Dev Center offline: la spiegazione ufficiale di Apple

Aggiornamento del 21 agosto 2013, a cura di Ruthven.

Sulla pagina Web Server notifications, Apple pubblica i ringraziamenti a tutte le persone che hanno partecipato a risolvere un bug o problemi di sicurezza dei siti della Mela. Sono quindi apparsi anche i ringraziamenti a chi è stato a stretto contatto con l’emergenza bug che ha messo offline per più di una settimana il portale per sviluppatori della Mela. Nella stessa occasione, Apple rende pubbliche le falle di sicurezza che si nascondevano dietro alla vulnerabilità della piattaforma.

Le notifiche indicano che una prima segnalazione di vulnerabilità del codice era stata riportata il 18 luglio da 7dscan.com e SCANV, lo stesso giorno nel quale il Developer Center andava giù:

2013-07-18 developer.apple.com

A remote code execution issue was addressed. We would like to acknowledge 7dscan.com, and SCANV of www.knownsec.com for reporting this issue.

Nei giorni successivi, Apple aveva pubblicato un messaggio, spiegando che il portale era stato messo offline per ragioni di sicurezza. Per evitare in futuro simili attacchi, Apple ha deciso poi di controllare minuziosamente l’intero sistema, mettendo quindi offline i suoi servizi per sviluppatori per diversi giorni. A questo punto, Ibrahim Balic, un ricercatore indipendente sulla sicurezza dei sistemi informatici, si è fatto avanti assumendosi la responsabilità della violazione del Developer Center, ma senza alcun scopo malevolo.

Adesso che Apple ringrazia pubblicamente 7dscan.com e SCANV di www.knownsec.com per la scoperta di una vulnerabilità dovuta all’esecuzione di un codice remoto, le responsabilità di Balic passano in secondo piano: ufficialmente l’attacco al Dev Center è dovuta alla causa identificata dai due gruppi citati sopra. La segnalazione di Balic indicava di come fosse stato capace di recuperare un username, il nome reale e l’indirizzo email di un utente usando solamente una delle informazioni relativa all’utente; l’esecuzione di un codice remoto è una violazione di sicurezza molto più grave visto che potrebbe permettere a degli hacker di prendere addirittura il controllo dei server di Apple. La faccenda si chiude con l’identificazione del colpevole, il codice remoto, anche se non ne è stata rilevata l’entità o la fonte.

Dev Center, tutti i servizi online e un mese di estensione gratuita

Aggiornamento del 12 agosto 2013, a cura di Giacomo Martiradonna.

Buone notizie per utenti e professionisti. In queste ultime settimane, i servizi per gli sviluppatori e i server di attivazione dei dispositivi iOS hanno funzionato a singhiozzo e con evidenti difficoltà. E la ragione sta nell’attacco hacker che ha colpito Cupertino il 18 luglio del mese scorso e che ha buttato giù il Developer Center nella sua interezza. Da quel momento in poi, gli ingegneri della mela hanno lavorato “giorno e notte” per irrobustire la sicurezza e ripristinare l’integrità dei dati, non senza scossoni imprevisti; ma finalmente è tutto a posto.

Proprio in queste ore, infatti, sono state diramante migliaia di mail per comunicare ai clienti la cosa. E la promessa di un indennizzo è stata rispettata:

Siamo lieti di annunciare che tutti i nostri servizi dedicati al programma sviluppatori sono di nuovo online. La tua pazienza durante questo lasso di tempo è stata grandemente apprezzata.
Sappiamo bene quanto il disservizio sia risultato fastidioso e vogliamo scusarci per qualunque ritardo abbiamo causato nello sviluppo della tua app. Per farci perdonare, abbiamo esteso di 1 mese l’abbonamento di tutti i team di sviluppatori.

E in effetti, basta dare un’occhiata alla pagina del sito Apple dedicata allo Stato dei Sistemi per avere la conferma che tutto, dai Certificati al Forum, funziona alla perfezione. Speriamo solo che la cosa duri nel tempo.

