Analisi critica sulla nuova funzione ‘Lockdown’ annunciata da Apple con cui promette più cybersicurezza sugli iPhone di chi attiverà la nuova modalità quando disponibile.
Partiamo dal comunicato stampa:
Apple presenta in anteprima un’innovativa funzionalità di sicurezza che offre una protezione aggiuntiva specializzata agli utenti che possono essere a rischio di attacchi informatici altamente mirati da parte di aziende private che sviluppano spyware mercenari sponsorizzati dallo Stato. Apple ha inoltre fornito i dettagli della sua sovvenzione di 10 milioni di dollari per sostenere la ricerca che mette a nudo tali minacce.
Apple ha presentato oggi due iniziative per aiutare a proteggere gli utenti che possono essere personalmente presi di mira da alcune delle minacce digitali più sofisticate, come quelle provenienti da aziende private che sviluppano spyware mercenari sponsorizzati dallo Stato. La modalità Lockdown – la prima funzionalità importante di questo tipo, in arrivo in autunno con iOS 16, iPadOS 16 e macOS Ventura – è una protezione estrema e opzionale per un numero molto ristretto di utenti che si trovano ad affrontare gravi minacce mirate alla loro sicurezza digitale. Apple ha anche condiviso i dettagli della sovvenzione di 10 milioni di dollari per la cybersicurezza annunciata lo scorso novembre per sostenere le organizzazioni della società civile che conducono ricerche sulle minacce di spyware mercenario e che si impegnano a sostenerle.
“Apple produce i dispositivi mobili più sicuri del mercato. La modalità Lockdown è una funzionalità innovativa che riflette il nostro costante impegno a proteggere gli utenti anche dagli attacchi più rari e sofisticati”, ha dichiarato Ivan Krstić, responsabile della divisione Security Engineering and Architecture di Apple. “Anche se la stragrande maggioranza degli utenti non sarà mai vittima di attacchi informatici altamente mirati, lavoreremo instancabilmente per proteggere il piccolo numero di utenti che lo saranno. Ciò significa continuare a progettare difese specifiche per questi utenti e sostenere i ricercatori e le organizzazioni di tutto il mondo che svolgono un lavoro di fondamentale importanza per smascherare le aziende mercenarie che creano questi attacchi digitali”.
La modalità Lockdown offre un livello di sicurezza estremo e opzionale per i pochissimi utenti che, per la loro identità o per le loro attività, possono essere personalmente presi di mira da alcune delle minacce digitali più sofisticate, come quelle di NSO Group e di altre aziende private che sviluppano spyware mercenari sponsorizzati dallo Stato. L’attivazione della Modalità Lockdown in iOS 16, iPadOS 16 e macOS Ventura rafforza ulteriormente le difese dei dispositivi e limita rigorosamente alcune funzionalità, riducendo drasticamente la superficie di attacco che potrebbe essere sfruttata da spyware mercenari altamente mirati.
Al lancio, la Modalità Lockdown include le seguenti protezioni:
- Messaggi: La maggior parte dei tipi di allegati ai messaggi diversi dalle immagini sono bloccati. Alcune funzioni, come le anteprime dei link, sono disabilitate.
- Navigazione web: Alcune tecnologie web complesse, come la compilazione just-in-time (JIT) di JavaScript, sono disabilitate a meno che l’utente non escluda un sito affidabile dalla modalità Lockdown.
- Servizi Apple: Gli inviti e le richieste di servizio in arrivo, comprese le chiamate FaceTime, sono bloccati se l’utente non ha precedentemente inviato una chiamata o una richiesta all’iniziatore.
- Le connessioni via cavo con un computer o un accessorio sono bloccate quando l’iPhone è bloccato.
- Non è possibile installare profili di configurazione e non è possibile iscrivere il dispositivo alla gestione dei dispositivi mobili (MDM) quando la Modalità di blocco è attiva.
Apple continuerà a rafforzare la Modalità di blocco e ad aggiungere nuove protezioni nel tempo. Per sollecitare il feedback e la collaborazione della comunità di ricercatori sulla sicurezza, Apple ha anche istituito una nuova categoria all’interno del programma Apple Security Bounty per premiare i ricercatori che individuano i bypass della Modalità Lockdown e contribuiscono a migliorarne le protezioni. Le taglie vengono raddoppiate per le scoperte qualificate in modalità Lockdown, fino a un massimo di 2.000.000 di dollari – il più alto pagamento massimo di taglie nel settore.
