Las Vegas – A cavallo tra luglio e agosto, presso uno degli hotel più famosi nel deserto del Mojave, ha avuto luogo la conferenza definita dal Generale Keith Alexander, Direttore della National Security Agency americana, come la riunione più importante a livello mondiale dei talenti dell’informatica. Mercoledì mattina, un paio di persone del pubblico non sono state affatto clementi con il Generale (lo hanno insultato e gli hanno dato del bugiardo), criticando soprattutto il potere che l’agenzia da lui presieduta ha sulla privacy e sul traffico di dati dei cittadini americani. Per quel che vale, Alexander ha dichiarato che la NSA ha sì gli strumenti per raccogliere dati a tappeto, ma non l’autorità per farlo. In passato, alte cariche dell’agenzia hanno ribadito questo concetto davanti al popolo americano e al Congresso il quale, piuttosto ironicamente dobbiamo dire, ha concesso volontariamente alla NSA tale potere.
Alla conferenza sulla sicurezza Black Hole convivono due realtà contrastanti: da un lato si tratta di un evento totalmente e corporate. Vi partecipano scienziati brillanti e professionisti della sicurezza IT tra i più rinomati e pagati al mondo. La maggior parte degli incontri riguardano il mondo dell’industria anche se, per fortuna, alcuni consumatori hanno spazio per intervenire, come è successo anche quest’anno.
Dall’altro lato, la conferenza è popolata di furbi e malintenzionati. Las Vegas, e il Ceasar’s Palace durante il Black Hat in particolare, sono gli ambienti più ostili del mondo occidentale per chi possiede un computer, uno smartphone o qualsiasi altro dispositivo di valore (sono state queste le parole, magari un po’ esagerate, dell’email che ho ricevuto dalla compagnia organizzatrice dell’evento). Non c’è da fidarsi di Bancomat, reti wireless o di qualsiasi persona sconosciuta, perché per gli hacker il divertimento consiste nel derubare o mettere in ridicolo proprio durante una conferenza sulla sicurezza. La sala stampa, l’unico posto sicuro dove collegarsi a Internet, è un groviglio di cavi Ethernet; tuttavia, passando la maggior parte del tempo fuori dalla sala stampa, chi assiste agli incontri è praticamente sempre offline, un paradosso per una delle conferenze più importanti al mondo sulle tecnologie.
Ciò che fa davvero strano è la convivenza nello stesso posto tra i “cattivi ragazzi” senza una formazione canonica e i ricercatori con un dottorato in matematica. La linea che separa un cybercriminale da un agente del governo federale non è poi così netta, soprattutto se si pensa che entrambe le parti vengono alla conferenza per apprendere le medesime tecniche di attacco. Indubbiamente quasi tutti sono degli hacker qui, e alla fine dei conti si parla sempre e solo di temi relazionati a questo mondo.
Attacco agli esseri umani
Barnaby Jack, uno dei ricercatori sulla sicurezza più importanti nel panorama internazionale, purtroppo è morto una settimana prima del suo intervento alla conferenza dal titolo “Impianto di dispositivi medici: attacco agli esseri umani.” Il neozelandese era in prima linea nella ricerca sull’impianto di dispositivi medici (ci riferiamo, ad esempio, a pompe per il rilascio graduale d’insulina o pacemaker impiantati nei corpi dei pazienti). Molti dispositivi di questo tipo comunicano mediante segnale wireless con strumentazioni esterne, e Jack era riuscito a dimostrare che tale collegamento poteva essere facilmente attaccato e compromesso. La sua dipartita quindi è un vera e propria perdita per il mondo delle nuove tecnologie. Ricordiamo una sua memorabile presentazione a una conferenza Black Hat di qualche anno fa in cui, grazie a un computer portatile, è riuscito a violare la sicurezza di due bancomat in tutti i modi possibili ed immaginabili. Durante il suo intervento ha preso il controllo dello schermo di un bancomat e ha fatto in modo che le banconote da 20 dollari venissero scambiate dal sistema per pezzi da 5 dollari. Ha concluso in bellezza con un trucco degno di un mago: grazie ai suoi comandi, il secondo bancomat ha sputato fuori un numero incredibile di banconote, con lo stupore di tutto il pubblico.
