Giudice ad Apple: «Vogliamo i dati dell’iPhone dell’attentatore di San Bernardino»

di |
Sblocco

Un giudice obbliga Apple ad aiutare l’FBI a sbloccare l’accesso ad un iPhone di una delle persone coinvolte nell’attentato a San Bernardino. Ma l’impresa sarà difficilissima.

Un magistrato USA ha ordinato ad Apple di ottemperare la richiesta dell’FBI che vuole estrarre i dati da un iPhone che era in possesso di uno degli attentatori coinvolti negli attacchi terroristici di San Bernardino (California).

L’agenzia Associated Press spiega che il magistrate judge Sheri Pym ha informato Apple che deve fornire un software specializzato che consenta alle forze dell’ordine di superare le misure di sicurezza integrate nell’iPhone impedendo la cancellazione automatica del contenuto dopo un determinato numero di tentativi infruttuosi di sblocco.

Come noto, se s’immette un codice errato in un dispositivo iOS sei volte di seguito, il dispositivo viene bloccato e appare un messaggio indicando che il dispositivo è disabilitato. Salvo che l’utente non abbia creato un backup prima di aver dimenticato il codice, non esiste un modo per salvare i dati presenti sul dispositivo (bisogna inizializzarlo eliminando così tutti i dati e tutte le impostazioni).

Stando a quanto riferisce il Washington Post sull’iPhone in questione c’è una versione aggiornata di iOS (iOS 9) e questo rende ancora più complicati i tentativi di intervento da parte delle forze dell’ordine, essendo attiva la funzione che inizializza il dispositivo automaticamente dopo dieci tentativi di inserimento del codice non riusciti.

Non è chiaro se Apple possa farlo, ma se la funzione “inizializza dati” fosse in qualche modo disattivabile, i tecnici potrebbero tentare attacchi di forza bruta per sbloccare il telefono. In altri casi simili Apple ha sempre spiegato che il processo di autorizzazione al sistema è gestito dal coprocessore “secure enclave” integrato nel dispositivo e di non essere in alcun modo in grado di disabilitare le funzionalità intrinseche del sistema. Il codice di blocco attivo sul dispositivo fornisce entropia rendendo in pratica impossibile eseguire anche attacchi di forza bruta giacché il processore comanda dei ritardi rendendo ogni tentativo successivo di iterazone e sblocco sempre più lento. In realtà, anche se fosse possibile farlo e non ci fossero i ritardi attivati automaticamente dal processore, ci potrebbero volere anche più di 5 anni e mezzo per provare tutte le combinazioni di un codice alfanumerico a sei caratteri con lettere minuscole e numeri.

Come riportiamo ormai da mesi, negli USA si discute molto delle funzioni che cifrano in automatico i dati sui dispositivi degli utenti, con forze dell’ordine da una parte che vorrebbero una backdoor (“porta di servizio”) per accedere sempre e comunque ai dati, ed esperti di sicurezza che avvisano della pericolosità di simili possibilità.

James Comey, direttore dell’FBI, ha più volte evidenziato i problemi creati in alcuni casi dalla cifratura automatica dei dispositivi. Da settimane non è ad esempio ancora possibile accedere ai dati dello smartphone di una delle persone coinvolte nell’attentato a San Bernardino.

Apple è fortemente schierata dalla parte di chi si preoccupa della sicurezza, spiegando che la “chiave di servizio” che vorrebbero le forze dell’ordine, prima o poi andrebbe a finire nelle mani sbagliate. Esperti di sicurezza concordano che le richieste di polizia e servizi d’intelligence di aprire una backdoor nei sistemi di comunicazione cifrati avrebbero un effetto disastroso.

giudice ad apple

  • antonio

    mmm la vedo dura per apple…. sarebbe difficile l’uso di un token cioè un generatore di codici casuali legati tra dispositivo(seriale) e account? come fanno le banche per le connessioni? (almeno qui in Lussemburgo…)

    capisco il problema backdoor … ma é impossibile che non ci sono metodi alternativi..

    • GM_Phobos

      sarà dura nel caso apple possa effettivamente in qualche modo fornire i dati, nel caso in cui invece la stessa azienda non possa fisicamente ottemperare alla richiesta dubito fortemente che il fatto di aver ricevuto un ordine da un giudice cambi qualcosa… nel senso che sarebbe come chiedere a qualcuno che non può recuperare un dato cancellato in modo sicuro di riuscire a recuperarlo… solo perchè ha costruito il supporto e sa come i dati vengono memorizzati:follia.

