{"id":15194,"date":"2018-03-20T18:24:53","date_gmt":"2018-03-20T16:24:53","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=15194"},"modified":"2019-11-22T11:06:07","modified_gmt":"2019-11-22T09:06:07","slug":"small-hacks-sas2018","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/small-hacks-sas2018\/15194\/","title":{"rendered":"Piccoli attacchi: caff\u00e8 gratis, taxi “spiabili” e aeroporti vulnerabili"},"content":{"rendered":"

Le notizie che circolano sul Web spesso riportano casi di errori informatici e vulnerabilit\u00e0 usate per portare a termine sofisticati attacchi su grande scala, come il caso WannaCry<\/a> e NotPetya<\/a> dell\u2019anno scorso. Ma gli esperti sanno che gli attacchi di maggior successo sono dovuti a grandissimi errori commessi dagli sviluppatori o da chi installa.<\/p>\n\n

Ovunque ci sono sistemi mal configurati e solo poche ore separano il momento in cui un hacker individua un computer vulnerabile da quello in cui ne prende completamente il sopravvento. Durante il suo intervento presso il Security Analyst Summit 2018<\/a>, il ricercatore israeliano Inbar Raz ha offerto un sacco di esempi che confermano questa triste realt\u00e0.<\/p>\n

Caff\u00e8 gratis<\/h3>\n

Molte tessere fedelt\u00e0 di numerosi bar funzionano nel seguente modo: il cliente riceve una tessera, la ricarica come fosse una carta di credito della banca, e la usa per pagare nei bar e accumulare bonus per altri acquisiti. Il cliente pu\u00f2 controllare il saldo sul sito della catena inserendo il proprio numero di tessera.<\/p>\n

Dopo averne comprata una, Inbar Raz ha notato che il sito permetteva agli utenti di controllare le tessere con qualsiasi numero e per tutte le volte che si desiderava. In questo modo, usando un piccolo programma creato in mezz\u2019ora, Raz ha scoperto diversi numeri e ha identificato alcune tessere con molto credito disponibile.<\/p>\n

Successivamente, dopo aver letto la banda magnetica della sua tessera con un lettore USB economico, Raz ha scoperto che il numero era stato scritto sulla tessera in un formato non criptato e che l\u2019unica misura di sicurezza era rappresentata da un bit di controllo abbastanza facile da calcolare. Il compito di rimpiazzare il numero sulla banda magnetica della tessera con uno dei numeri trovati nella fase precedente e usare il credito di qualcun\u2019altro era un gioco da ragazzi.<\/p>\n

Spinto da ragioni etiche e non criminali, Raz ha messo in pratica quanto scoperto; ha comprato una seconda tessera, l\u2019ha riempita e ha copiato il suo numero nella prima tessera. Ha funzionato! In teoria, un attento impiegato di uno di questi bar potrebbe rendersi conto dell\u2019inganno comparando il numero stampato sulla tessera e quello dello scontrino. Ma nella pratica, \u00e8 difficile che questo succeda. Quindi\u2026 caff\u00e8 gratis per gli hacker, e magari anche un muffin!<\/p>\n

Tracking in stile Uber<\/h3>\n

Un po\u2019 di tempo fa, Uber \u00e8 stato coinvolto in uno scandalo<\/a> in cui si accusava gli impiegati di aver usato male l\u2019app mobile<\/em> e di aver tracciato passeggeri di alto profilo.<\/p>\n

\u00c8 stato scoperto per\u00f2 che altri servizi di taxi ti permettono di farlo senza nemmeno la seccatura di dover lavorar per loro. Inbar Raz ha scoperto che quando si prenota un taxi online, il suo status pu\u00f2 essere tracciato usando il numero di telefono di contatto e (come nel caso del caff\u00e8 gratis) non c\u2019\u00e8 nessuna protezione contro gli attacchi di forza bruta.<\/p>\n

Ha elaborato un programma ed \u00e8 riuscito a creare una comoda mappa indicante gli indirizzi di <em>tutte<\/em><\/em> le richieste recenti di taxi per questo servizio.<\/p>\n

<\/p>\n

(In)sicurezza aeroportuale<\/h3>\n

Il Wi-Fi gratuito dell\u2019aeroporto qualche volta nasconde sorprese. Nella business lounge di un aeroporto dell\u2019Europa dell\u2019est, Inbar Raz ha deciso di controllare la configurazione del punto di accesso locale.<\/p>\n

Ha scoperto che \u00e8 possibile accedere alle impostazione del router tramite l\u2019indirizzo web standard, e senza nessuna necessit\u00e0 della password di amministratore. Dopo aver analizzato le impostazioni, Raz ha capito che non si trattava di un semplice punto di accesso per ospiti, bens\u00ed il router principale dell\u2019aeroporto, con il dispatch e i sistemi di sicurezza, era tutto collegato. Questi servizi possono essere disabilitati da chiunque con un computer portatile o persino con uno smartphone.<\/p>\n

<\/p>\n

Programmatori e amministratori di sistema, fate attenzione! Non pensate che un caff\u00e8 (un servizio taxi o un aeroporto) sia un obiettivo troppo di nicchia per gli hacker. Le impostazioni standard, password semplici come \u201cadmin\u201d o \u201c12345\u201d, il fatto di non usare il CAPTCHA, o altre misure contro gli attacchi automatizzati, sono i principali errori di sicurezza e una facile via d\u2019accesso per i criminali. Anche hacker poco abili possono fruttare questi errori. Ed esperti come Inbar Raz, persone che hanno svelato in modo responsabile le vulnerabilit\u00e0, invece di usarle per il proprio profitto, sono poche in questo mondo.<\/p>\n","protected":false},"excerpt":{"rendered":"

Quest’anno al Security Analyst Summit, Inbar Raz ha rivelato come sia riuscito a craccare il sistema di tessere fedelt\u00e0 di una catena di bar, un servizio taxi e un aeroporto.<\/p>\n","protected":false},"author":32,"featured_media":15195,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[2646,2783,897,1150,2785,925,1363,2765,2784],"class_list":{"0":"post-15194","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-thesas2018","9":"tag-ethical-hacking","10":"tag-hackeraggio","11":"tag-hacking","12":"tag-hacking-etico","13":"tag-sas","14":"tag-security-analyst-summit","15":"tag-the-sas-2018","16":"tag-white-hat"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/small-hacks-sas2018\/15194\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/small-hacks-sas2018\/12792\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/small-hacks-sas2018\/10602\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/small-hacks-sas2018\/14917\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/small-hacks-sas2018\/13230\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/small-hacks-sas2018\/12672\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/small-hacks-sas2018\/15551\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/small-hacks-sas2018\/19912\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/small-hacks-sas2018\/4804\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/small-hacks-sas2018\/21606\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/small-hacks-sas2018\/9097\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/small-hacks-sas2018\/16130\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/small-hacks-sas2018\/9454\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/small-hacks-sas2018\/19896\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/small-hacks-sas2018\/19833\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/small-hacks-sas2018\/19853\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/15194","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=15194"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/15194\/revisions"}],"predecessor-version":[{"id":18659,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/15194\/revisions\/18659"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/15195"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=15194"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=15194"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=15194"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}