iPhone: scacco matto

Bruttissimo periodo per Apple e la sicurezza dei loro (e nostri) dispositivi iOS.

A fine settembre scorso, un gruppo di ricercatori mobile security ha scoperto una gravissima falla nel sottosistema di iPhone & C. chiamato SecureRom.

SecureRom fa parte di un sistema più complesso, chiamato SecureBoot, implementato da Apple per consentire esclusivamente l’avvio del suo sistema operativo (iOS) sicuro e non modificato.

Cosa è SecureROM e quali sono le sue specifiche funzioni.

Si tratta di una parte importantissima di codice software, registrato – durante la produzione dell’i-device – in maniera immodificabile nella ROM (Read Only Memory) del dispositivo, avente la funzione primaria di lanciare (bootstrap) il codice di avvio del sistema operativo iOS dalla memoria flash del dispositivo; esso può anche avviare la procedura di ripristino del sistema, chiamata DFU – Device Firmware Upgrade, ed è proprio questa procedura ad essere stata attaccata e sfruttata per eseguire codice non validato da Apple e lanciare l’exploit.

Semplificando, il dispositivo deve essere messo in stato DFU, es. tenendo premuto il tasto home durante l’accensione; in stato DFU lo stack USB viene posto in ON, ponendo quindi l’attaccante nelle condizioni di inviare codice arbitrario al device, che verrebbe sottoposto a validazione da SecureROM al termine del trasferimento e quindi, in condizioni normali, non eseguito.

Il trucco consiste nell’interrompere il trasferimento e ripristinarlo immediatamente dopo; in tale circostanza, gli hacker si sono accorti che il contenuto di alcune variabili non viene azzerato, e questo determina che il successivo codice ad-hoc inviato può essere eseguito senza verifiche.

Questo comporta che può essere scritto ed eseguito codice non firmato (validato) da Apple sul dispositivo, ed il Jailbreak è fatto; allo stato attuale, la modifica non sopravvive al riavvio del sistema (occorre ripeterla) ma questo consente comunque la possibilità di accedere completamente al filesystem del dispositivo.

Già alcuni produttori di soluzioni mobile forensic, come ElcomSoft, hanno aggiornato il loro software di acquisizione per sfruttare la vulnerabilità scoperta, che i ricercatori hanno chiamato checkm8 (“checkmate”).

Cosa comporta questa vulnerabilità e come si risolve.

La falla comporta la possibilità di avere accesso all’intero filesystem del dispositivo, a condizioni di averlo fisicamente a disposizione; fortunatamente la gran parte delle informazioni registrate su iPhone sono cifrate, e quindi a tali dati non potrà esservi accesso. Purtroppo alcune informazioni sono – e per il corretto funzionamento del sistema operativo debbono esserlo – registrate in chiaro, e quindi accedibili; ElcomSoft dichiara che sono accessibili le credenziali complete degli indirizzi di posta elettronica, id Skype, e molto altro.

Non si tratta di una vulnerabilità hardware, come alcuni affermano, ma di una vulnerabilità del codice SecureROM, quindi software; purtroppo, essendo esso registrato – in modo immodificabile – in memoria ROM, non è aggiornabile e la vulnerabilità non può essere rimossa.

Quali iDevices sono affetti?

Allo stato sono affetti i dispositivi da iPhone 5s fino a iPhone X; sono vulnerabili anche vari iPads ed Apple TVs. Iphone XS, XR ed 11 sembrano – per adesso – immuni.

Cosa debbo fare?

Questo è un brutto colpo per la sicurezza degli iDevices, che ritenevamo tra gli smartphones più sicuri. Apple, da sempre votata alla sicurezza dei propri prodotti, aveva messo in campo una serie di avanzate misure di sicurezza – come USB restricted mode – per evitare che i suoi dispositivi potessero essere oggetto di attacchi e – sopratutto – di analisi computer forensic. Anche se gli ultimi tre modelli iPhone appaiono per adesso immuni, la sicurezza della intera famiglia di iDevice ne esce fortemente ridimensionata. Coloro che utilizzano dispositivi iOS per memorizzare o elaborare dati importanti (wallet di cryptocoin, credenziali homebanking, ecc.) o critici (dati particolari, credenziali di accesso a luoghi ad alta sicurezza, 2FA, ecc.) debbono prendere atto delle conseguenze derivanti dalla potenziale applicazione della vulnerabilità al proprio dispositivo.

Ritengo quindi importante, sulla base delle logiche di dataprotection, consigliare di non memorizzare alcun dato rilevante sul proprio iPhone, specialmente se un modello tra quelli affetti dalla vulnerabilità.

Auspico che Apple adotti le opportune contromisure, quantomeno per i prossimi dispositivi; spero anche che si faccia – quantomeno parziale – carico dei milioni di utenti che dovranno sostituire, adesso, il loro iPhone.

Aggiornamento: sono affetti dalla falla anche gli iWatch.

Garante privacy sanziona Eni Gas e Luce

Due maxi sanzioni, irrogate dall’Autorità di Controllo italiana alla società Eni Gas e Luce, in relazione ad attività di TeleMarketing indesiderate e attivazione di contratti non richiesti.

La prima sanzione – 8,5 milioni di euro – “… riguarda trattamenti illeciti nelle attività di telemarketing e teleselling riscontrati nel corso di accertamenti e ispezioni svolti dall’Autorità a seguito di diverse decine di segnalazioni e reclami ricevuti … Tra le violazioni messe in luce spiccano le telefonate pubblicitarie effettuate senza il consenso della persona contattata o nonostante il suo diniego a ricevere chiamate promozionali, oppure senza attivare le specifiche procedure di verifica del Registro pubblico delle opposizioni; l’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti; tempi di conservazione dei dati superiori a quelli consentiti; l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati.”