      • antonio

        ma ho il presentimento che se continuano veramente in questo senso ( anche se ho qualche dubbio ) rischiano che Federali insieme al governo creeranno qualche legge per far diventare questi sistemi anti-costituzionali (negli USA é possibile ) e poi addio vendite… stanno su un filo di rasoio.. o segue il pelo o si taglieranno di brutto… Voglio tutelare noi ? SONO D’ACCORDO!!! Vogliono tutelare i criminali ? Si macchieranno del loro sangue!!! Parliamo di una strage!!! non di batteria che non arrivano a fine giornata!!! quelle vittime non rientreranno a casa a caricare l’iphone…. i familiari come le persone normali assoceranno ” iPhone = Criminali ” da proteggere…

        • GM_Phobos

          Attenzione, io non sono entrato nel merito della richiesta.
          La richiesta in se può anche avere una certa logica (sebbene io mi trovi d’accordo con apple quando dice che “se esiste una chiave, i criminali faranno di tutto per ottenerla”)
          Io sto dicendo che se apple può recuperare i dati, che lo faccia.
          Ma che se non può recuperarli, il giudice può sbraitare quanto gli pare… ma se una cosa “non è fattibile” non ci fai nulla…
          Tutto resta da capire se la cosa è attualmente fattibile o no, sarà interessante vedere come apple affronterà la cosa.
          Perché se non potesse in effetti estrarre i dati dal dispositivo la questione si farebbe davvero interessante… allora si che probabilmente dovranno essere presi dei provvedimenti in modo legislativo in merito (ma comunque in quel caso la legge non sarà sicuramente retroattiva)
          Legiferare in merito dovrebbe comunque essere una cosa da farsi in quanto lasciare delle zone grigie ed interpretabili… non è mai una scelta saggia.

          • Non si possono prendere provvedimenti legislativi in merito.
            Punto, è così da sempre per Mac Os X e sarà così molto probabilmente per iOs per sempre.
            Del resto, solo la pochezza intellettuale di un giudice di San Bernardino può ipotizzare che dentro quel telefono ci sia qualcosa di utile.
            L’impossibilità oggettiva di accedere ad un dato veramente protetto è alla portata di tutti, oltre che fondamento basilare della civiltà giuridica moderna.
            O cambiano un pezzo fondamentale della costituzione del Regno Unito (che vale oggi ancora negli Usa mutuato), oppure Apple è protetta da un ombrello atomico insuperabile.

          • antonio

            e se un giudice decidesse chi chiamare in causa Apple per favoreggiamento? solo per aver fornito un prodotto che favorisca il suo reato?
            viene logico pensare che chi produce armi non ha colpa di quello che succede… da qui pero’ c’é il porto d’armi che ne rende l’uso possibile a persone abilitate e fuori legge tutti gli altri…

            quindi cosa vogliono far capire? che un domani chi possiede un tel con crittografia dovrebbe fare una domanda o aver un “patentino?”

            per me apple verra spinta alla stregua delle spese legali… oppure fanno notizia di vendere privacy ma sotto protezione dei tribunali collaboreranno … i limiti sono infiniti…

            ad oggi niente é rimasto inviolato….

          • Mi pare che si stia iniziando ad andare verso le ciance.
            A latere andrebbe ricordato che il porto d’armi negli Usa non esiste.
            Ma, in ogni caso, forse è bene ripassare il favoreggiamento, altrimenti perché non fare causa alla Ford per tutte le rapine commesse usando una Ford per la fuga?
            Suvvia… Non perdiamo di vista l’oggetto.
            ***
            Apple verrà spinta alla stregua dalle spese legali?
            Ma se ha più liquidità del governo Usa!!
            *
            La privacy è una cosa che lascerei a Novella 2000.
            Qui ha un altro nome, sia in italiano che in inglese.

          • Alessandro Pavan

            “il porto d’armi negli Usa non esiste” è un affermazione errata.

          • È vero, è un’affermazione superficiale.
            Ma non ci sarebbe bisogno di ricordare che il porto d’armi, negli USA non ha mai natura concessiva ma è sempre, quando esistente, una mera licenza.
            Detto questo in più di uno stato manca persino un provvedimento di natura accertativa.

          • Alessandro Pavan

            Non vorrei sembrarti pedante 🙂 ma anche in questo caso non sono d’accordo, shall issue e may issue sono i criteri in cui si dividono le singole legislazioni. Per dire, prova a fare richiesta di ccw in NJ.

