Mac bloccati in remoto dagli hacker: c’è un solo modo per difendersi
Se avete attivato Trova il mio Mac sul vostro computer Apple, la funzione che come per l’iPhone permette di localizzare il Mac in caso di smarrimento o furto, e di bloccarlo a distanza, o di inizializzarono, allora è bene che sappiate alcune cose.
Online si legge sempre più spesso di utenti che si sono ritrovati il Mac (che era collegato ad Internet) bloccato su una schermata grigia dove bisogna inserire un codice di blocco che però non si conosce, e un messaggio che chiede un riscatto in denaro per sapere il codice con l’invito a contattare un indirizzo e-mail.
Riavviare il computer non risolve il problema, e non è neppure possibile eseguire l’avvio dalla partizione di recupero o da un’unità esterna per inizializzare l’hard disk. Che cosa è successo?
Un pirata informatico è riuscito a sapere la password del vostro account Apple (ID Apple o icloud.com è la stessa cosa), ha eseguito il login dalla pagina icloud.com/find che non richiede il codice di sblocco previsto dall’autenticazione in due fattori (se precedentemente attivata), ed ha attivato l’opzione “Blocca Mac”, che permette di impostare la “Password firmware”, uno speciale livello di sicurezza che impedisce l’avvio del Mac da una unità esterna o dalla partizione di recupero. Per ottenere il codice di sblocco impostato dal cyber criminale viene richiesto un riscatto in Bitcoin di alcune centinaia di Euro.
Naturalmente non conviene pagare perché non è sicuro che il pirata informatico manterrà la promessa di inviarvi il codice di sblocco, e quindi l’unica soluzione è recarsi presso il Genius Bar di un Apple Store (è necessario prenotarsi online) portando con se la ricevuta d’acquisto del Mac, e il personale di Cupertino provvederà ad inizializzare il computer con una speciale procedura, che anche se comporta la cancellazione di tutti i dati, vi permetterà di tornare ad utilizzare il computer.
Come difendersi?
La password del vostro Apple ID può essere scoperta in due modi:
1) Con il brute force, cioè un software che permette di provare tutte le possibili combinazioni di una password, ma Apple da tempo ha preso delle contromisure che rendono quasi impossibile utilizzare questo metodo. Naturalmente, se avete impostato 123456, password o la vostra data di nascita come password per il vostro account, avete facilitato e non poco il lavoro del pirata informatico. Per impostare una password sicura click qui
2) Tramite una “email phishing” con un indirizzo che vi invita a fare click su un link che porta ad una pagina Web di iCloud. Però, osservate la barra degli indirizzi di Safari dell’immagine qui sotto.
Ora prestate attenzione alla barra degli indirizzi di Safari di quest’altra schermata.
Apparentemente le due pagine sono identiche anche nell’URL, ma la prima è falsa, realizzata dall’hacker per rubare le vostre credenziali, ed è facile accorgersi che si tratta di una truffa perché manca l’Extended Validation Certificate, il lucchetto e la scritta Apple Inc a sinistra dell’URL, uno speciale certificato per i siti Web che viene rilasciato solo se una serie di rigorosi criteri di identificazione sono soddisfatti.
Lo stesso discorso vale anche per la pagina di gestione dell’ID Apple, quella autentica ha sempre l’Extended Validation Certificate.
40 Commento
Ancora una volta questa è la dimostrazione che il pericolo maggiore è l’utente!
Però deve essere veramente un utente imbranato. Lo sa anche il mio pesciolino rosso che non bisogna cliccare i link nelle email “sospette”.
Intanto, il problema sembra molto diffuso, quindi sono un bene articoli come questi.
Molti utenti sono giovani oppure, a prescindere dall’età, poco esperti. Sono in molti quelli che si fanno abbindolare dalle email di phising.
D’altronde se c’è ancora chi si fa fregare dalle email del principe nigeriano che deve trasferire il denaro in Italia…
Ottimo articolo non tutti sono esperti quindi ben vengano queste notizie,come sempre ottimo lavoro Spider Mac
La password firmware si può aggirare rimuovendo e poi reinstallando l’hard disk o la RAM.
Per la RAM è vero (se non è saldata). Per l’hard disk, lo puoi sostituire con un altro, ma quello originale rimane inutilizzabile.
La rimozione della RAM non risolve il problema. A sto punto basterebbe staccare la corrente e premere il pulsante di avvio ripetutamente, scaricando i condensatori e lasciando la RAM priva di carica (che per la sua natura volatile perderebbe i dati).
