L'hacking dietro il furto delle foto di celebrità non era poi tutto questo hacking

Selfie via Wikimedia commons (NSFW)

Nel fine settimana il discorso sul femminismo pronunciato da Emma Watson all'ONU ha causato un po' di risentimento negli angoli oscuri di internet: dopo averla sentita dichiararsi vicina alla causa delle donne, qualcuno avrebbe infatti minacciato di voler rendere pubblici una serie di selfie che la ritraggono nuda. Potrebbe trattarsi di una bufala, ma il recente caso del leak a danno di altre celebrità ha messo tutti in stato d'allerta.

Nonostante anche questa volta siano comparsi articoli che rimproverano a cantanti e star del cinema di possedere dei selfie compromettenti sul proprio cellulare, in queste ore gran parte del rumore mediatico ha un’aria particolarmente annoiata. Forse, molto semplicemente, i voraci appetiti espressi e dibattuti su Reddit e 4chan hanno affaticato persino i media. Ma se l’ex hacker ed esperto di sicurezza online Nik Cubrilovic ha ragione, la cosa ancor meno rimarchevole degli scatti in sé è il fatto che ci si riferisce a questo processo con l’altisonante termine di “pirateria informatica.”

Ho parlato con Cubrilovic dei meccanismi alla base di questi furti. In principio pensavo avremmo discusso di chi è la colpa quando avvengono questi leak, ma durante la conversazione ho imparato molto sul cloud storage. Anche se potrebbe essersi trattato del vecchio hacking basato sulla forzatura del Firewall, è probabile che questi "ladri di foto" portino a termine i loro furti semplicemente facendo ore di ricerche online su determinate celebrità, per poi raccontare un sacco di palle per ottenere ciò che vogliono—più o meno ciò che fa Hannah Horvath di Girls.

Nik Cubrilovic, per gentile concessione di Nik Cubrilovic

VICE: Ciao Nik. Di chi è la colpa di tutti questi leak di foto di nudo?
Nic Cubrilovic: Quando tenti di diffondere una notizia al grande pubblico, viene spesso percepita come una questione binaria: c’è il buono e il cattivo. In questo caso, al di là degli hacker che hanno violato gli account, la colpa—e “colpa” è una parola abbastanza forte—o la responsabilità può essere ampiamente distribuita.

È giusto ritenere Apple responsabile?
Apple è responsabile della sicurezza dei dati? Sì, perché gli utenti si fidano della compagnia.

Cosa rende Apple meno sicura?
Il modo migliore di spiegare la loro colpevolezza (in assenza di una parola più adatta) è di pensare in questi termini: esistono tre grandi cloud provider per il pubblico mobile—e ogni utente fa parte di uno di questi tre ecosistemi: Apple, disponibile sugli iPhone, i servizi cloud di Google, disponibili per i dispositivi Android, e il servizio cloud di Microsoft, per Nokia e altri. Tra questi tre Apple è l’unico a utilizzare ancora le domande di sicurezza.

In sostanza Apple fa qualcosa di diverso dagli altri due provider, e questo qualcosa nel caso specifico è stato usato per forzare l’ingresso negli account.

Sei contro le domande di sicurezza?
Oh sì  […]. Le domande di sicurezza sono una grande pecca. Google se ne è liberato circa quattro anni fa, mentre Microsoft le ha abbandonate completamente da tre anni. Quindi il nocciolo della questione—per farla breve—è che è possibile resettare la password degli utenti fornendo la data di nascita e rispondendo ad alcune domande di sicurezza.

Quelle domande di sicurezza mi davano un'impressione di… sicurezza. Cos’hanno che non va?
Quando resetti la password devi rispondere a due delle tre domande di sicurezza che hai indicato quando ti sei iscritto, e se le indovini puoi accedere all’account. […] Il metodo delle domande di sicurezza veniva utilizzato fuori dalla rete da banche e simili negli anni Sessanta o Settanta. È entrato nella rete negli anni Novanta, ma le compagnie si sono presto accorte che era facile scavalcarlo, dato che quelle risposte sono tra le  cose che la gente oggi condivide di più online. È facile andare su Facebook e conoscere la data di nascita di qualcuno, il liceo che hanno frequentato, il nome del loro cane o la macchina che guidano. E tutto ciò è ancora più facile se si tratta di celebrità, perché buona parte di quelle informazioni si trovano su Wikipedia o su qualche sito di gossip.

Come sai che è bastato fare questo?
Non è confermato al 100 percento. [Tuttavia], sapevo che giri frequentavano queste persone. Conoscevo i forum che frequentavano, e sapevo che facevano tutti parte di questa specie di sottocultura che ruota intorno all'hackerare backup online e rubare immagini pornografiche, “revenge porn” o qualsiasi nome gli si voglia dare. Quindi [ho frequentato] questi forum e parlato con alcuni membri.

Sono forum per scambiarsi suggerimenti?
Ti faccio un esempio. Uno pubblica la foto di una mercedes bordeaux, modello metà anni Novanta, parcheggiata sulla spiaggia. Una macchina in mezzo al nulla, e la domanda a essa collegata sarà “Che macchina è?” Ne vedevo continuamente. C’era una foto che mostrava gli interni di un’auto, e alcuni chiedevano che tipo di macchina fosse. Non capivo perché. Solo in un secondo momento mi sono ricordato che una delle domande di sicurezza dell’iCloud era “Che macchina guidi?”

In pratica, questi potrebbero guardare le foto pubbliche delle persone di cui vogliono violare l’account in cerca di immagini della loro macchina. Se non riescono a capire di che modello si tratta, pubblicano l’immagine sul forum per ricevere i consigli di altri.

In un certo senso si potrebbe dire che fanno crowdsourcing per portare a termine le loro violazioni?
Sì. Io l’ho capito quando qualcuno ha risposto: “a volte le ragazze danno dei soprannomi alle auto.” L’intero forum—il 90 percento—mira prima di tutto a insegnare questo metodo, in secondo luogo ad aiutare—fornendo collettivamente le risposte alle domande di sicurezza.

E come si fa a trovare l’indirizzo e-mail principale di qualcuno, tanto per cominciare?
Questi hacker lo trovano pagando l’accesso ad alcuni database di dati personali. Con 2 o 60 dollari puoi ottenere l'accesso ai registri. In sostanza, se conosci il nome completo di qualcuno e il luogo di nascita puoi provare a fare richiesta per ottenere dati personali.

Se si tratta di persone famose cambia qualcosa nel metodo?
Il secondo stratagemma è ingegneria sociale: ti metti in contatto con un agente o qualcuno di simile fingendoti qualcun altro, e provi a estorcergli l’indirizzo e-mail. C’è una terza possibilità: una volta violato l’account di una celebrità, puoi estrarre la loro rubrica per ottenere i contatti di molte altre persone. È quello che è successo in questo caso.

Ci si dovrebbe sentire responsabili anche della sicurezza di terzi?
Noi lo definiamo “l’anello debole” della catena. Con i social network e le rubriche dei contatti adesso è facile individuarlo. Devi proteggere tutto quello che potrebbe rappresentare un indizio, e tutte le persone con cui sei entrato in contatto, perché i client e-mail odierni aggiungono automaticamente tutti i contatti a cui hai inviato una mail alle rubriche.

Dobbiamo davvero stare più attenti. Grazie, Nil.

L'intervista è stata editata per motivi di lunghezza. Segui Mike Pearl su Twitter