Apple T2 protegge i Mac dagli attacchi di forza bruta

Apple spiega come il chip T2 integrato nei nuovi Mac consente, tra le altre cose, di rendere ancora più sicuro l'avvio della macchina, bloccando gli attacchi di forza bruta

Problemi anche con i MacBook Pro 2018, forse colpa del chip T2

Gli iPhone e i Mac più recenti integrano un chip denominato T2 che integra numerosi controller quali: il Controller di gestione del sistema, il processore del segnale immagine, il controller dell’audio e il controller SSD.

Il chip in questione integra funzioni che permettono ad Apple di offrire nuove capacità al Mac garantendo, ad esempio, un livello di sicurezza ancora più elevato di prima. È alla base della nuova archiviazione criptata (che cifra in automatico le unità disco) e delle funzionalità che consentono di proteggere l’Avvio del Mac.

Il chip T2 - Foto: iFixit
Il chip T2 – Foto: iFixit

Come l’iPhone, il Mac integra un meccanismo di protezione contro quello che in gergo si chiama “attacco di forza bruta”, metodi di accesso al sistema che consistono nel verificare tutte le parole chiave teoricamente possibili fino a quando si trova la password corretta. Su iPhone è possibile inserire quattro codici di sblocco errati prima che il sistema imposti automaticamente un ritardo a ogni nuovo tentativo di sblocco. Dopo cinque tentativi errati, bisogna attendere un minuto; dopo 6 tentativi bisogna attendere 5 minuti; dopo 7-8 tentativi bisogna attendere 15 minuti; dopo 9 tentatavi errati, bisognerà attendere un’ora prima di riprovare. Sul Mac il concetto è lo stesso, ma il numero di tentativi offerti è diverso:

  • da 1 a 4 tentativi: nessun ritardo
  • da 5 a 17 tentativi: un minuto di ritardo
  • dopo 15-20 tentativi: 5 minuti di ritardo
  • dopo 21-26 tentativi: 15 minuti di ritardo
  • da 27 a 30 tentativi: 1 ora di ritardo prima di poter riprovare

I ritardi in questione sono gestiti dal chip t2 e dunque anche se il Mac viene riavviato, il ritardo rimane attivo.chip T2

Apple spiega tutto questo in una guida alla sicurezza del T2 (PDF) indicando funzionalità che impediscono ad esempio a un programma dannoso di cancellare dati, provando tutti i tentativi possibili. Superati i 30 tentativi, è possibile eseguire massimo altre 10 prove dopo l’avvio dalla partizione di macOS Recovery. Esauriti anche questi tentativi altri 60 sono disponibili per i meccanismi di recovering di FileVault (iCloud recovery, chiave di recupero FileVault e chiave di recovering per Mac usati in ambito scolastico).

Esauriti i vari tentativi, il Secure Enclave non elaborerà più nessuna richiesta per decifrare il volume o di verifica delle password e non è più possibile ripristinare i dati sull’unità. L’unica opzione possibile è inizializzare il disco e ricominciare da zero.