La seconda sanzione – 3 milioni di euro – “… riguarda violazioni nella conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas. Molte persone si sono rivolte all’Autorità lamentando di aver appreso della stipula di un nuovo contratto solo dalla ricezione della lettera di disdetta del vecchio fornitore o dalle prime fatture di ENI Gas Luce. In alcuni casi poi le segnalazioni denunciavano la presenza nel contratto di dati inesatti e di sottoscrizione apocrifa. Le gravi irregolarità hanno interessato circa 7200 consumatori. Dagli accertamenti dell’Autorità è emerso che le condotte adottate da ENI Gas Luce nell’acquisizione di nuovi clienti mediante alcune agenzie esterne operanti per suo conto, per modalità organizzative e gestionali, hanno determinato trattamenti non conformi al Regolamento UE, in quanto contrari ai principi di correttezza, esattezza e aggiornamento dei dati.”

Windows 7, ecco la vulnerabilità critica

Arriva, a pochi giorni dal termine del periodo di aggiornamento di Windows 7, la prima falla critica che riguarda Internet Explorer 11, vecchio browser presente peraltro in tutti i sistemi operativi recenti di Microsoft, ivi compresi Windows 10 e Windows Server 2019.

Della insicurezza derivante dall’utilizzo di Explorer 11 avevamo già parlato; la falla è talmente grave che è sufficiente navigare (utilizzando IE11) su di un sito appositamente predisposto per attivare la vulnerabilità e perdere il controllo del PC.

Ad oggi, non esiste ancora una patch; ovviamente, essendo terminato il supporto di Microsoft a Windows 7, è piuttosto improbabile che, su Windows 7, tale falla venga rimossa; a meno che Microsoft ritenga critico doverlo fare, come nel precedente caso di Windows XP e la vulnerabilità EternalBlue.

Non utilizzate mai più Internet Explorer su nessun device; al suo posto consiglio Firefox.

Windows 7, R.I.P.

Lo avevamo già annunciato; oggi termina il supporto a Windows 7, da parte di Microsoft.

Questo determina la impossibilità di aggiornare ulteriormente il sistema operativo, con la conseguenza che non potrà più essere ritenuto adeguato al trattamento di dati personali; occorrerà pertanto passare a Windows 10.

Windows 7 è stato uno dei migliori sistemi operativi mai rilasciati da Microsoft; certamente migliore del suo successore Windows 8; è ancora molto utilizzato (le stime di StatCounter indicano il 26,79% nell’ambiente Windows) specialmente per dispositivi aziendali, sistemi di controllo (es. lavaggi automatici) e Bancomat.

Le grandi aziende possono sottoscrivere con Microsoft – a caro prezzo – un servizio di aggiornamento sino al 2023; consiglierei, invece, di passare a Windows 10 LTSC, versione spartana e veloce di Windows 10 riservata – purtroppo – solo alle aziende.

Ho già sentito alcune soluzioni assurde, quali continuare ad utilizzare Windows 7 bloccandone l’accesso ad Internet.

Lo scrivo chiaramente: qualsiasi soluzione diversa dal passaggio a Windows 10 (o altri sistemi operativi, come macOS o distribuzioni Linux recenti e supportate) o – in sub-ordine – dalla sottoscrizione del salato contratto di aggiornamento esteso non sono compliant – a mio parere – alla normativa di protezione dei dati personali.

BlockChain & Security?

Oggi mi sono preso il tempo necessario a leggere il “Position Paper” prodotto da Clusit e dall’Osservatorio BlockChain & Distributed Ledged Technology del Politecnico di Milano, intitolato “Blockchain & Distributed Ledger: aspetti di governance, security e compliance“.

Nella parte finale, sono stati analizzati alcuni aspetti relativi alla qualità ed alla sicurezza; come purtroppo abbiamo sperimentato da decenni, la caratteristica più importante del software è che funzioni (e che sia approntato velocemente).

Concetti quali “qualità del software”, “programmazione sicura”, “vulnerability analysis” non facevano parte del secolo precedente e continuano a non fare parte dell’attuale.

Inoltre, la sicurezza delle infrastrutture DLT è anche – purtoppo – dipendente dalla sicurezza della sottostanti componenti sulle quali esse sono basate; quando vengono perpetrati attacchi agli exchange, di solito sono sfruttate le vulnerabilità – quasi sempre presenti – nei componenti e librerie software standard.

Per non parlare della caratteristica di moltissimi wallet di poter ripristinare il contenuto e l’accesso allo stesso tramite una procedura che utilizza un “recovery seed” (seme di generazione); pur essendo teoricamente moltissime le combinazioni, nulla ci autorizza a credere che l’algoritmo di generazione sia esente da bug.

Da ultimo, vorrei spendere due parole sul concetto stesso di sicurezza degli smart contracts; qui siamo proprio in alto mare, ad esempio considerando che il codice di funzionamento di uno smart contract utilizza quasi sempre degli “oracoli” (informazioni o triggers esterni, sui quali si basa la procedura), che possono essere forgiati – da persone esperte e motivate – come meglio credono.

Quindi abbiamo ancora molti anni di studio e confronto, per poter abbinare con un minino di certezza, le parole blockchain e security; per adesso non possiamo.

Lo studio congiunto di Clusit – Osservatorio DLT del Politecnico è uno dei primi passi di un percorso lungo ed accidentato, il quale non sappiamo ancora se condurrà ad una destinazione finale.