          • Alessandro Pavan

            Non vorrei sembrarti pedante 🙂 ma anche in questo caso non sono d’accordo, shall issue e may issue sono i criteri in cui si dividono le singole legislazioni. Per dire, prova a fare richiesta di ccw in NJ.

          • Non mi pari pedante. Ma è marginale nel discorso che facevo.
            E comunque: ribadisco, salvo che io non mi sia sbagliato e di molto, il “porto d’armi” negli USA non ha mai natura concessiva. È una licenza.
            In Italia il rilascio del porto d’armi è una concessione.
            *
            Se non sei d’accordo mi dici perché?

          • Alessandro Pavan

            Posto che in Italia l’autorizzazione è definita “licenza di porto d’armi”, devo addentrarmi nelle varie tipologie (uso caccia; Tiro a volo; Difesa Personale). Tutti questi titoli consentono di acquistare e trasportare sul territorio nazionale un arma. A seconda del titolo puoi “portare” l’arma limitatamente a quanto definito dalla licenza. In buona sostanza per le prime due abbiamo lo shall issue, la licenza viene rilasciata se non vi sono le condizioni ostative previste dalla legge, mentre per il pdp entra in gioco la forte discrezionalità del Prefetto, che in autonomia può diniegare il rilascio. Ecco perchè pare una concessione e non una licenza. (sul nocciolo del discorso concordo con te.)

          • Aspetta, non ti ho capito.
            In Italia il porto d’armi è una concessione (salvo alcuni limitati casi di porto). Nonostante si chiami licenza, perché ahinoi, il diritto amministrativo ha sempre avuto le idee confuse (del resto la licenza ad edificare è sempre stata classificata come concessione salvo minoritarie posizioni giurisprudenziali e dottrinarie).
            **
            Io affermo che, negli USA, invece, sia una licenza.
            ***
            Mi pare che siamo chiaramente d’accordo sulla situazione nazionale, ma non capisco in cosa dissentiamo sulla situazione Statunitense…

          • Alessandro Pavan

            Probabilmente dal punto di vista giuridico non dissentiamo, quello operativo però non discosta la nostra situazione da quella di alcuni stati USA ove vige il may issue e la “Good Cause” è paragonabile ai “giustificati motivi” oggetto delle valutazioni discrezionali del prefetto. (limitati casi di porto intendevi Magistrati e ufficiali in SPE? o i mie primi due esempi?)

          • Partiamo dal fondo. Mi riferivo ai tuoi esempi ma non solo.
            *
            Ok non dissentiamo sul piano teorico, ma allora ti uso per scoprire cose che non conosco (se ti va!).
            Sul piano pratico chi è che valuta la legittimità dei motivi?
            Mi stai dicendo che in New Jersey (e in California?) prima di potere comprare un’arma da fuoco devo avere un documento che mi autorizza, che posso avere solo se mi viene riconosciuta una “Good Cause”? E chi lo rilascia il documento?

          • Alessandro Pavan

            Attenzione, comprare e portare sono due cose differenti. (qui per il mero acquisto abbiamo il nulla osta per l’acquisto e la detenzione) In CA per l’acquisto devi passare il background check ed aver ottenuto il Firearm Safety Certificate. per ottenere il CCW (Concealed Carry Weapon) essendo la California uno stato may issue, la richiesta deve essere fatta alla forza di polizia del luogo di residenza, oggettivamente non ho idea di come si sviluppi il processo amministrativo interno e cioè se vi è un autorità superiore che valuti e autorizzi o sia tutto in capo allo Sceriffo piuttosto che al capo della polizia.

          • Ok, vero. Comprare e portare è differente.
            In Italia, no però!
            **
            Grazie mille! Non ero addentro al concreto procedimento!

          • Alessandro Pavan

            No no, pure in Italia, ti assicuro!!

            Figurati, è stato un piacere. mi trovi quando vuoi!

          • Non mi pari pedante. Ma è marginale nel discorso che facevo.
            E comunque: ribadisco, salvo che io non mi sia sbagliato e di molto, il “porto d’armi” negli USA non ha mai natura concessiva. È una licenza.
            In Italia il rilascio del porto d’armi è una concessione.
            *
            Se non sei d’accordo mi dici perché?