Attacco alle case
Quest’anno, durante il Black Hat ci sono state tre conferenze sui sistemi antifurto per la casa. Durante il primo intervento, i ricercatori Drew Porter e Stephen Smith hanno dimostrato in che modo si possono eludere i sistemi di sicurezza installati in casa o in ufficio. Solo negli Stati Uniti, ci sono ben 36 milioni di sistemi vulnerabili; i ricercatori hanno analizzato tre componenti principali: sensori per porte e finestre, sensori di movimento e tastiera di comando, quest’ultima la vera “cabina di controllo” dell’intero sistema. Grazie alla tastiera, infatti, si può attivare o disattivare il sistema d’allarme e, nel caso d’intrusione, partono da qui le comunicazioni verso l’esterno.
Porter e Smith sono riusciti a ingannare i sensori a circuito utilizzando strumenti per nulla sofisticati o costosi, ad esempio magneti o strisce di metallo. S’installano questi sensori in modo da creare un circuito: se il circuito è chiuso, l’ambiente è protetto. Se il circuito s’interrompe (ad esempio quando si apre una finestra o una porta), significa che c’è stata una violazione del sistema di sicurezza, che viene comunicata alla tastiera di comando, attraverso la quale sarà informato il padrone di casa o la polizia.
Con la stessa facilità si possono eludere anche i sensori di movimento. I ricercatori non hanno spiegato per quale motivo, in ogni caso le luci a infrarossi creano problemi agli allarmi con sensore di movimento. Quando i sensori vengono esposti agli infrarossi, anche solo quelli di un accendino, l’allarme non scatta. Si possono ingannare i sensori di movimento anche con metodi più casalinghi, ad esempio proteggendosi con un’ “armatura” fatta di cartone o di polistirene espanso.
Ciò che preoccupa di più è che si può ingannare facilmente persino la tastiera di comando. Sostanzialmente, la tastiera riceve i segnali elettrici provenienti dai sensori. Se un sensore scatta, comunica al sistema centrale l’intrusione, e sarà quest’ultimo ad occuparsi d’informare chi di dovere, ad esempio la polizia o il padrone di casa con un messaggio sullo smartphone. La tastiera può comunicare in tre modi: via telefono, via cellulare o mediante trasmissione di dati. Purtroppo, è possibile dirottare o intercettare il traffico di dati in tutti e tre i metodi.
In un altro intervento Daniel Crowley, David Bryan e Jennifer Savage hanno parlato dei rischi in materia di sicurezza che si corrono quando colleghiamo a un impianto di domotica il riscaldamento, le serrature delle porte o persino il nostro bagno. In particolare, Behrang Fouladi e Sahand Ghanoun si sono occupati del sistema Z-Wave, che si sta diffondendo abbastanza rapidamente negli Stati Uniti, capace di monitorare i sistemi di riscaldamento e ventilazione, chiusura delle porte, illuminazione e altre funzionalità della casa.
La preoccupazione maggiore risiede nel fatto che gli impianti antifurto non possono essere “riparati” con grande facilità, come nel caso dei computer. Ad esempio, se Microsoft viene a conoscenza di un bug, disegna un patch che viene rilasciato, assieme a tanti altri, il secondo martedì del mese (il cosiddetto Patch Tuesday). La maggior parte di questi sistemi non possono aggiornare automaticamente il proprio firmware, per il quale c’è bisogno dell’intervento di un tecnico. I costi lievitano e possono sempre sorgere problemi, per cui spesso gli utenti preferiscono non effettuare l’aggiornamento, lasciando spazio a vulnerabilità. Se si collegasse il sistema a Internet, sarebbe più facile proteggerlo da attacchi in remoto e anche il processo d’aggiornamento sarebbe più sicuro. Molte case produttrici non sono ancora in grado di giocarsela in quest campo, come potrete leggere nel prossimo paragrafo.
