skip to main | skip to sidebar
39 commenti

La TV svizzera assolda un intruso informatico

Test della TV svizzera: sicurezza colabrodo di WiFi, cordless e provider


La trasmissione Patti Chiari della Radiotelevisione Svizzera italiana ha commissionato a un esperto informatico una serie di intrusioni nelle utenze di alcune persone (che avevano dato il proprio consenso al test). Il risultato è raccontato in questa puntata, visibile in streaming, a partire da 20:40 circa.

C'è tutto il repertorio classico delle intrusioni, ed è efficacissimo vederlo in azione, non più come teoria ma come pratica corrente. Password WiFi catturate (WEP), codici di conti bancari sottratti modificando i settaggi del router, chiamate cordless intercettate, accensione nascosta della webcam, furto d'identità e cavalli di Troia.

L'aspetto più scandaloso, però, è la facilità con la quale uno dei principali provider svizzeri, Swisscom, è disposta a rilasciare per telefono la password del router degli utenti (che a quanto pare è gestita da remoto) usando un briciolo di social engineering. È possibile usare il sito di Swisscom per scoprire la data di nascita di un utente-bersaglio (utile come base per il furto d'identità) perché il sito non fa alcun controllo sul numero di tentativi d'immissione, per cui la data è identificabile per bruteforcing. Ottimo il consiglio di usare, per ogni transazione monetaria online, un computer dedicato e una connessione cablata spegnendo temporaneamente il WiFi.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (39)
Bene, speriamo che la reazione di Swisscom sia quella di inserire un rate-limiting sul loro sito di gestione degli account. Speriamo che non diventino più restrittivi nel dare le informazioni al telefono: trovo che sia proprio questo uno dei loro punti forti che li contraddistingue da altri fornitori telefonici e di Internet. Se c'è un problema, li chiami, e senza storie risolvono. Con altri, devi identificarti mandando un campione di DNA, 7 fax di documenti d'identità, e una foto della Luna (così verificano l'angolatura per vedere se ti trovi veramente lì dove dici di essere). Ho reso l'idea? :)
@manuel chi si comporta secondo un minimo sono gli altri.
Dal punto di vista della sicurezza Swisscom è un colabrodo e andrebbe chiusa.
certo che se a te ve bene così non lamentarti se poi ti fregano i dati bancari e ti svuotano il conto.

PS: visto che lavoro nella sicurezza, non mi iscrivo a faccialibro perché in quel social network LA SICUREZZA NON ESISTE
Me lo sono gustato tutto in diretta venerdi' sera (fortunatamente a Varese in alcune zone il segnale "espatria" senza problemi) e devo dire che è stato impressionante vedere con che facilità riusciva a recuperare le informazioni.
Davvero un gran bel servizio.
Resto comunque della mia idea: meglio un router di proprietà, col management disabilitato dall'esterno, password "criptica", wireless limitato allo stretto necessario (preferisco il caro buon vecchi cavo), DHCP disabilitato, WPA2, broadcasting disabilitato, filtro mac address abilitato.....
.
.
.
.
.
e la password di accesso come administrator al massimo livello di sicurezza.
Sono indeciso tra 1234, pippo, pluto, cip&ciop... :-))
Una cosa grandiosa è la possibilità di vedere lo streaming da RSI senza nessun programma particolare tipo silverlight... Che è una vera manna per uno come me che usa ubuntu!
Dubito che la password generata dinamicamente tramite "challenge" con la "macchinetta" di postfinance possa essere scoperta così facilmente, visto che comunque cambia ogni volta.


Non so se hai visto il servizio, ma il codice della "macchinetta" veniva usato one-time-only in un man-in-the-middle molto semplice ma efficace.
Manuel,

scusami, ti ho respinto per errore un commento invece di pubblicarlo. Eccolo qui integralmente. Scusa ancora.


@vale56: io lavoro nell'informatica e non ritengo che la sicurezza di Swisscom sia un colabrodo (parlo a livello amministrativo di call center, non del loro router gestito, che non ho mai analizzato a fondo). Vero, uso un router di mia proprietà, uso WPA2 e mi occupo personalmente della mia sicurezza, e ciò aiuta. Fidati, non mi svuoteranno il conto. E poi dimmi, come dovrebbero fare? Dubito che la password generata dinamicamente tramite "challenge" con la "macchinetta" di postfinance possa essere scoperta così facilmente, visto che comunque cambia ogni volta.

Sentirmi dire da chi lavora nella sicurezza che non si iscrive a Facebook perché non esiste la sicurezza in quel social network, mi preoccupa. Come insegna il nostro buon Disinformatico (ma anche il buon senso), basta mettere su Facebook solo ciò che ci va che venga reso pubblico, e niente di più. E già i potenziali problemi di sicurezza diventano irrilevanti. Io potrei dare ora e subito tutto il contenuto del mio profilo Facebook al primo sconosciuto che passa, e ciò non mi causerebbe un problema. Facile no?

