Apple gave the FBI access to the iCloud account of a protester accused of setting police cars on fire
- Apple granted the FBI access to the iCloud account of a protester accused of setting police cars on fire in Seattle this summer, according to court documents. - Once it had access to the protester's account, the FBI found screenshots of an Instagram post promoting the protest, a screenshot of a recipe for a Molotov cocktail, and videos of "a green glass bottle" in an unzipped backpack. - It's routine for Apple to comply with court-issued search warrants, but the cooperation contrasts with Attorney General William Barr's previous complaints that Apple has hindered investigations by refusing to help unlock suspects' iPhones. [...] Apple disclosed the name, email, phone number, and residential address associated with Jackson's account, then subsequently granted the FBI access to the contents of Jackson's account in response to a court-ordered search warrant. Continua su https://www.businessinsider.com/apple-fbi-icloud-investigation-seattle-prote... Notate come non si tratti esclusivamente di "meta-dati": anche i contenuti archiviati su iCloud sono disponibili a Apple (ed al law enforcement statunitense). NON sono dunque cifrati con una chiave ad esclusiva disposizione dell'utente (end-to-end) con buona pace dei creduloni che si lasciano abbindolare dal marketing di Apple sulla privacy. Giacomo
Buongiorno Giacomo, è uno spunto di riflessione interessante, ma non mi risulta che Apple abbia mai dichiarato di cifrare i contenuti presenti su iCloud e specificatamente i backup dei dispositivi o di fornire solo i metadati: sul sito Apple è possibile trovare varie informazioni in proposito oltre a un c.d. Report sulla trasparenza. Il sito dice chiaramente, tra le altre cose: “Account requests may also seek customers’ content data, such as photos, email, iOS device backups, contacts or calendars”. Risulta che siano state fatte quasi 14.000 richieste nel mondo nel 2019 e 714 dispositivi richiesti in Italia, con effettiva consegna dei dati per 365 di essi. È ad esempio relativamente noto che un’app come whatsapp, che offre la cifratura end to end per la sua messaggistica, salvi poi nel backup su iCloud i dati in chiaro, purtroppo (lato privacy) questa non è una informazione compresa dai più, dato che normalmente si pubblicizza la cifratura e non i suoi limiti. La stessa cosa è chiaramente emersa anche per i grandi casi di rilevanza pubblica in cui Apple ha rifiutato di sbloccare i dispositivi: in particolare per il famoso e triste caso della strage di San Bernardino Apple contestò all’FBI di aver impropriamente trattato l’iPhone 5C coinvolto (pare che l’FBI avesse ripristinato la password dell’account iCloud, rendendo quindi obsoleta la password presente sul dispositivo), anziché semplicemente riportare l’iPhone in una rete wifi nota al device consentendogli così di effettuare il backup automatico dei dati e il conseguente accesso alle informazioni da parte degli inquirenti tramite iCloud. Per concludere, è notizia di pochi mesi fa il mancato passaggio di Apple alla cifratura dei backup, pare (ma sono chiaramente solo voci) per pressioni esterne da parte della politica e delle forze di polizia e intelligence statunitensi. Si conferma ancora una volta che se si vogliono mantenere i propri dati riservati è assolutamente preferibile conservarli in locale e non caricarli su server di proprietà di terzi. Gianni
Il giorno 23 ott 2020, alle ore 10:29, Giacomo Tesio <giacomo@tesio.it> ha scritto:
- Apple granted the FBI access to the iCloud account of a protester accused of setting police cars on fire in Seattle this summer, according to court documents. - Once it had access to the protester's account, the FBI found screenshots of an Instagram post promoting the protest, a screenshot of a recipe for a Molotov cocktail, and videos of "a green glass bottle" in an unzipped backpack. - It's routine for Apple to comply with court-issued search warrants, but the cooperation contrasts with Attorney General William Barr's previous complaints that Apple has hindered investigations by refusing to help unlock suspects' iPhones.