Attacco in stile hollywoodiano
Un ricercatore del Maryland, Craig Heffner, durante la sua presentazione è riuscito ad hackerare telecamere di sorveglianza private e aziendali, utilizzando trucchi degni di un film di Hollywood. Heffner sostiene che migliaia di queste telecamere, presenti in abitazioni, hotel, casinò, banche, ma anche strutture militari, industriali e penitenziarie sono accessibili grazie a un collegamento a Internet e sono vulnerabili ad attacchi plateali, proprio come si vede nei film. Il ricercatore è riuscito a sviluppare un attacco proof of concept attraverso il quale è riuscito a manomettere i video di questi dispositivi in accesso remoto.
Attacco agli smartphone
Durante il Black Hat ci sono stati due interventi che hanno minato la nostra fiducia nei telefoni cellulari. Il primo, ad opera del ricercatore tedesco Karsten Nohl dei Security Research Labs, riguarda ugli attacchi alle schede SIM. L’altro, di Jeff Forristal, dal titolo “Un root per conquistarli tutti” (riguardante le ormai diffuse vunlerabilità di Android), avrà un suo spazio in un post successivo.
Una scheda SIM è una sorta di computer miniaturizzato in cui s’immagazzinano e s’inviano dati in modo sicuro attraverso la rete cellulare. Nohl ha scoperto che le schede SIM di miliardi di smartphone sono vulnerabili in quanto, per la comunicazione con il gestore telefonico, utilizzano un sistema di criptaggio standard (definito dall’acronimo DES) di per sé piuttosto comodo poiché richiede pochissimo spazio di memoria. Purtroppo, il lato negativo è che si tratta di un sistema obsoleto e facilmente craccabile. Questo tipo di comunicazione tra gli operatori di rete e i fornitori del servizio telefonico (di cui molti utenti non sono neanche a conoscenza) viene utilizzato per svariati scopi, come è ben descritto in un post del nostro blog Kaspersky Business. Si tratta di messaggi di testo che non vengono visualizzati sul telefono ma che sono processati direttamente sulla SIM. I ricercatori dei Security Research Labs in tre anni sono riusciti a individuare un solo modello di telefono capace di ignorare totalmente questo sistema di comunicazione wireless o, per meglio dire, Over The Air (OTA).
Per rendere questo processo più sicuro, i messaggi sono criptati o protetti da firme digitali. Tuttavia, per Nohl queste misure non fanno la differenza, in quanto egli stesso è riuscito a craccare i messaggi anche se attivate queste protezioni. Le password si basano, infatti, sul vecchio algoritmo DES; il server OTA, appartenente al fornitore dei servizio, e la stessa scheda SIM utilizzando la medesima password, una scelta adottata probabilmente per guadagnare spazio sulla SIM. Una volta individuata la password, si puo violare la SIM “spacciandosi” per il fornitore del servizio. La spiegazione è comunque piuttosto complessa, e preferiamo non entrare nel dettaglio, fatto sta che Nohl è riuscito a prendere il pieno controllo del dispositivo sfruttando questa vulnerabilità. Ad esempio, è riuscito a inviare SMS a numeri Premium, ha cambiato le impostazioni del trasferimento di chiamata, è riuscito ad aggiornare il firmware della scheda SIM e in teoria è capace anche di rubare altre tipologie di dati dalla SIM, come password di applicazioni di pagamento collegate alla scheda. La buona notizia è che molti operatori telefonici stanno optando per schede SIM in cui è abilitato il sistema 3DES o AES; inoltre, dopo i risultati della ricerca di Nohl, alcune grandi compagnie di telecomunicazioni hanno provveduto in poco tempo a implementare nuove misure per far fronte a questo problema.
