Dopo aver adottato un PIN lungo da 6 cifre, pensavate di aver messo al sicuro i vostri, dati sappiate che non è così. GrayKey, la scatoletta cracka-iPhone in uso presso le forze dell’ordine, può sbloccare qualunque dispositivo iOS in circa 11 ore. Ecco come irrobustire la sicurezza.

Le autorità del mondo si stanno attrezzando con un box che consente di sbloccare due iPhone per volta, a prescindere dalla versione di iOS installata, e di accedere così a tutti i dati contenuti sui dispositivi. Il gingillo in questione è portatile, si chiama GrayKey ed è prodotto da Grayshift.

Da principio, si pensava che impiegasse ore per individuare un PIN a 4 cifre, e giorni interi per quello da 6; ora, invece, apprendiamo che i tempi sono molto più stringati:

• 4 cifre: ~13 min nel peggiore dei casi (~6.5 min in media)
• 6 cifre: ~22.2 ore nel peggiore dei casi (~11.1 min in media)
• 8 cifre: ~92.5 giorni nel peggiore dei casi (~46 min in media)
• 10 cifre: ~9259 giorni nel peggiore dei casi (~4629 min in media)

E non pensiate di essere al sicuro perché avete abilitato il ripristino automatico dell’iPhone dopo 10 tentativi infruttuosi di immissione del PIN: GrayKey supera anche questa limitazione.

Se questa tecnologia restasse appannaggio delle forze dell’ordine, non ci porremmo neppure il problema; ma chi ci garantisce che non possa finire nelle mani sbagliate? O che un hacker sviluppi un’alternativa a GrayKey altrettanto efficace?

Ecco dunque le linee guida per creare PIN dell’iPhone di adeguata sicurezza:

• Il codice dovrebbe essere di almeno 7 caratteri, meglio 10
• Non ci dovrebbero essere parole presenti nel dizionario
• Dovreste includere sempre maiuscole, minuscole e numeri
• Dovreste sempre includere almeno un simbolo
• Più è complicata la password, meglio è

Potete modificare il PIN del vostro iPhone in Impostazioni > Touch ID e codice > Cambia codice > Opzione Codice > Codice alfanumerico personalizzato. Il problema poi è che una password complicata è anche più difficile da ricordare.

Una funzione nel terminale per Mac inviava dati in chiaro che avrebbero potuto essere intercettati. L’autore del programma: “non avevo considerato il problema”.

Chi ha utilizzato iTerm2 (un’applicazione che sostituisce il terminale predefinito del Mac – ndr) negli ultimi 12 mesi potrebbe aver sparso ai quattro venti informazioni personali, comprese eventualmente username e password di qualsiasi tipo di servizio.

A provocare il leak (involontario) di informazioni sensibili è una funzione introdotta nel luglio del 2016 che esegue una verifica automatica per capire se nel testo è presente un’URL. Il problema è che la verifica avviene attraverso una richiesta ai server DNS per ogni parola su cui viene posizionato il mouse.

Risultato: tutte le parole vengono inviate (in chiaro) via Internet per la verifica sui server DNS. Chiunque abbia la possibilità di intercettare il traffico, quindi, potrebbe ficcare il naso in quello che viene scritto sul terminale.

Il problema, in realtà, non emerge per la prima volta. Nella prima versione (3.0.0) di iTerm2 rilasciata nel 2016 la funzione era addirittura “bloccata” e il suo autore, George Nachman, aveva inserito la possibilità di disattivarla solo nella versione 3.0.13, dopo che un ricercatore di sicurezza aveva sollevato il problema.

In quel caso, però, l’attenzione era stata concentrata su un altro aspetto, cioè sul fatto che la funzione avrebbe potuto creare un problema nel momento in cui avesse fatto “partire” una richiesta DNS indesiderata. L’autore del programma, quindi, aveva semplicemente introdotto la possibilità di disattivarla ma l’aveva mantenuta attiva nelle impostazioni predefinite.

Sulla scorta di una recente segnalazione, però, Nachman si è reso conto del fatto che il rischio era molto più elevato e ha deciso quindi di eliminarla rilasciando la versione 3.1.1 del terminale “alternativo”.