Apple ha inoltre stanziato una sovvenzione di 10 milioni di dollari, oltre agli eventuali risarcimenti ottenuti dalla causa intentata contro NSO Group, per sostenere le organizzazioni che indagano, smascherano e prevengono i cyberattacchi altamente mirati, compresi quelli creati da aziende private che sviluppano spyware mercenari sponsorizzati dallo Stato. La sovvenzione sarà erogata al Dignity and Justice Fund, istituito e consigliato dalla Ford Foundation, una fondazione privata dedicata alla promozione dell’equità in tutto il mondo e progettata per mettere in comune le risorse filantropiche al fine di promuovere la giustizia sociale a livello globale. Il Dignity and Justice Fund è un progetto finanziariamente sponsorizzato dal New Venture Fund, un ente di beneficenza pubblico 501(c)(3).
Il commercio globale di spyware prende di mira i difensori dei diritti umani, i giornalisti e i dissidenti; facilita la violenza, rafforza l’autoritarismo e sostiene la repressione politica”, ha dichiarato Lori McGlinchey, direttore del programma Tecnologia e Società della Fondazione Ford. “La Fondazione Ford è orgogliosa di sostenere questa straordinaria iniziativa volta a sostenere la ricerca e la difesa della società civile contro lo spyware mercenario. Dobbiamo fare tesoro dell’impegno di Apple e invitiamo le aziende e i donatori a unirsi al Dignity and Justice Fund e ad apportare ulteriori risorse a questa lotta collettiva”.
Il Dignity and Justice Fund prevede di erogare le prime sovvenzioni alla fine del 2022 o all’inizio del 2023, finanziando inizialmente approcci per aiutare a smascherare lo spyware mercenario e a proteggere i potenziali bersagli, tra cui:
- costruire la capacità organizzativa e aumentare il coordinamento sul campo dei gruppi di ricerca e di difesa della cybersicurezza della società civile, nuovi ed esistenti.
- Sostenere lo sviluppo di metodi forensi standardizzati per rilevare e confermare l’infiltrazione di spyware che soddisfino gli standard probatori.
- Consentire alla società civile di collaborare in modo più efficace con i produttori di dispositivi, gli sviluppatori di software, le società di sicurezza commerciali e altre aziende rilevanti per identificare e risolvere le vulnerabilità.
- Aumentare la consapevolezza di investitori, giornalisti e politici riguardo all’industria globale dello spyware mercenario.La strategia di sovvenzionamento del Dignity and Justice Fund per la ricerca, il monitoraggio e la responsabilizzazione del commercio di armi informatiche sarà consigliata da un Comitato tecnico consultivo globale e indipendente. I membri iniziali sono:
- Daniel Bedoya Arroyo, analista della piattaforma di servizi di sicurezza digitale presso Access Now.
- Ron Deibert, professore di scienze politiche e direttore del Citizen Lab presso la Munk School of Global Affairs & Public Policy dell’Università di Toronto.
- Paola Mosso, co-direttrice di The Engine Room
- Rasha Abdul Rahim, direttore di Amnesty Tech presso Amnesty InternationalIvan Krstić, responsabile di Apple Security Engineering and Architecture “Le ricerche del Citizen Lab e di altre organizzazioni dimostrano che l’industria della sorveglianza mercenaria facilita la diffusione di pratiche autoritarie e di massicce violazioni dei diritti umani in tutto il mondo”, ha dichiarato Ron Deibert, direttore del Citizen Lab, un gruppo di ricerca dell’Università di Toronto. “Mi congratulo con Apple per aver istituito questa importante sovvenzione, che invierà un messaggio forte e contribuirà ad alimentare ricercatori indipendenti e organizzazioni di difesa che ritengono i venditori di spyware mercenari responsabili dei danni che stanno infliggendo a persone innocenti”.