[...]
Apple disclosed the name, email, phone number, and residential address associated with Jackson's account, then subsequently granted the FBI access to the contents of Jackson's account in response to a court-ordered search warrant.
Continua su https://www.businessinsider.com/apple-fbi-icloud-investigation-seattle-prote...
Notate come non si tratti esclusivamente di "meta-dati": anche i contenuti archiviati su iCloud sono disponibili a Apple (ed al law enforcement statunitense).
NON sono dunque cifrati con una chiave ad esclusiva disposizione dell'utente (end-to-end) con buona pace dei creduloni che si lasciano abbindolare dal marketing di Apple sulla privacy.
Giacomo _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Buongiorno a tutti, Provo a dare il mio piccolo contributo: leggendo quanto indicato da Apple in merito alla sua cifratura, mi viene in mente l’ipotesi che il soggetto in questione non avesse abilitato l’autenticazione a due fattori. https://support.apple.com/it-it/HT202303 Silvio
Il giorno 23 ott 2020, alle ore 11:41, Gianni <ceramicola@gmail.com> ha scritto:
Buongiorno Giacomo,
è uno spunto di riflessione interessante, ma non mi risulta che Apple abbia mai dichiarato di cifrare i contenuti presenti su iCloud e specificatamente i backup dei dispositivi o di fornire solo i metadati: sul sito Apple è possibile trovare varie informazioni in proposito oltre a un c.d. Report sulla trasparenza. Il sito dice chiaramente, tra le altre cose: “Account requests may also seek customers’ content data, such as photos, email, iOS device backups, contacts or calendars”. Risulta che siano state fatte quasi 14.000 richieste nel mondo nel 2019 e 714 dispositivi richiesti in Italia, con effettiva consegna dei dati per 365 di essi. È ad esempio relativamente noto che un’app come whatsapp, che offre la cifratura end to end per la sua messaggistica, salvi poi nel backup su iCloud i dati in chiaro, purtroppo (lato privacy) questa non è una informazione compresa dai più, dato che normalmente si pubblicizza la cifratura e non i suoi limiti.
La stessa cosa è chiaramente emersa anche per i grandi casi di rilevanza pubblica in cui Apple ha rifiutato di sbloccare i dispositivi: in particolare per il famoso e triste caso della strage di San Bernardino Apple contestò all’FBI di aver impropriamente trattato l’iPhone 5C coinvolto (pare che l’FBI avesse ripristinato la password dell’account iCloud, rendendo quindi obsoleta la password presente sul dispositivo), anziché semplicemente riportare l’iPhone in una rete wifi nota al device consentendogli così di effettuare il backup automatico dei dati e il conseguente accesso alle informazioni da parte degli inquirenti tramite iCloud.
Per concludere, è notizia di pochi mesi fa il mancato passaggio di Apple alla cifratura dei backup, pare (ma sono chiaramente solo voci) per pressioni esterne da parte della politica e delle forze di polizia e intelligence statunitensi.
Si conferma ancora una volta che se si vogliono mantenere i propri dati riservati è assolutamente preferibile conservarli in locale e non caricarli su server di proprietà di terzi.
Gianni
Il giorno 23 ott 2020, alle ore 10:29, Giacomo Tesio <giacomo@tesio.it> ha scritto:
- Apple granted the FBI access to the iCloud account of a protester accused of setting police cars on fire in Seattle this summer, according to court documents. - Once it had access to the protester's account, the FBI found screenshots of an Instagram post promoting the protest, a screenshot of a recipe for a Molotov cocktail, and videos of "a green glass bottle" in an unzipped backpack. - It's routine for Apple to comply with court-issued search warrants, but the cooperation contrasts with Attorney General William Barr's previous complaints that Apple has hindered investigations by refusing to help unlock suspects' iPhones.
[...]
