![\"security-week-33\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2015\/09\/05235818\/security-week-33-FB.jpg\")
<\/a>\u00a0<\/strong><\/p>\nIn questo post tratteremo prima di tutto due notizie che non sembrano avere nulla in comune (ma come vedremo non \u00e8 cos\u00ec): le vulnerabilit\u00e0 spesso scaturiscono dalla negligenza delle persone e dal non voler adottare le misure di sicurezza disponibili. La terza notizia non ha molto a che vedere con la sicurezza, ma tratta piuttosto di alcune relazioni che si stringono all\u2019interno del mondo dell\u2019industria. Tutte e tre le notizie non sono quello che sembrano.<\/p>\n
Permettetemi di ricordavi le regole di Security Week: gli editor di Threatpost<\/a> selezionano tre notizie tra le principali della settimana a cui io aggiungo alcuni paragrafi e commenti. Potete trovare tutti gli articoli cliccando qui<\/a>.<\/p>\n Hackerando le porte degli hotel<\/strong><\/p>\n Qui la notizia di Threatpost<\/a><\/p>\n Si dice che esiste una dicotomia tra il mondo della scienza e quello delle arti e che gli esperti di queste due discipline difficilmente si capiscono a vicenda. Si \u00e8 soliti pensare che un intellettuale o umanista non possa trasformarsi in un uomo di scienza o in un ingegnere.<\/p>\n Questo luogo comune viene smentito dal musicista John Wiegand. Noto e prestigioso musicista, si dedica alla musica lavorando come pianista<\/a> e direttore d\u2019orchestra (anni trenta), fino a quando non inizia a interessarsi al disegno degli amplificatori d\u2019auto. Negli anni quaranta inizia a lavorare su di una delle novit\u00e0 del momento: la registrazione su cassetta. Il 1974 (all\u2019et\u00e0 di 62 anni) \u00e8 poi l\u2019anno in cui realizza la sua pi\u00f9 grande scoperta.<\/p>\n Quello che \u00e8 noto come interfaccia Wiegand consiste in una serie di cavi magnetici metallici di cobalto in lega di vanadi trattato in modo da formare un tessuto esterno duro attorno ad un nucleo interno morbido. I campi esterni magnetizzano facilmente il guscio, che anch\u2019esso resiste alla smagnetizzazione, persino quando i campi esterno vengono rimossi, una caratteristica chiamata alta coercivit\u00e0. <\/em>All\u2019interno del cavo ha un comportamento diverso, non si magnetizza fino a quando il guscio raggiunge a pieno la magnetizzazione.<\/p>\n Nel momento in cui la parte esterna del cavo si magnetizza completamente e il nucleo centrale riesce ad ottenere la sua porzione di magnetizzazione, sia il nucleo che il guscio scambiano polarit\u00e0. Lo scambio genera un voltaggio significativo che pu\u00f2 essere sfruttato da applicazioni di rilevamento e movimento; \u00e8 utile, per esempio, nel caso di certi sistemi di apertura delle porte degli hotel.<\/p>\n A differenza delle moderne schede, gli \u201czeri e gli uno\u201d non vengono registrati nel chip ma nella sequenza del cablaggio speciale stabilito. \u00c8 impossibile riprogrammare questo tipo di codici e lo schema generale non \u00e8 come quello delle moderne schede per il trasporto pubblico o per i pagamenti bancari entrambe di tipo contactless; il sistema \u00e8 simile alle tessere con banda magnetica, solo pi\u00f9 affidabili.<\/p>\n Dobbiamo quindi scartare card contactless? Non ancora! Wiegand non ha dato solo il nome all\u2019effetto, conosciuto come \u201ceffetto Wiegand\u201d, ma anche al protocollo di scambio dati \u2013 piuttosto vecchio. Tutto quello che riguarda questo protocollo \u00e8 piuttosto negativo. In primo luogo non \u00e8 mai stata standardizzato adeguatamente e esistono numerose implementazione dello stesso.<\/p>\n Security Week 33: porte senza serrature, Microsoft invulnerabile, disassembler e tanto dolore<\/p>Tweet<\/a><\/blockquote>\n In secondo luogo, l\u2019ID della scheda pu\u00f2 immagazzinare 16 bit, offrendo poche combinazioni possibili. In terza istanza, il design di queste schede contactless con cablaggio, che erano state invetate prima che imparassimo a inserire un sistema computerizzano in una carta di credito, restringe la lunghezza della chiave a soli 37bit, motivo per credere che il sistema non accetter\u00e0 chiavi pi\u00f9 lunghe.<\/p>\n Di recente, durante la conferenza Black Hat, i ricercatori Eric Evenchick<\/a> e Mark Baseggio<\/a> hanno mostrato al pubblico i loro dispositivi per l\u2019intercettazione delle sequenze di chiavi (non criptate) in fase di autenticazione. Il dato pi\u00f9 interessante in questo caso \u00e8 che le card non avevano nulla da fare dato che l\u2019informazione viene rubata durante la trasmissione dei dati dal lettore delle schede al sistema di controllo delle porte, dove si utilizza storicamente il protocollo di Wiegand.<\/p>\n Il nome del dispositivo \u00e8 BLEkey, un piccolo hardware che ha bisogno di essere inserito in un lettore di schede, per esempio, come quello usato nelle porte degli hotel. I ricercatori hanno mostrato che l\u2019intera operazione dura pochi secondi. \u00c8 semplice: leggiamo la chiave, aspettiamo che il vero proprietario esca e apra la porta; oppure non aspettiamo o non apriamo mai la porta. Senza entrare troppo in dettagli tecnici, il dialogo tra la porta e il lettore\/wireless si trasforma in una cosa del genere:<\/p>\n \u201cChi \u00e8?\u201d<\/em><\/p>\n \u201cSono io.\u201d<\/em><\/p>\n \u201cA sei tu? Entra!\u201d<\/em><\/p>\n Final talk run through! pic.twitter.com\/TQB472izkO<\/a><\/p>\n \u2014 Eric Evenchick (@ericevenchick@mastodon.social) (@ericevenchick) August 6, 2015<\/a><\/p><\/blockquote>\n<\/p>\n\n