Piccoli attacchi: caffè gratis, taxi “spiabili” e aeroporti vulnerabili

Minacce

Le notizie che circolano sul Web spesso riportano casi di errori informatici e vulnerabilità usate per portare a termine sofisticati attacchi su grande scala, come il caso WannaCry e NotPetya dell’anno scorso. Ma gli esperti sanno che gli attacchi di maggior successo sono dovuti a grandissimi errori commessi dagli sviluppatori o da chi installa.

Ovunque ci sono sistemi mal configurati e solo poche ore separano il momento in cui un hacker individua un computer vulnerabile da quello in cui ne prende completamente il sopravvento. Durante il suo intervento presso il Security Analyst Summit 2018, il ricercatore israeliano Inbar Raz ha offerto un sacco di esempi che confermano questa triste realtà.

Caffè gratis

Molte tessere fedeltà di numerosi bar funzionano nel seguente modo: il cliente riceve una tessera, la ricarica come fosse una carta di credito della banca, e la usa per pagare nei bar e accumulare bonus per altri acquisiti. Il cliente può controllare il saldo sul sito della catena inserendo il proprio numero di tessera.

Dopo averne comprata una, Inbar Raz ha notato che il sito permetteva agli utenti di controllare le tessere con qualsiasi numero e per tutte le volte che si desiderava. In questo modo, usando un piccolo programma creato in mezz’ora, Raz ha scoperto diversi numeri e ha identificato alcune tessere con molto credito disponibile.

Successivamente, dopo aver letto la banda magnetica della sua tessera con un lettore USB economico, Raz ha scoperto che il numero era stato scritto sulla tessera in un formato non criptato e che l’unica misura di sicurezza era rappresentata da un bit di controllo abbastanza facile da calcolare. Il compito di rimpiazzare il numero sulla banda magnetica della tessera con uno dei numeri trovati nella fase precedente e usare il credito di qualcun’altro era un gioco da ragazzi.

Spinto da ragioni etiche e non criminali, Raz ha messo in pratica quanto scoperto; ha comprato una seconda tessera, l’ha riempita e ha copiato il suo numero nella prima tessera. Ha funzionato! In teoria, un attento impiegato di uno di questi bar potrebbe rendersi conto dell’inganno comparando il numero stampato sulla tessera e quello dello scontrino. Ma nella pratica, è difficile che questo succeda. Quindi… caffè gratis per gli hacker, e magari anche un muffin!

Tracking in stile Uber

Un po’ di tempo fa, Uber è stato coinvolto in uno scandalo in cui si accusava gli impiegati di aver usato male l’app mobile e di aver tracciato passeggeri di alto profilo.

È stato scoperto però che altri servizi di taxi ti permettono di farlo senza nemmeno la seccatura di dover lavorar per loro. Inbar Raz ha scoperto che quando si prenota un taxi online, il suo status può essere tracciato usando il numero di telefono di contatto e (come nel caso del caffè gratis) non c’è nessuna protezione contro gli attacchi di forza bruta.

Ha elaborato un programma ed è riuscito a creare una comoda mappa indicante gli indirizzi di <em>tutte</em> le richieste recenti di taxi per questo servizio.

(In)sicurezza aeroportuale

Il Wi-Fi gratuito dell’aeroporto qualche volta nasconde sorprese. Nella business lounge di un aeroporto dell’Europa dell’est, Inbar Raz ha deciso di controllare la configurazione del punto di accesso locale.

Ha scoperto che è possibile accedere alle impostazione del router tramite l’indirizzo web standard, e senza nessuna necessità della password di amministratore. Dopo aver analizzato le impostazioni, Raz ha capito che non si trattava di un semplice punto di accesso per ospiti, bensí il router principale dell’aeroporto, con il dispatch e i sistemi di sicurezza, era tutto collegato. Questi servizi possono essere disabilitati da chiunque con un computer portatile o persino con uno smartphone.

Programmatori e amministratori di sistema, fate attenzione! Non pensate che un caffè (un servizio taxi o un aeroporto) sia un obiettivo troppo di nicchia per gli hacker. Le impostazioni standard, password semplici come “admin” o “12345”, il fatto di non usare il CAPTCHA, o altre misure contro gli attacchi automatizzati, sono i principali errori di sicurezza e una facile via d’accesso per i criminali. Anche hacker poco abili possono fruttare questi errori. Ed esperti come Inbar Raz, persone che hanno svelato in modo responsabile le vulnerabilità, invece di usarle per il proprio profitto, sono poche in questo mondo.