Apple disclosed the name, email, phone number, and residential address associated with Jackson's account, then subsequently granted the FBI access to the contents of Jackson's account in response to a court-ordered search warrant.
Continua su https://www.businessinsider.com/apple-fbi-icloud-investigation-seattle-prote...
Notate come non si tratti esclusivamente di "meta-dati": anche i contenuti archiviati su iCloud sono disponibili a Apple (ed al law enforcement statunitense).
NON sono dunque cifrati con una chiave ad esclusiva disposizione dell'utente (end-to-end) con buona pace dei creduloni che si lasciano abbindolare dal marketing di Apple sulla privacy.
Giacomo _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Buongiorno nexiane, non so assolutamente nulla di iCloud ma... Executive summary: per ottenere la cifratura end-to-end vera, soprattutto quando uno degli "end" è il server di qualcun altro, non basta fare tre swipe e quattro click e *tantomeno* fidarsi delle "brochures" dei fornitori. Silvio Colloca <colloca@gmail.com> writes:
Provo a dare il mio piccolo contributo: leggendo quanto indicato da Apple in merito alla sua cifratura, mi viene in mente l’ipotesi che il soggetto in questione non avesse abilitato l’autenticazione a due fattori.
Grazie mille, mi stavo giusto chiedendo dove Apple dichiara come viene effettuata la cifratura e il documento che indichi lo riassume benissimo, mi permetto di riportare le informazioni salienti a favore di discussione:
--8<---------------cut here---------------start------------->8--- iCloud protegge le tue informazioni codificandole quando sono in transito, archiviandole in formato codificato e usando token sicuri per l'autenticazione. Per alcune informazioni sensibili, Apple usa la codifica end-to-end [...] Per la codifica end-to-end è necessario che l'autenticazione a due fattori sia attivata per l'ID Apple. --8<---------------cut here---------------end--------------->8--- Se non interpreto male la tabella riportata in quella pagina (che qui ometto) *pare* che molti dati - foto, note, messaggi, ecc) siano crittografati anche sul server ovvero "on rest", tranne l'email (occorrerebbe un server IMAP "speciale"). Una menzione a parte la merita la voce "backup": mi pare di capire si riferisca ai dati delle funzioni elencate in "Codifica end-to-end" (transazioni Apple Card, dati app Casa, dati sanitari, ecc.). Attenzione che la codifica "on rest" implica (non sempre, ma qui sì) che la chiave di crittazione deve essere memorizzata da qualche parte e di solito quella chiave è pure protetta da password; nel caso iCloud la pagina dice questo: --8<---------------cut here---------------start------------->8--- Usare token sicuri per l'autenticazione Quando accedi ai servizi di iCloud con le app integrate di Apple (ad esempio, Mail, Contatti e Calendario su iOS o macOS), l'autenticazione viene gestita tramite un token sicuro. I token sicuri eliminano la necessità di archiviare la password di iCloud sui dispositivi e i computer. --8<---------------cut here---------------end--------------->8--- Non ho capito nulla: qualche utente iCloud che usa questa funzione saprebbe rispiegarmi come funziona lo "sblocco" del backup cifrato? Mi sarei anche documentato meglio ma la "Guida sicurezza in iOS" citata nella pagina https://www.apple.com/it/business/docs/iOS_Security_Guide.pdf mi da un bel "documento non trovato" :-O
Silvio
Il giorno 23 ott 2020, alle ore 11:41, Gianni <ceramicola@gmail.com> ha scritto:
Buongiorno Giacomo,
è uno spunto di riflessione interessante, ma non mi risulta che Apple abbia mai dichiarato di cifrare i contenuti presenti su iCloud e specificatamente i backup dei dispositivi
La pagina segnalata da Silvio parla chiaro: molti dati su iCloud sono cifrati end-to-end *e* dalla tabella fornita io _mi_aspetto_ che lo siano foto, contatti, calendari, note, promemoria, messaggi, Drive... A meno che Apple stia giocando con la frase "Per alcune informazioni sensibili, Apple usa la codifica end-to-end". Mi sfugge qualcosa?
o di fornire solo i metadati: sul sito Apple è possibile trovare varie informazioni in proposito oltre a un c.d. Report sulla trasparenza.
