1 Commento

Peggio chiedersi "perché" o "da dove"?

UDID si pronuncia come “Sei stato tu”…

di

thumbnail

14

set

2012

Il caso degli UDID iOS apparentemente sottratti all’FBI da Anonymous si è eccessivamente nutrito di illazioni.

Il collettivo hacker Anonymous avrebbe un elenco di 12 milioni di UDID (Unique Device Identifiers) recuperati dal portatile dell’agente federale Christopher Stangl sfruttando la vulnerabilità dell’Atomic Reference Array di Java (CVE-2012-0507, vedi anche Technet). Un file denominato NCFTA_iOS_devices_intel.csv conterrebbe una lista di 12.367.232 identificatori di device iOS di Apple iOS con tanto di user names, name of device, type of device, Apple Push Notification Service tokens, zipcodes, cellphone numbers, addresses ecc. associati all’UDID.

Anonymous ha graziosamente divulgato solo 1.000.001 righe del file, evitando qualsiasi dettaglio personale. L’FBI ha risposto inizialmente del tutto falso:

 

Un sofisticato lavoro di investigazione forense sui dati smentisce Anonymous e corrobora le dichiarazioni dell’FBI, indicando che le informazioni siano state acquisite dai database della software house Blue Toad.

Sono stati avanzati dubbi anche sulla risposta di Apple: Non glieli abbiamo dati noi. Anche dopo avere saputo di Blue Toad la situazione ed i rischi connessi all’uso degli UDID rimangono ben noti, come ha ampiamente documentato Aldo Cortesi, consulente presso Nullcube, che nota sconsolato:

As serious these problems are, I’m afraid it’s just the tip of the iceberg. Negotiating disclosure and trying to convince companies to fix their problems has taken literally months of my time, so I’ve stopped publishing on this issue for the moment.

Va notato che lo stesso Anonymous suggeriva la possibilità di una origine risalente a uno sviluppatore:

 

L’analisi più lungimirante prima di conoscere la verità sulla provenienza dei dati è stata quella proposta da O’Reilly:

Ignoring conspiracy theories, this dataset might be the result of a single developer. Although how it got into the FBI’s possession and the why of that, if it was ever there in the first place, is another matter entirely. I’m going to go on hacking away at this data to see if there are any more interesting correlations, and I do wonder whether Antisec would consider a controlled release of the data to some trusted third party?

In queste situazioni, proprio la mancanza di un soggetto indipendente e affidabile nelle sue dichiarazioni apre la strada a ogni tipo di illazioni, con ricadute negative su tutto il dibattito riguardante la sicurezza.




Francesco Armando (@quasidot) ha iniziato a curiosare nel mondo dell’informatica ai tempi del glorioso Commodore 64 e da allora non è riuscito a smettere. Ha un debole per i temi della privacy, della disponibilità e della sicurezza. Pare lavorare presso un vendor europeo specializzato nella network security e si diletta a provare servizi online più o meno improbabili. Il suo blog è testimone di queste divagazioni quasi ragionevoli.

Letto 5.131 volte | Tag: , , , , , , , , , , , , , , , , , , , , , ,

Un commento

  1. [...] UDID si pronuncia come “Sei stato tu”… | Apogeonline. Share this:TwitterFacebookMoreEmailPrintLinkedIn  Posted by af at 21:53  Tagged with: apogeo, articolo [...]

Lascia il tuo commento