Home
Il peccato di Honan

31 Agosto 2012

Il peccato di Honan

di

Internet non è un ambiente sicuro né garantito e affidare i propri dati alla rete implica una parte di responsabilità sulla loro sicurezza.

Mat Honan ha raccontato come attraverso il controllo altrui del proprio account iCloud abbia perso i dati presenti su iPhone, iPad, MacBook Air, nonché sui suoi account GMail e Twitter.

Il nocciolo della (lunga) storia così come Honan l’ha descritta su Wired è centrato su un problema congiunto nato dalla commistione di indirizzo email e carta di credito su diversi account:

Apple tech support gave the hackers access to my iCloud account. Amazon tech support gave them the ability to see a piece of information — a partial credit card number — that Apple used to release information. In short, the very four digits that Amazon considers unimportant enough to display in the clear on the web are precisely the same ones that Apple considers secure enough to perform identity verification.

Amazon e Apple hanno reagito piuttosto velocemente e le ultime quattro cifre della carta di credito non bastano più per ottenere le chiavi di un account dal supporto telefonico.

Sarebbe bene, chiosa Marco Arment, utilizzare un altro elemento di verifica. Magari inviando un messaggio a tutti i device registrati che chieda di telefonare entro 24 ore al supporto Apple qualora l’attività di reset della password non fosse autorizzata.

È il tema caro a tutti quanti pensano che l’autenticazione debba venire attraverso diversi fattori. Non a caso Matt Cutts, evangelista Google di grande fama, ha immediatamente ribadito quanto sia facile ed opportuno abilitare l’autenticazione a due fattori su Google (visto che come conseguenza dell’Epic Hack era stata azzerata la casella GMail collegata).

La storia è istruttiva e si presta a diverse considerazioni. La prima: un unico backup online. Nessuna copia su altri supporti o altri account. La seconda: confusione tra fiducia nelle capacità di Apple e capacità di controllare i propri dati. Qualcosa che porta Steve Wozniak a dire del cloud:

I think it’s going to be horrendous. I think there are going to be a lot of horrible problems in the next five years.

Il fatto che l’aggressore abbia bene utilizzato tecniche di social engineering per distruggere i dati di Honan non è certo nuovo. Le risposte alle domande “di sicurezza” per attivare funzionalità critiche e delicate sono spesso a disposizione di chiunque abbia voglia di indagare la vita digitale pubblica del bersaglio. Il collegamento tra account facilita la vita, ma quali conseguenze comporta? Quando i propri dati vengono affidati ad un gestore terzo non viene fatto alcuno sforzo per capire termini e modalità dei processi utilizzati per garantire la sicurezza degli stessi. Tutto questo succede spesso, senza che si comprenda realmente la portata delle interconnessioni che andiamo tessendo di giorno in giorno, di servizio in servizio.

In queste occasioni è certo opportuno ripensare alle proprie strategie di sicurezza, seguendo magari i consigli di Matt Cutts sull’abilitazione della 2-factor authentication, usando un gestore di password che ci aiuti a non riutilizzarle tra i diversi servizi e controllando i backup (non conta solo avere copia dei dati, ma anche poterli recuperare).

La storia di Mat Honan è piuttosto particolare per la visibilità del protagonista (e per questo vittima più probabile di molti altri) ma suona un campanello di allarme per tutti. Non a caso Bruce Schneier afferma:

I believe this will increasingly become a problem, and that cloud providers will need better and more automated solutions.

Quanto hanno pesato le colpe di Mat Honan in questa storia? Molto più di quelle di Amazon ed Apple, eppure il tono degli articoli e dei commenti è tutto di critica alle megacorporation che abusano degli ut[e|o]nti. Forse perché Mat ammette da subito le proprie responsabilità:

In many ways, this was all my fault. My accounts were daisy-chained together. […] Had I been regularly backing up the data on my MacBook, I wouldn’t have had to worry about losing more than a year’s worth of photos, covering the entire lifespan of my daughter, or documents and e-mails that I had stored in no other location.

Internet non è un ambiente amichevole e protetto e lo sappiamo bene da tempo. I servizi delle varie public cloud sfruttano Internet. Vi sembra troppo distopico? Allora potreste rivedere 2022: i sopravvissuti, citato nell’articolo su Wired ed ispirato ad una ricerca del MIT svolta su richiesta del Club di Roma: Sui limiti dello sviluppo (The Limits to Growth, 1972).

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.