Questo: https://www.apple.com/legal/transparency/
Il sito dice chiaramente, tra le altre cose: “Account requests may also seek customers’ content data, such as photos, email, iOS device backups, contacts or calendars”.
Sì ma mica dice che c'è qualcuno che è in grado di accedervi se sono cifrate. Certo resta un certo livello di ambiguità.
È ad esempio relativamente noto che un’app come whatsapp, che offre la cifratura end to end per la sua messaggistica, salvi poi nel backup su iCloud i dati in chiaro, purtroppo (lato privacy) questa non è una informazione compresa dai più, dato che normalmente si pubblicizza la cifratura e non i suoi limiti.
Già, questo un articolo del 2016 che *pare* essere ancora attuale: https://www.eff.org/deeplinks/2016/10/where-whatsapp-went-wrong-effs-four-bi... wazzupp in che categoria rientrerebbe quindi, nei "Messaggi in Cloud" o in altro? [...]
Per concludere, è notizia di pochi mesi fa il mancato passaggio di Apple alla cifratura dei backup, pare (ma sono chiaramente solo voci) per pressioni esterne da parte della politica e delle forze di polizia e intelligence statunitensi.
Sono voci abbastanza informate: https://www.reuters.com/article/us-apple-fbi-icloud-exclusive/exclusive-appl... --8<---------------cut here---------------start------------->8--- Apple Inc AAPL.O dropped plans to let iPhone users fully encrypt backups of their devices in the company's iCloud service after the FBI complained that the move would harm investigations, six sources familiar with the matter told Reuters. --8<---------------cut here---------------end--------------->8--- Non è più un mistero (è documentato dai leaks di Snowden) che NSA e Five-Eyes da anni fanno di tutto per sabotare i sistemi - compresi gli algoritmi - di crittpografia: https://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-interne...
Si conferma ancora una volta che se si vogliono mantenere i propri dati riservati è assolutamente preferibile conservarli in locale e non caricarli su server di proprietà di terzi.
Io sono un assoluto sostenitore del "local first", ma se usati cum granu salis molti servizi che funzionano su server di altri possono essere sufficientemente sicuri [1]. Esistono servizi e sistemi di backup in grado di crittografare i dati "on rest" anche su spazio disco remoto, in modo assolutamente sicuro. Faccio tre esempi tra quelli che conosco: 1. Backup: Borgbackup https://www.borgbackup.org/ 2. Cloud: Nextcloud (c'è la possibilità di attivare la e2e encryption) 3. IMAP: Dovecot con mail_crypt_plugin (https://doc.dovecot.org/configuration_manual/mail_crypt_plugin/) Venendo a bomba al backup degli smartphone, purtroppo la cosa è assai (artatamente) complicata e la maggior parte degli utenti sono costretti ad affidarsi ai tool forniti dal produttori, che in genere rendono la vita facile ma la sicurezza compromessa gravemente. Non no nulla di backup con iOS (per parlare di sicurezza dovremmo parlare anche di sicurezza - e fiducia - di un sistema operativo, ma non qui) ma su Android con un pochino di sforzo si può ottenere il backup (e il sync di un po' di dati, tipo calendari e contatti) con un discreto livello di sicurezza, anche remoto. Saluti, Giovanni. [...] [1] la sicurezza dei sistemi è una cosa molto complessa, gli addetti ai lavori sanno quanto possa essere compromettente avere accesso fisico alla macchina, per non parlare avere accesso a un server virtualizzato (VPS). -- Giovanni Biscuolo
participants (4)
-
Giacomo Tesio -
Gianni -
Giovanni Biscuolo -
Silvio Colloca