La password del firmware verrà impostata sul chip EFI e l’unico modo fisico per rimuoverla è sostituire il chip con un altro flashato per il modello del Mac posseduto (sui Mac è saldato a differenza di altri computer, ma l’operazione non è complicata per chi se la cava con l’elettronica … poi potrebbe essere riflashato anche direttamente sulla scheda ma non entro nei dettagli). In alternativa, il blocco sul chip EFI è superabile via software attraverso il codice alfanumerico unico che genera tramite una combinazione di tasti che ora non ricordo. Con quel codice rivolgendosi alla Apple è possibile sbloccarlo, previa verifica della legittima proprietà del computer. È anche possibile richiedere il servizio a terzi (AASP o riparatori indipendenti) oppure acquistare il dongle con gli algoritmi di sblocco (attenzione però, quest’ultima soluzione è illegale!).
L’hard disk non c’entra niente, il blocco via iCloud non lo codifica (purtroppo!). Poi anche se fosse codificato sarebbe utilizzabile, la codifica di un hard disk non ne impedisce il riutilizzo (dopo la formattazione) bensì ne cripta i dati contenuti (con standard algoritmici più o meno forti).
Gli utenti dovrebbero seguire i tuoi consigli per evitare il problema e per chi invece è stato “colpito” consiglio caldamente di rivolgersi alla Apple. Ai tempi in cui fu introdotta questa funzione io feci una prova, sbloccando poi il mio Macbook. Stranamente però la password è rimasta nell’EFI e dopo quasi 6 mesi quando ho dovuto fare un avvio dalla partizione bootcamp, ho avuto la sorpresa che il firmware era bloccato (e io non ricordavo la password !!) … ovviamente questo fu un bug (che spero abbiano risolto). Mi sono rivolto alla Apple prima di procedere per conto mio, e dopo aver dimostrato loro di essere il legittimo proprietario me l’hanno sbloccato gratis. Gli AASP e i riparatori indipendenti chiedono in media 130-150 euro per questa operazione …
Se ho già impostato io la mia password del firmware sono protetto?
No. Il codice di blocco impostato con Blocca di Trova il mio Mac prevale anche sulla password firmware già impostata, ed è anche logico che sia così.
Alla fine possono creare solo un danno: l’HD e la RAM. Certo, è un costo (e una seccatura). Ma se devo scegliere se pagare il riscatto o sostituire l’HD, scelgo sicuramente quest’ultima opzione e poi re-importo i dati da CCC o Time Machine. Oppure non è così semplice?
Con la ricevuta d’acquisto del Mac, presso l’Apple Store lo sbloccano ad un costo che si aggira introno ai €50.
E quindi ancora meglio di quanto mi aspettassi. La fortuna di usare un Mac. Grazie.
Tutti i miei amici con computer mac sono impazziti, ho telegram che è incandescente! consigli pure di cambiare tutte le password dei vari siti? siccome alcune sono simili, magari, conviene usarle tutte diverse. in apple store ci hanno detto di non usare app come 1password, ma di tenere tutto dentro il portachiavi di apple ( beh ovvio ) e di cambiare tutte le password di ogni sito, anche se onestamente non so nemmeno come fare. magari eliminando completamente Portachiavi e rifacendolo nuovo?
Si è assolutamente necessario utilizzare password diverse per ogni sito web o servizio, io utilizzo il suggerimento del Portachiavi iCloud click qui
Le password le devi cambiare facendo il login dei vari siti Web e servizi, e poi andare nelle relative impostazioni di sicurezza.
Grazie
Perché non si possono usare App come 1Password se, per accedervi si utilizza una password forte? Forse tali App non sono sicure di per se stesse?
Si possono usare applicazioni come 1Password, ma fa le stesse cose del Portachiavi iCloud ed è a pagamento. In ogni caso il problema in questo caso non è la password forte perché se cadi nel tranello di una email phishing, sarai tu stesso a fornire la password forte all’hacker.
La copia di backup su Time Machine rimane utilizzabile o viene anch’essa compromessa?
Rimane utilizzabile.
Quindi quando accade si presuppone che non si riesce più ad accedere ad iCloud… Se invece si riesce ad accedere non si può resettare il codice di sblocco?
Se hai impostato l’autenticazione a due fattori, l’hacker non è in grado di accedere alle Impostazioni di icloud.com e quindi a modificare la password dell’account.