Qualcuno si lagna un po’ per la dilazione “poco generosa;” in fondo, si legge qua e là sul Web, a 3 settimane di disservizi è stato corrisposto un mese di tempo in più a titolo di rimborso, e Apple avrebbe potuto essere meno “cheap” e offrire “1 mese per il downtime + 1 mese per il disagio,” ma alla fine si tratta di sottigliezze. Il danno è stato riconosciuto, riparato e indennizzato: e questa è certamente una buona notizia.

iPhone e iPad, ancora problemi coi server di attivazione

Aggiornamento del 9 agosto 2013, a cura di Giacomo Martiradonna.

Da quando Apple è finita sotto l’attacco degli hacker qualche settimana fa, abbiamo assistito ad una escalation di problemi; dapprima è caduto nella sua interezza il Developer Center, poi sono partiti i server di attivazione degli iPhone e iPad. Infine, pareva che tutto fosse in via di risoluzione. Il database era stato ricostruito, la sicurezza irrobustita e, un po’ alla volta, i sistemi tornavano online. L’impressione, insomma, era che la nottata fosse passata, e invece rieccoci qui.

Molti utenti di MacRumors lamentano nuovamente di non riuscire ad attivare i nuovi dispositivi o quelli vecchi, in seguito ad un ripristino, e altre segnalazioni fioccano qua e là sul Web e sui social network. Per esempio, a questa pagina o a quest’altra su Twitter. In tutti i casi, gli utenti rimangono col loro costoso -e inutilizzabile- dispositivo tra le mani, con un messaggio che recita:

Non abbiamo potuto attivare il tuo iPhone poiché il server di attivazione non è momentaneamente disponibile. Prova a connettere il tuo iPhone ad iTunes per attivarlo, oppure riprova tra un paio di minuti.
Se il problema persiste, contatta il Supporto Apple su apple.com/support.

Per fronteggiare il disservizio, alcuni Apple Store stanno invitando gli utenti ad effettuare l’attivazione direttamente nei negozi del proprio carrier, ma a quanto sembra di capire le cose vanno male perfino lì. Non conosciamo la portata delle difficoltà, né Apple si è degnata di comunicare una data di possibile risoluzione. Un intoppo ogni tanto passi, ma a questo punto sarebbe gradita una risposta ufficiale di Cupertino. Noi li abbiamo contattati: ora vediamo se e quando rispondono.

Apple Dev Center: altri servizi ritornano online

Aggiornamento del 30 luglio 2013, a cura di Ruthven

Il disservizio ai server Apple che gestiscono il Developer Center, il centro per sviluppatori, è ancora presente, malgrado il lavoro del team di ingegneri e programmatori di Cupertino. Le falle di sicurezza evidenziate dall’attacco sono importanti e richiedono una riprogettazione totale dell’intera infrastruttura, oltre alla ricostruzione del database degli utenti registrati.

Però si sta rientrando piano piano alla normalità e alcuni dei sistemi sono stati rimessi online. Con i Dev Center dei vari sistemi operativi (iOS, Mac, Safari), è ora disponibile la documentazione che accompagna le versioni beta del software Apple. Gli sviluppatori hanno quindi di nuovo accesso alla documentazione di iOS 7, OS X Mavericks e Safari.

Un’altra buona notizia è che anche la pagina di download è state rimessa online, con la possibilità di scaricare il software della Mela. Sarà quindi possibile registrarsi per gli sviluppatori che non l’hanno ancora fatto e scaricare l’ultima beta di Mountain Lion 10.8.5, per esempio. Rimangono però ancora disattivati ben sei servizi del Developer Center, fra cui i Video e il Supporto Tecnico. Si suppone che a inizio agosto tutto possa rientrare nella normalità.

Attivazione iPhone, problemi ai server Apple

Aggiornamento di Giacomo Martiradonna del 26 luglio 2013.

Dal momento dell’attacco hacker della scorsa settimana, Apple lavora “giorno e notte” per tentare di ripristinare la situazione, evidentemente con notevoli difficoltà. In effetti, a causa della violazione dei sistemi online, ora Cupertino è alle prese con la ricostruzione del database e l’irrobustimento della sicurezza del Developer Center. A parte questo, ad ogni modo, sembrava che i problemi fossero circoscritti al reame degli sviluppatori; e invece, da qualche ora anche gli utenti comuni sperimentano difficoltà nell’attivazione dei propri iPhone, nuovi o vecchi che siano.