Attacco alla legge
Marcia Hoffman, dell’Electronic Frontier Foundation, durante il suo intervento ha posto l’attenzione sulle difficoltà che i ricercatori devono superare quando cercano di rendere pubbliche le vulnerabilità scoperte. Se è così difficile rendere Internet un posto sicuro dipende anche dal fatto che gli hacker dalle nobili intenzioni (quelli che scoprono le vulnerabilità di un sistema per comunicarle a chi di dovere), spesso si trovano in guai di tipo legale una volta pubblicate le loro scoperte. Basandosi su casi di studio, la Hoffman ha dimostrato che che il governo statunitense utilizza leggi sui reati online ormai ampiamente superate, approvate in un’epoca in cui Internet e i computer erano a uno stadio diverso da quello odierno. È necessario quindi correre al più presto ai ripari.
Attacco a smart TV
Senza sorprese anche le smart TV, che ormai inziano a somigliare sempre più a dei veri e propri computer, sono vulnerabili. Durante due interventi separati, SeungJin ‘Beist’ Lee (insieme a Aaron Grattafiori) and Josh Yavor hanno proposto una vasta gamma di potenziali attacchi rivolti a questi dispositivi davvero costosi, anche se ormai alquanto diffusi: se ne vendono, infatti, milioni di esemplari ogni anno.
Grattafiori e Yavor hanno scoperto un buon numero di vulnerabilità nei sistemi operativi di questi nuovi modelli di TV, grazie ai quali è possibile collegarsi a Internet. I due ricercatori hanno dimostrato durante il loro intervento che un hacker può prendere il controllo, attraverso la violazione di alcune applicazioni, dell’intero sistema operativo di una smart TV e rubare importanti informazioni. Ad esempio, si possono prendere i comandi della fotocamera integrata e dei microfoni per visualizzare l’interno di un’abitazione oppure includere il sistema in una rete locale di hackeraggio più ampia.
Attacco alle automobili
C’è ancora da aspettare. Charlie Miller e Chris Valasek erano presenti al Black Hat, ma hanno preferito portare al DEF CON (conferenza di hacker che inizia lo stesso giorno in cui termina il Black Hat) la loro dimostrazione su come hackerare un’automobile. Nel frattempo potrete vedere come Miller e Valasek si fanno due risate sul sedile posteriore mentre il reporter di Forbes Andy Greenberg guidava un’auto che loro stessi erano riusciti a far sbattere hackerando il sistema e prendendone il controllo. Per avere qualche informazione in più su come è possibile hackerare un’automobile, vi consigliamo di leggere il post pubblicato qualche giorno fa sul nostro blog Kaspersky Daily.
Attacco al Web
Al Black Hat hanno presentato delle scoperte nel campo della matematica e dell’IT che potrebbero portare alla violazione dell’intero sistema della crittografia Internet nei prossimi 2-5 anni. Per evitare che ciò avvenga, praticamente tutte le compagnie relazionate al mondo del Web (aziende che sviluppano browser, web server, videocamere per la sicurezza o NAS) devono assolutamente iniziare già da ora ad aggiornare i propri software adottando algoritmi di sicurezza più moderni.
È normale lasciare la conferenza senza ottimismo: Internet non è per niente sicuro, è un dato di fatto. Tuttavia, dobbiamo pensare che tutte queste persone che hanno presentato le loro scoperte stanno lavorando affinché si possa migliorare la sicurezza su Internet. È vero, ci si sente infinitamente piccoli di fronte a menti così brillanti; loro, però, sono una fonte d’ispirazione e di fiducia, perché siamo convinti che potranno riuscire dove in molti hanno fallito: creare un ambiente online sicuro dove i nostri dati saranno finalmente protetti.