          • antonio

            cerco solo d’immedesimarmi in un giudice o ente nazionale che vorrebbe delle informazioni all’interno di un dispositivo…. vedrai che ne faranno un caso nazionale li … oltreoceano …

            poi per dirla tutta anche le banche svizzere vendevano la loro riservatezza e privacy dei loro clienti… giusto? e come sono finiti?

            tempo al tempo… finché non avranno le armi mediatiche da far odiare questi sistemi di ultra segretezza…. oh parliamo di un giudice… e se ne diventato 10 – 100 – 1000? l’America é grande …ma il resto del mondo? resterà a guardare?

            trovo che la definizione di privacy oggigiorno é molto ambigua… proteggere un cittadino onesto che paga le sue tasse? SI!!! un’evasore o un criminale? NO!

          • La definizione di “privacy” non è affatto ambigua.
            A te pare ambigua perché continui a chiamare “motoscafo” un normalissimo Kayak.

          • antonio

            scusa ma ho una domanda…. a livello web siamo cosi “spiati” ( vedi pubblicità mirate, analisi di quello che cerchiamo, vediamo…etc etc) e poi ci indigniamo se un giudice chiede di visionare i contenuti di un telefono?
            Accettiamo le perquisizioni da parte della polizia o altro in casa dove li invadono la mia privacy e facciamo polemica su un telefono?
            da un lato hai ragione…. siamo diventati cosi deficienti da tenere dati e conversazioni “pericolose” su un telefono….

          • “Siamo così spiati”?
            Ma di cosa parli?
            **
            Mi pare che stiamo lasciando alle spalle i concetti fondamentali: URI è diverso che dati personali, diritto alla perquisizione è diverso da obbligo a discolparsi.
            Pericolose poi è il regno dell’indeterminatezza e non ha senso.
            **
            Io non faccio polemica su un telefono.
            Mi ostino a ritenere che lo stato di diritto sia preferibile ad una versione del totalitarismo sovietico in salsa pseudo californiana…

          • antonio

            non hai risposto alla domanda :

            Accettiamo le perquisizioni da parte della polizia o altro in casa dove li invadono la mia privacy e ci scandalizziamo su un dispositivo?

          • Non ho risposto alla tua domanda perché è mal posta.
            Accettiamo le perquisizioni. Indubbiamente. E infatti il telefono del delinquente (morto) può essere perquisito in lungo e in largo. E il telefono di qualsiasi sospettato può essere requisito.
            **
            La smettiamo di usare privacy a sproposito?
            Il termine indica una cosa chiara: il diritto alla riservatezza della propria immagine, ed è chiaramente e notoriamente diverso dal diritto alla protezione dei propri dati personali.

          • Mi pare che si stia iniziando ad andare verso le ciance.
            A latere andrebbe ricordato che il porto d’armi negli Usa non esiste.
            Ma, in ogni caso, forse è bene ripassare il favoreggiamento, altrimenti perché non fare causa alla Ford per tutte le rapine commesse usando una Ford per la fuga?
            Suvvia… Non perdiamo di vista l’oggetto.
            ***
            Apple verrà spinta alla stregua dalle spese legali?
            Ma se ha più liquidità del governo Usa!!
            *
            La privacy è una cosa che lascerei a Novella 2000.
            Qui ha un altro nome, sia in italiano che in inglese.

          • antonio

            e se un giudice decidesse chi chiamare in causa Apple per favoreggiamento? solo per aver fornito un prodotto che favorisca il suo reato?
            viene logico pensare che chi produce armi non ha colpa di quello che succede… da qui pero’ c’é il porto d’armi che ne rende l’uso possibile a persone abilitate e fuori legge tutti gli altri…

            quindi cosa vogliono far capire? che un domani chi possiede un tel con crittografia dovrebbe fare una domanda o aver un “patentino?”

            per me apple verra spinta alla stregua delle spese legali… oppure fanno notizia di vendere privacy ma sotto protezione dei tribunali collaboreranno … i limiti sono infiniti…

            ad oggi niente é rimasto inviolato….

          • antonio

            e se un giudice decidesse chi chiamare in causa Apple per favoreggiamento? solo per aver fornito un prodotto che favorisca il suo reato?
            viene logico pensare che chi produce armi non ha colpa di quello che succede… da qui pero’ c’é il porto d’armi che ne rende l’uso possibile a persone abilitate e fuori legge tutti gli altri…

            quindi cosa vogliono far capire? che un domani chi possiede un tel con crittografia dovrebbe fare una domanda o aver un “patentino?”

            per me apple verra spinta alla stregua delle spese legali… oppure fanno notizia di vendere privacy ma sotto protezione dei tribunali collaboreranno … i limiti sono infiniti…

            ad oggi niente é rimasto inviolato….

