Molti di noi pensano che il male dell’informatica risieda nelle tecnologie e che se ci sbarazziamo di tutte queste diavolerie elettroniche scompariranno anche le minacce informatiche. Se non avete un frigorifero o una lavatrice “intelligenti” che si connettono a Internet o degli interruttori wireless, allora sarete risparmiati; tuttavia, sembra che chiunque, anche senza volerlo, possegga qualcosa che può essere hackerato.
Patsy Walsh, una signora anziana statunitense, ha preso parte a un esperimento e ha acconsentito che due hacker “buoni”(Reed Loden, CEO di HackerOne e il cofondatore dell’azienda Michael Prins) hackerassero un oggetto di sua appartenenza. Era convinta di non possedere nulla di hackerabile! I ricercatori hanno invitato i giornalisti del New York Times ad assistere all’esperimento.
Potremmo considerare Patsy Walsh una “nonna tecnologica”: ha sei nipoti, un computer, un profilo Facebook grazie al quale può stare sempre in contatto con amici e parenti, TV via cavo e un’auto. Come potete vedere, a differenza di quanto lei pensi, possiede molti oggetti da poter hackerare!
Gli hacker hanno innanzitutto preparato le fondamenta dell’attacco. Hanno visitato il profilo Facebook della signora Walsh e hanno scoperto che aveva firmato da poco una petizione su change.org. Dopo solo dieci minuti, i ricercatori hanno inviato un’email falsa a Patsy spacciandosi per change.org dove la invitavano a firmare un’altra petizione sulla proprietà di alcuni terreni a Matrin County, California, dove vive.
How easy was it for hackers to ‘pwn’ a grandmother of six? Very. http://t.co/gwAp7FUg5v pic.twitter.com/LVXzrm65On
— NYTimes Tech (@nytimestech) October 15, 2015
La “nonna tecnologica”, come previsto, ha firmato la petizione; il link nell’email la reindirizzava a una pagina di phishing invece che a change.org. In questo modo gli hacker sono riusciti a ottenere la password della signora Walsh la quale, come ha poi ammesso, serviva per accedere a diversi servizi.
Questa sola email fasulla è servita a compromettere completamente la vita digitale di Patsy Walsh; pensate cosa sarebbe successo se fosse stato un vero hacker a riuscirci e non dei ricercatori. I cybercriminali avrebbero potuto usare i dati di Patsy per attività illecite.
There are 40 tabs open here. My grandma is clearly v tech savvy. pic.twitter.com/jlzW8LhMei
— ris (@marisanjones98) October 15, 2015
Dopo di ciò, i nostri “hacker buoni” si sono recati a casa della signora Walsh. In un’ora e mezza sono riusciti a scassinare la porta del garage con codice digitale mediante un attacco di forza bruta. Ci hanno messo un po’ di più per hackerare la televisione via cavo DirecTV: i due hacker non hanno resistito e hanno abbonato la signora Walsh a una selezioni di canali a luci rosse
I ricercatori hanno poi preso in mano il portatile; tutte le password erano scritte su un post-it attaccato al router, così in quattro e quattr’otto sono riusciti ad accedere al portatile e a ottenere i dati personali della signora Walsh, tra cui il numero di previdenza sociale, la password dell’account PayPal, il profilo della compagnia aerea che utilizzava maggiormente e il suo piano assicurativo. Sono persino riusciti a mettere le mani sul suo testamento.
Me: ''Today is last date to pay my mobile bill.. Arggh''
My 67yr GrandMa: ''Just PayTM it'' @vijayshekhar @Paytm Tech breaks Age-barrier— Chaitaanya Pravin (@Hungry_Chai) October 23, 2015
Inoltre, i nostri “white hat” hanno scoperto di non essere stati gli unici a sbirciare nella vita digitale della signora Walsh. Il suo portatile era infestato da una ventina di programmi dannosi, tra cui alcuni in grado d’installare altri malware, di recuperare la cronologia di navigazione o che disturbano l’utente con pubblicità. Un portatile non protetto nella maniera adeguata e che appartiene a una persona non così esperta d’informatica fa gola a qualsiasi cybercriminale.
Per lo meno la signora Walsh ha tratto beneficio da questo esperimento. Ha appreso molto sui principi base della sicurezza informatica, ma sarà costretta a cambiare la serratura del garage. Infine, ha capito che deve utilizzare delle password uniche e complesse per i servizi online che utilizza.
Inoltre i ricercatori, come regalo per il Giorno del Ringraziamento, le hanno ripulito il computer da tutti i malware che conteneva. Questo esempio preso dalla vita reale ci dimostra quanto sia semplice compromettere in poco tempo l’intera vita digitale di una persona non esperta d’informatica, anche quando pensa di non avere alcun oggetto che possa essere hackerato.
Hackerare la #nonna? Un gioco da ragazzi! #tech #hacker #Internet
Tweet
Se ci pensiamo bene, siamo circondati da oggetti che possono essere hackerati facilmente. Tutti utilizziamo PC e per molti di noi lo smartphone è il prolungamento della mano. Molti posseggono router, smart watch, console di videogiochi, smart TV, tutti obiettivi appetibili dei cybercriminali.
Molti di questi oggetti non sono percepiti ai più come hackerabili e, di per sé, hanno un livello di protezione inferiore rispetto ai PC (pensiamo, ad esempio, alla serratura del garage). Un’automobile con navigatore satellitare che scarica i dati del traffico in tempo reale? Si può hackerare in poco tempo. Un’auto senza navigatore ma con la chiave che consente di aprire da lontano? Ancora più hackerabile.
#BlackHat 2015: The full story of how that Jeep was hacked https://t.co/y0d6k8UE4n #bhUSA pic.twitter.com/SWulPz4Et7
— Kaspersky (@kaspersky) August 7, 2015
Inoltre, per essere vittima di un attacco hacker non è necessario possedere un dispositivo digitale. Tantissimi dati sono immagazzinati sui database per fini commerciali o burocratici (ospedali, municipi locali, compagnie aeree, banche, negozi, compagnie assicurative ecc.)
Tutti questi dati possono essere potenzialmente hackerabili e le conseguenze potrebbero essere affascinanti. Ad esempio, un caso recente ha dimostrato che in alcuni paesi occidentali un cybercriminale è in grado d’inserire il nome di una persona nel database dei deceduti e senza dover hackerare nulla. E la vittima dovrà poi smuovere mari e monti per dimostrare il contrario.
How to kill a human with a keyboard https://t.co/Mg6yBJxHRz #defcon pic.twitter.com/F3VRae185m
— Kaspersky (@kaspersky) August 10, 2015
Non possiamo essere protetti al 100% da queste minacce, così come non possiamo sapere se la barca su cui siamo salpati andrà a fondo per qualche motivo. Ma se consultiamo le previsioni del tempo prima di uscire, sappiamo manovrare almeno un po’ la barca e indossiamo un giubbetto di salvataggio, i rischi saranno ridotti e trascorreremo una bella giornata al mare.
Tutto ciò può essere applicato alla sicurezza informatica. Dobbiamo sapere che i dati possono essere compromessi e che facciamo del nostro meglio per evitare questo pericolo. Una buona soluzione è utilizzare un software di sicurezza robusto e, ovviamente, non scrivere le password su un post-it attaccato al router.