La cosa è venuta fuori sui forum di MacRumors e sui social network, per esempio in questo tweet e in quest’altro. Se si tenta l’esperimento -perché avete acquistato un iPhone nuovo o in seguito ad un ripristino-, c’è la possibilità di leggere il seguente messaggio:

Non abbiamo potuto attivare il tuo iPhone poiché il server di attivazione non è momentaneamente disponibile. Prova a connettere il tuo iPhone ad iTunes per attivarlo, oppure riprova tra un paio di minuti.
Se il problema persiste, contatta il Supporto Apple su apple.com/support.

A quanto pare, il fenomeno è sgradevole ma di facile spiegazione: anche i server di attivazione sono in crisi. La conferma arriva dalle solite fonti anonime, da alcuni impiegati AT&T e dal thread dedicato all’argomento nato spontaneamente sui forum ufficiali Apple. Sfortunatamente la mela non ha ancora ufficializzato la cosa, il che implica anche che non si conoscono tempistiche affidabili di risoluzione. Se possibile, quindi, evitate di ripristinare i dispositivi iOS in queste ore.

Attacco hacker, Apple torna lentamente alla normalità

Aggiornamento del 25 luglio, di Giacomo Martiradonna.

Tutto è cominciato giovedì scorso con un disservizio ai server Apple che gestiscono il Developer Center. Da principio si era pensato ai soliti problemi tecnici o alla manutenzione ordinaria; ben presto, invece, è stato subito chiaro che qualcosa non andava per il verso giusto, e che Cupertino era stata oggetto delle attenzione poco carine di alcuni hacker. Non è chiaro chi sia il mandante o l’autore dell’attacco, ma è possibile che un ricercatore di sicurezza abbia involontariamente fornito le informazioni necessarie a produrre questo disastroso stato di cose.

Da allora, la mela lavora “giorno e notte” per risolvere il problema, con una riprogettazione totale dell’intera infrastruttura, e la ricostruzione del database degli utenti registrati. A distanza di sette giorni dal fatto, però, i sistemi sono ancora offline e in pratica vanno solo iTunes Connect e il Bug Reporter. In una pagina dedicata all’aggiornamento sui lavori in corso, si legge:

Mentre completiamo il lavoro per riportare i nostri sistemi online, vorremmo condividere con voi le ultime notizie.

Abbiamo in mente di avviare i sistemi aggiornati -cominciando con Certificati, Identificativi e Profili, Forum Apple, Bug reporter, librerie developer pre-release e video. Poi, ripristineremo i download software, così che le ultime beta di iOS 7, Xcode 5 e OS X Mavericks saranno nuovamente disponibili ai membri del programma. Poi, porteremo online i sistemi restati. Per tenerti aggiornati sui nostri progressi, abbiamo creato una pagina di status che mostra la disponibilità dei nostri sistemi.

Per il momento, tuttavia, Apple non ha fornito né tempistiche né deadline; evidentemente, c’è ancora molto da fare. La buona notizia, se non altro, è che tutte le scadenze -delle app così come degli abbonamenti- verranno posticipate per far fronte al notevole disservizio subìto. Ulteriori indicazioni su questo punto in particolare, tuttavia, seguiranno nelle prossime ore. Per qualunque informazione aggiuntiva o necessità, infine, potete contattare direttamente Apple a questa pagina.

Un ricercatore confessa di aver forzato l’Apple Developer Center

Aggiornamento del 22 luglio 2013 – A cura di xtom.

Ibrahim Balic, un ricercatore indipendente sulla sicurezza dei sistemi informatici, ha lasciato un commento su TechCrunch, nel quale afferma di essere penetrato nel Developer Center, ma solo per evidenziare le vulnerabilità riscontrate, senza alcun scopo malevolo.