    • Se non hanno cambiato sistema è da iPhone 3Gs che il blocco non è superabile. Punto. Non c’è nessuna possibilità logica o fisica per superare il blocco, se non, eventualmente, fare copie (innumerevoli) del disco da ispezionare e poi provare con alte potenze di calcolo per tentativi, di bucare la credenziale.
      *
      Ma al momento non sono noti molti tentativi riusciti. Se non hanno cambiato, la cifratura usata era basata su AES.
      **
      Il problema si è posto anni fa anche per i computer, e la risposta di Apple fu la stessa: Siete pazzi? Non esistono chiavi universali, clonate il disco a provate tutti gli attacchi che volete, noi non abbiamo chiavi universali.

  • Saccente

    Io credo nella Giustizia Divina, per cui non vedo alcuna utilità nella backdoor.

  • Phelipe de Sterlich

    A tutti quelli che parlano di backdoor: la richiesta dell’fbi non è quella di creare una backdoor, ma di rimuovere (su richiesta) il meccanismo di cancellazione del device dopo n inserimenti falliti della password, in modo da poterlo poi forzare a forza di tentativi (in pratica un brute force attack, ora impossibile per via di quanto sopra).
    Non entro nel merito che sia giusto o sbagliato, ma non è la stessa cosa.

    • Ma infatti ci sono entrambe le richieste.
      Sia la creazione di backdoor, che in molti casi è semplicemente la messa a disposizione di autorità governative di backdoor già esistenti…
      E la possibilità di rendere possibili gli attacchi a forza bruta.
      *
      Ma è una politica miope. Basata sulla presunzione e sull’ignoranza.
      Perché la segregazione delle informazioni vitali è alla portata di qualsiasi utente anche non esperto. Ed è sciocco che nell’isteria degli Usa non possa insinuarsi quel minimo di raziocinio che lo fa notare.
      **
      È come la questione della videosorveglianza: l’ignoranza crassa fa pensare che la videosorveglianza sia la soluzione a qualsiasi problema di controllo accessi e ho incontrato più di un cliente convinto che la videosorveglianza avrebbe consentito una difesa attiva quando quasi mai le immagini raccolte consentivano identificazione delle persone, e meno ancora l’utilizzabilità delle stesse nell’ambito di procedimenti legali…

      • frabelli

        Scusa, ma non ho capito i due paragrafi della tua risposta, cosa intendi o cosa vorresti dire. È per me troppo tecnicopolitica. 🙂

        Come non detto. Leggendo le tue risposte date qui sotto, Sto arrivando! arrivando! cercando di capire e, penso, di arrivarci. 🙂

        • 1. Le richieste sono due:
          – consentite infiniti attacchi a forza bruta (come se questo risolve il problema… Non lo risolve);
          – vogliamo delle porte di servizio per avere accessi.
          **
          2. La politica è miope perché:
          – se anche accedi alle informazioni in chiaro non è detto che tu sappia usarle;
          – il problema nell’ambito di sicurezza non è mai avere le informazioni, ma sapere quali informazioni ti servono e sapere ordinare le informazioni che hai…
          Quindi stanno chiedendo qualcosa che, se anche avessero, non sanno se saranno mai capaci di usarla.
          **
          È una sintesi efficace?

          • frabelli

            Sì, grazie

      • frabelli

        Scusa, ma non ho capito i due paragrafi della tua risposta, cosa intendi o cosa vorresti dire. È per me troppo tecnicopolitica. 🙂

        Come non detto. Leggendo le tue risposte date qui sotto, Sto arrivando! arrivando! cercando di capire e, penso, di arrivarci. 🙂

      • frabelli

        Scusa, ma non ho capito i due paragrafi della tua risposta, cosa intendi o cosa vorresti dire. È per me troppo tecnicopolitica. 🙂

        Come non detto. Leggendo le tue risposte date qui sotto, Sto arrivando! arrivando! cercando di capire e, penso, di arrivarci. 🙂

      • frabelli

        Scusa, ma non ho capito i due paragrafi della tua risposta, cosa intendi o cosa vorresti dire. È per me troppo tecnicopolitica. 🙂

        Come non detto. Leggendo le tue risposte date qui sotto, Sto arrivando! arrivando! cercando di capire e, penso, di arrivarci. 🙂