Il leader del settore delle chiavette usb è Integral. Ha decine di modelli che differiscono per dimensioni e velocità di trasferimento. La sicurezza è impostata in modo che se uno sbaglia la password un certo numero di volte il sistema cancella i dati e li resetta. I dati vengono criptati in automatico ogni qual volta la chiavetta viene rimossa dal computer.

Funzionano per Mac e Windows (non surface).

La versione Dual è studiata per le realtà aziendali. Vi è una password amministratore e una password utente, l’amministratore può accedere ai dati utente.

Un dispositivo di memorizzazione tascabile sicuro, protetto con cifratura hardware e con integrato anche un sistema operativo completo utilizzabile per avviare Mac e PC.

Secure-K è una chiavetta USB creata da Mon-K data protection, realtà italo-inglese (sedi a Londra e Milano) nata nel 2013 e che ha come mission la sicurezza e la privacy. La pennetta USB in questione integra funzionalità di cifratura hardware e software. Il dispositivo è un po’ più lungo rispetto alle chiavette che ormai siamo abituati a vedere in giro ma è leggero, tascabile e arriva all’interno di una curiosa confezione cilindrica. All’interno di questa troviamo un foglietto con le istruzioni base e la chiavetta vera e propria con un connettore USB 3 all’estremità e sull’involucro una mini tastiera per la digitazione del codice di accesso.

Procedura di sblocco
La prima operazione da effettuare è l’inserimento del PIN di 8 cifre (si può impostare un codice fino a massimo di 15 cifre) che permette lo sblocco della Secure-K e il riconoscimento sul computer ospite. Inserendo il dispositivo in una porta USB non succedere nulla; affinché venga riconosciuto è necessario sbloccarlo: bisogna premere (sulla pennetta) una volta il tasto con il simbolo di una chiave.

I tre LED lampeggiano assieme e il LED di sinistra (rosso) inizia a lampeggiare; entro dieci secondi bisogna inserire il codice PIN di sblocco (di default 11223344); premendo nuovamente il simbolo della chiave, si illumina il LED verde a indicare che Secure-k è pronta per essere attivata sul computer ospite. La chiavetta a questo punto è utilizzabile alla stregua di una qualsiasi altra chiave o disco USB.

Cifratura
Il dispositivo integra varie tecnologie ed è sbagliato considerarlo solo una chiavetta: è basato su Linux e a detta del produttore è nato per offrire funzionalità di che tengono conto di sicurezza, privacy e affidabilità. Le peculiarità del prodotto lo rendono adatto all’uso in ambienti enterprise complessi e strutturati; l’utente può sfruttare il sistema per portare con sé il lavoro: in caso di problemi è possibile rimanere relativamente tranquilli grazie alla protezione del codice.

La sicurezza è garantita dallo standard militare FIPS 140-2 (doppia cifratura con sistema di sblocco e anti-manomissione). Il produttore garantisce che il dispositivo è protetto dagli attacchi esterni grazie alla cifratura AES a 256 bit e da quelli interni grazie alla cifratura software AES a 512 bit. Sono previste funzionalità di segregazione dell’host (protezione a 2 vie), di backup e di restore (per il recupero e l’impostazione dei dati). Il meccanismo di sicurezza prevede la cancellazione dei dati dopo 10 tentativi di accesso falliti.

Secure-K, in quanto sistema “chiuso”, dispone di una partizione di scambio dati cifrata, leggibile solo dai sistema operativo che ha letto come “sbloccata” la chiavetta. La versione Enterprise è ottimizzata per funzionare in un ambito aziendale strutturato e complesso, tenendo conto di varie tecnologie Microsoft, il tutto nel rispetto delle politiche aziendali di sicurezza e conformità.

Il prodotto è pensato per il settore Enterprise e arriva sul mercato con un solo modello disponibile a livello hardware con la possibilità di personalizzare la parte software ad hoc in base alle esigenze dell’azienda. Le varianti disponibili sono: 8 GB, 16 GB, 32 GB e 64GB. In Italia il prodotto è distribuito da CREAplus ma il produttore ha altri partner in Italia uno anche in Arabia Saudita. I prezzi di listino partono da 199,00 euro per la versione da 8GB (prezzo comprensivo di abbonamento per le funzionalità di Sync & share).

Altri dettagli e offerte specifiche per le aziende sul sul sito del produttore.