Dopo due giorni di chiusura del servizio, senza preavviso e spiegazioni, Apple aveva deciso di emettere un comunicato, ancora oggi visibile sul portale degli sviluppatori, spiegando che un attacco hacker aveva compromesso la sicurezza del sistema e qualcuno era stato in grado di accedere alle informazioni degli sviluppatori. Per precauzione Apple ha quindi deciso di mettere offline il Developer Center per chiudere le falle di sicurezza.

Balic sostiene di aver scoperto sul sito Apple ben 13 falle di sicurezza che ha provveduto immediatamente a segnalare attraverso l’apposita pagina del sito Apple. Proprio uno di questi bug ha permesso a Balic di entrare nel portale degli sviluppatori:

Uno di questi bug mi ha permesso di accedere ai dati degli utenti. Ho immediatamente segnalato questo ad Apple. Ho preso solo i dettagli di 73 utenti (tutti dipendenti di Apple) come prova dell’accesso.

4 ore dopo il mio ultimo rapporto il portale degli sviluppatori è stato chiuso.
Ho inviato un email per dirgli che se li stavo mettendo in difficoltà potevo interrompere la ricerca. Non ho ottenuto alcuna risposta …

Balic ha atteso invano una risposta, ma ha deciso di uscire allo scoperto perché si è sentito trattare come un criminale e vuole difendere la propria reputazione professionale:

In alcuni notiziari ho sentito dire che le autorità stanno investigando sull’attacco harcker. Non sono molto contento e mi sento irritato, poiché non ho fatto questa ricerca per danneggiare qualcuno. Non ho pubblicato nessun dato e non ho condiviso i risultati della ricerca con nessuno.

Il mio obiettivo era quello di segnalare i bug e raccogliere i dati per capire fin dove sarei riuscito ad arrivare.

Resta il dubbio di capire se Baltic sia solo un mitomane o se sia veramente l’autore di questi accessi effettuati probabilmente in modo non proprio professionale solo per farsi un po’ di pubblicità.

Apple Developer, gli hacker attaccano il portale dedicato agli sviluppatori

Articolo del 22 luglio 2013 – A cura di Giacomo Martiradonna.

Con una mail inviata a tutti gli iscritti, Apple ha riconosciuto la compromissione del portale dedicato agli sviluppatori a causa di un attacco hacker; tant’è che la pagina è stata perfino posta offline per precauzione.

Da principio, si era pensato ad un semplice disservizio momentaneo, dovuto alla manutenzione ordinaria. Dopotutto, non è la prima volta che il Developer Center risulta inaccessibile; stavolta, però, la durata prolungata del blackout è apparsa subito insolita, e ciò ha rafforzato l’idea che ci fosse qualcos’altro sotto. Scopriamo ora che si è trattato di un attacco premeditato e perfettamente riuscito.

Tutte le informazioni relativa agli utenti, assicura Apple, sono crittografate e quindi virtualmente inaccessibili; ma esiste la possibilità che nomi, indirizzi di casa e indirizzi mail degli iscritti siano stati carpiti lo stesso. Nella lettera diramata in queste ore, Cupertino scrive:

Lo scorso giovedì, un intruso è riuscito a ottenere informazioni personale riguardo i nostri sviluppatori registrati sul sito Developer. I dati personali sensibili sono crittografati e inaccessibili; tuttavia, non siamo stati in grado di stabilire se vi sia stato un accesso ai nomi, agli indirizzi di casa e/o mail di alcuni sviluppatori. Nello spirito della trasparenza, vogliamo informarvi del problema. Abbiamo subito portato offline il sito giovedì stesso, e siamo forsennatamente al lavoro da allora.
Per prevenire che altre minacce di sicurezza simili possano accadere di nuovo, stiamo riprogettando completamente il nostro sistema dedicato agli sviluppatori, aggiornando il software lato server e ricostruendo i nostri interi database. Ci scusiamo per l’enorme problema che il nostro downtime vi ha causato; contiamo di riportare il sito online in tempi brevi.

In ogni caso, la questione riguarda esclusivamente gli sviluppatori, e non i clienti comuni, le loro carte di credito o i loro acquisti. Né è stato compromesso il codice delle app o i server presso cui le app sono ospitate.