Da quanto ci è dato di capire la modalità Lockdown è destinata a proteggere un piccolo gruppo di utenti di alto profilo da attacchi informatici altamente mirati. Pur potendo essere utilizzata da chiunque, la funzione è orientata a persone come dipendenti pubblici e attivisti che hanno maggiori probabilità di essere presi di mira dal malware di NSO Group e di altre aziende che sviluppano spyware sostenuti dallo Stato.
In sintesi, da questo primo annuncio emerge che:
- L’attivazione della modalità Lockdown limiterà o disabiliterà le funzioni di un iPhone, iPad o Mac per fornire un livello di sicurezza “estremo” e limitare i punti di ingresso per lo spyware, ha dichiarato Apple.
- Le chiamate FaceTime in arrivo da nuovi contatti saranno bloccate e gli album condivisi saranno rimossi da Foto.
- La modalità Lockdown è ora disponibile nella terza versione beta di iOS 16, iPadOS 16 e macOS Ventura per gli sviluppatori.
- Inoltre, Apple ha annunciato ricompense fino a 2 milioni di dollari per i ricercatori di sicurezza che scoprono punti deboli o falle nella modalità Lockdown, un’espansione del suo programma Security Bounty. L’azienda metterà anche a disposizione una sovvenzione di 10 milioni di dollari e tutti i proventi della sua causa NSO Group per i gruppi che denunciano e combattono i cyberattacchi.
Ho commentato la cosa con uno specialista di cybersec. Lo specialista in questione, essendo uno profilo di punta e operativo, mi ha autorizzato solo a riportare una sintesi del contenuto ma di non indicare il suo nome.
Ecco una sintesi, per punti, del nostro confronto.
- La prima cosa che attira l’attenzione è l’ordine con cui vengono presentati gli attacchi: “è buffo, e non sono stati indicati in un ordine casuale. Tipico di Apple, molto subliminale. Ma chi deve capire, leggendo la lista, capisce”. Insomma, un ordine che colpisce e che è … decisamente “very Apple”.
- Le 5 modalità inoltre corrispondono anche all’ordine di sofisticazione degli spyware/malware che attualmente li utilizzano. I più semplici e più diffusi negli attacchi low-level utilizzano profili di configurazione e/o iscrivono il dispositivo alla gestione dei dispositivi mobili (MDM), mentre le cose estremamente sofisticate sono passate da iMessage e da altri servizi surrettizi Apple: “Ci sono stati vari problem in passato su iMessage. Metteva in “esecuzione” porzioni di messaggi, cose da matti … roba che non avrebbe proprio dovuto nemmeno esistere”. Su questo tema ci sono numerose teorie cospirative in rete che attribuiscono parti di questi “buchi” a poteri forti, considerando che ce ne sono stati più di una decina di problemi su iMessage e che sono tutti 0-day 0-click. Insomma, possono essere considerate a livello di produzione delle … armi.
- Altra cosa interessante è l’implicita “ammissione di colpa”: “Se come azienda elaboro e offro un Lockdown mode, in un certo senso, sto anche riconoscendo che ciò che fornisco solitamente ha problemi e questa strategia è tipica di “Tim Cook””. Forse Apple teme o ha voci che possa emergere qualche grosso scheletro dall’armadio o qualche scandalo, altrimenti questa nuova feature, che costa grandi risorse per lo sviluppo ed è destinata a una piccolissima porzione di utenti, non sembra spiegabile.
- Sembra poi una vera genialità di marketing, vendere come “nuova feature” quella che di fatto è una messa in sicurezza di un dispositivo bucabile. In fondo il prezzo da pagare per un telefono che fa tante cose è quella di avere un dispositivo molto poco sicuro e molto meno redditizio.
- Ancora leggendo con attenzione emerge che: “Tra le righe c’è scritto che i problemi li hanno sulle “librerie di sistema”, altrimenti non sarebbe necessario un Restart per abilitare la nuova modalità. O quantomeno Apple pensa o sa che i problemi sono su quelle”.
- Suscita curiosità anche la limitazione su FaceTime: “… quella sarà da indagare bene. Se chiamo io funziona, ma le incoming calls no. Da un punto di vista di Sicurezza non ha nessun senso, ci deve essere qualche magagna strana sotto”.
Insomma, come ci ha insegnato il COVID, dietro a ogni lockdown (fisico o digitale) ci sono paure, pericoli e sospetti. Il lockdown di Apple non è da meno….
