L’italica reazione

Nei gruppi Facebook e nella stampa generalista, non si è, ovviamente, capito nulla dal punto di vista tecnico. Ci si è lanciati in voli pindarici di cui qualche chicca:

  • “Apple mette apposta degli 0 day in iOS e poi vende gli exploit alle agenzie governative”
  • “Cosa cazzo vuole a violare un maledettissimo iPhone 5C”2
  • “Apple lo ha già fatto e questa è una trovata congiunta per farsi pubblicità”

Ovviamente, se chiedi a questi fan del complotto, di darti qualche link a supporto delle loro tesi, ti imbarcano in cazzate di come Snowden abbia già detto tutto anni fa, di come non ci si possa affidare ad Apple e di come io sia, visto che non mi sono accodato al pensiero main stream, un ignorante credulone che ciecamente crede a tutto quello che gli viene detto.

Komplotto!!!

Tecnicalia

Leggete questo post se volete farvi un’idea con qualche bit tecnico.

I contenuti di quel telefono, sono cifrati con una combinazione del PIN3 e di una chiave di cifratura conosciuta da Apple e cablata al momento della costruzione del device. Sembrerebbe in qualche EPROM, in quanto il wipe da remoto, non fa altro che reinizializzare la chiave stessa.

Alzo subito una bandierina. l’FBI può accedere a quei contenuti in altri due modi:

  • il backup di iTunes sul Mac o sul PC dell’attentatore
  • iCloud, se attivo

Non ci ha pensato? Boh. Evidentemente dobbiamo escludere questa pista, perché l’FBI ha chiesto ad Apple, in prima istanza, un sistema per poter fare il bruteforce del PIN del telefono.

Problemino. Con i vari aggiornamenti di iOS, Apple ha introdotto un delay variabile che aumenta all’aumentare del PIN incorretto e la possibilità di fare il wipe del device a fronte di troppi tentativi sbagliati. Ahia.

A questo punto, il solerte ente governativo chiede aiuto ad Apple. In soldoni, viene chiesto ad Apple di fornire un modo per fare bruteforce del PIN, dando la possibilità di inserire i tentativi via cavo, bluetooth, wifi e qualsiasi altro protocollo usato dal device.

Visto che, anche avendo a disposizione fisicamente il supporto, essendo cifrato il contenuto, l’FBI vuole proprio indovinare quei 4 numerini. Ve lo state immaginando, vero, il potere che verrebbe dato nel poter rompere 4 cifre, in maniera arbitraria anche da remoto?

In questo articolo, il Times analizza quali possono essere i reali motivi per cui l’FBI non si arrangia da sola e chiede aiuto, in maniera ufficiale ad Apple, attraverso un giudice. Rendere legale il tutto.

L’FBI vuole poter operare nella legalità ed avere modo di sbloccare gli iDevice di sospettati, senza troppi problemi.

Vi lascio anche un bell’articolo del NY Times, che potete leggere per vostro approfondimento.

Io credo Apple abbia fatto bene a non voler collaborare con il bureau. In molti, stanno incensando la crociata a favore della privacy dei propri utenti della casa di Cupertino. Ecco, io non credo sia filantropia quella di Apple.

In un’epoca dove il dato è diventato l’asset, e chi controlla il dato controlla il mercato, Apple vuol vendersi come paladina della privacy, ma credo sia più interessata alla eco mediatica di questa battaglia.

L’angolo del libro

ATTENZIONE: i link che trovate da questo momento, fino alla fine del post, contengono il codice di affiliazione del blog ad Amazon. Quindi se visitate, e comprate poi il libro, contribuite al progetto Codice Insicuro.

Alla fine, iOS e l’hardware dell’iPhone sono delle belle gatte da pelare. Ho trovato su Amazon, questo libro, iOS Application Security: The Definitive Guide for Hackers and Developers.

Viene illustrato il modello di sicurezza di iOS e come scrivere codice sicuro in Obj-C. Viene da se, che per capire come scrivere del buon codice, si devono vedere le falle più comuni delle applicazioni per iPhone ed iPad.

Sono a pagina 20, l’ho iniziato da un paio di giorni. Tuttavia, l’indice è molto promettente. L’approccio è quello di fornire gli strumenti per fare del buon reverse e della buona code review ad un’applicazione qualsiasi. L’autore ha promesso che parlerà di come illustrare anche i meccanismi di difesa di iOS. Per ora, è un buon investimento, anche se mi riservo di finirlo prima di farne una recensione completa.

Off by one

Si chiude una settimana concitata dove, come con il caso di Hacking Team, il panorama generalista italiano si scopre appassionato di cyber intrighi, exploit, 0 day.

La passione è tanta, le voci competenti poche. Chiudo quindi citando il post di LK su CheFuturo che cita a sua volta Benjamin Franklin:

“Chi è disposto a sacrificare la propria libertà per briciole di momentanea sicurezza, non merita né la libertà né la sicurezza. E le perderà entrambe”.

Enjoy it.

  1. lo faccio solo per te Francesco 

  2. questa affermazione mi spaventa più delle altre perché viene da un CEO di una società di security che fa dell’analisi dei dispositivi mobili il suo core business. 

  3. evidentemente l’attentatore l’ha impostato. 

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list