Sapendo la password, l’hacker può accedere solo alla speciale pagina Trova il mio iPhone/Mac che ha questo particolare indirizzo: icloud.com/find
P.S.
Una volta imposta il codice di blocco da Trova il mio Mac non è possibile disabilitarlo.
Lo stesso può accadere con l’iPhone?
No. Attivando la “Modalità smarrito” l’iPhone viene bloccato con il codice di blocco impostato dall’utente al momento della configurazione del telefono.
Solo se l’iPhone non ha il codice di blocco, allora attivando la “Modalità smarrito” verrà richiesto di digitarne uno in remoto.
Purtroppo non riesco ad inserire gli screenshot nei commenti ma volevo segnalare che accedendo a https://www.icloud.com/#find appena effettuato l’accesso mi è arrivata una notifica sull’iPhone (con iOs 11) che diceva che il mio id era stato utilizzato per accedere ad icloud nei pressi di (località). Aprendo la notifica compare la schermata di accesso all’id Apple da cui si può selezionare “consenti” o “non consentire”. Facendo consenti ti dice di inserire il codice che compare nel dispositivo da cui vuoi accedere (autenticazione in 2 passaggi) ma questo non sortisce effetti sulla pagina di find my iphone su icloud in cui si sta navigando. Invece selezionando “non consentire” ti manda alla procedura per cambiare la password di icloud.
Quindi insomma… anche se sarebbe meglio poter bloccare subito l’accesso non avviene proprio tutto a nostra insaputa, almeno per chi utilizza iphone.
ma scusa, allora disabilito Trova il mio Mac e risolvo il problema, al limite uso altri programmi come Undercover o Prey, giusto?
È un po’ più facile prestare attenzione se è presente il “lucchetto verde” dell’Extended Validation Certificate sul sito da cui stai per fare il login.
Il problema rimane anche ripristinando da Carbon Copy Cloner su un Hd non collegato ?
Stefano, ho notato che, se apro icloud.com, non appare più il lucchetto verde con la scritta Apple Inc. ma il semplice lucchetto grigio. Mi succede anche con altri siti, non vedo mai il lucchetto verde. Cosa può voler dire?
Che versione hai di macOS e del browser che utilizzi?
Sierra 10.12.6 e Safari 11
Può essere rilevante l’impostazione di queste preferenze in “Accesso Portachiavi”? Ho fatto uno screenshot https://www.dropbox.com/s/8hy6vxzwz2b6onw/Schermata%202017-09-25%20alle%2019.16.52.png?dl=0
Comunque non le ho mai modificate in vita mia.
Forse ho trovato l’inghippo. Su tutti i siti col lucchetto mi risultava che il certificato fosse emesso da Avast. Ho disinstallato l’antivirus e il lucchetto verde è ricomparso.
Grazie. Una piccola domana. Perchè mamma Apple non taglia la testa al toro e mette l’autenticazione a due fattori anche alla pagina indubbiamente pericolosa.
Perché in caso di furto dell’iPhone sarebbe il ladro a doverti autorizzare perché tu possa tracciarlo.
Ciao a tutti,
la password EFI purtroppo (o per fortuna) non si può eliminare in autonomia, togliere disco o ram nn serve a niente. Per i dati invece non ci sono problemi (non so se è perché AppleStore inizializzi, non è necessario)!
Lo sblocco ad ogni modo è possibile anche presso qualsiasi centro di assistenza autorizzato, fattura di acquisto obbligatorio!
Veramente io avevo il computer bloccato (MacBook late 2009) da luglio perché l’Apple Store più vicino ce l’ho a 150km e al Medstore volevano 80€… con il sistema della RAM ho risolto! Anche se il blocco in qualche modo era rimasto, ho risolto accedendo al DVD di recupero, cambiando la password del firmware, inizializzando il disco, e reinstallando Snow Leopard
Ma non sarebbe meglio evitare di usare queste funzionalità automatiche come il “trova il mio mac” e fare attenzione fisicamente al nostro mac?
La mania per questi automatismi non fa che spostare il problema dell’attenzione aumentando solo l’ansia. Abbiamo il coraggio di dire che certe volte ci propinano solo inutili e dannose funzionalità
“Trova il mio Mac” non è altro che un antifurto satellitare, e francamente mi sembra eccessivo definirlo “inutile e dannoso”, anche perchè si può scegliere di non attivarlo/utilizzarlo.