La sicurezza va bene, ma non dobbiamo diventare paranoici. Bisogna saper soppesare pro e contro, e soprattutto essere informati su cosa può o non può succedere. Per chi lavora nel mestiere è facile, per chi invece non ci lavora è bene informarsi, per esempio su questo sito.
Ben ciò :-P
Almeno dal punto di vista wireless sono a posto, cavo 4ever!
@Paolo, purtroppo non sono ancora riuscito a vedere tutto il servizio, lo recupero domani sera. Poi rettificherò il commento :)
Io no ho problemi a vedere lo streaming della RAI. Va un pelino a scatti con Mono, ma è guardabilissimo...

Ottimo comunque che si veda senza plugin!
@Manuel.
Si su FaceBook et similari la sicurezza non esiste.
Specialmente quando vedo come persone skillate riescono a bucare siti come il burro, mi rendo conto che l'unico modo per non farsi fregare informazioni personali è NON METTERE IN INTERNET.

Non sottovalutare le informazioni che lasci in giro.
PS nella mia azienda facebook, twitter, skype ... sono GIUSTAMENTE bloccati dalle policy del firewall.

Poi,come hanno fatto vedere nel servizio, se non si usa della crittografia e firma digitale, il "man in the middle" riesce a bucare anche le one time password, come le chiavette rsa.
Se poi aggiungi che anche la chiave RSA a 1024 bit è stata violata (http://www.oneitsecurity.it/12/03/2010/rsa-a-1024-bit-craccato-tramite-un-attacco-fault-based/) coe anche una partite di token RSA (http://www.design-ireland.net/news/title/RSA_Security_Tokens_Cracked) devi SEMPRE partire dall'idea che TUTTI i tuoi dati sono pubblici e l'unico m0do per tenerli privati è di non inserirli in internet
@Paolo

Un errore nel tuo articolo:

L'aspetto più scandaloso, però, è la facilità con la quale uno dei principali provider svizzeri, Swisscom..

Cambierà poco ma il provider menzionato nel servizio è upc - cablecom
ma il provider menzionato nel servizio è upc - cablecom

No, quello al quale mi riferisco io è Swisscom. Quello che consultano per scoprire la data di nascita della signora Odette (50:43) e poi entrare nella rete Wifi della signora. Guarda anche a 53:20.
Specialmente quando vedo come persone skillate riescono a bucare siti come il burro, mi rendo conto che l'unico modo per non farsi fregare informazioni personali è NON METTERE IN INTERNET.

Accademia dove sei ?!?

;-P
Interessante pagina di approfondimento sulla sicurezza del sistema DECT:

http://www.mynet.it/2009/01/01/dect-security-through-obscurity-e-i-meravigliosi-talk-del-ccc/
Come ha già accennato Manuel, il giusto sta nel mezzo: ognuno dovrebbe valutare i rischi che corre nel fare qualcosa, qualsiasi cosa. Ad esempio, uscire di casa porta dei rischi per chiunque: si può cadere, essere investiti, si può essere scippati e... non dimentichiamo gli UFO! :-).
Se, però, ad uscire di casa è una persona che custodisce qualcosa di prezioso (che possono essere anche informazioni e non necessariamente oggetti preziosi) deve prendere le sue cautele che possono arrivare anche fino alla scorta e all'auto blindata (nessuno, credo, andrebbe in giro da solo con un sacco trasparente stracolmo di denaro). Ovviamente, non ha senso per un comune mortale come me uscire con la scorta armata. I vantaggi (dubbi perché, paradossalmente, potrei attirare l'attenzione dei delinquenti "incuriositi" dalla presenza inspiegabile di una scorta) sarebbero di gran lunga inferiori agli svantaggi. Allo stesso modo ci si dovrebbe comportare con l'uso delle tecnologie di comunicazione. Il girare col sacco trasparente stracolmo di soldi è l'equivalente dell'usare una rete wireless aperta, magari in un hot spot, per collegarsi alla propria banca. Ma se si usa un po' di buonsenso (protezione WPA2, ecc...) si può essere ragionevolmente sicuri. E ciò è dimostrato anche nel servizio di Patti Chiari. Infatti, perdere giornate per aspettare che una signora si colleghi alla propria banca senza sapere a priori la consistenza del suo conto comporta spese e rischi inutili da parte dell'ipotetico malintenzionato. Molto diverso sarebbe il discorso se la signora fosse l'amministratrice di una qualche grossa azienda. In tal caso sarebbe meglio chiedere anche alla banca cautele aggiuntive tipo smartcard, vincoli d'orario e/o indirizzi IP. O non avere proprio l'home banking, ma non dimentichiamo che si può sempre essere costretti ad andare in banca e a prelevare (a proposito di paranoie ;-) ).
In tal caso sarebbe meglio chiedere anche alla banca cautele aggiuntive tipo smartcard
Mah, io esco da un'esperienza interessante in questo senso.
Poco tempo fa mi hanno clonato il bancomat, e lo hanno usato a Londra per fare dei prelievi di contante.
Allora, premesso che da bravo informatico (e anche piuttosto hardwarista) credo che la presenza di uno skimmer non mi sfuggirebbe, e che sono certo di non aver mai scritto né comunicato ad altri il PIN, che sapevo a memoria, mi domando quanto segue: per fare un prelievo Bancomat, occorrono due cose: la tessera (fisica) e il PIN. La tessera la ho sempre avuta in mano io, e secondo la banca dovrebbe essere induplicabile. Evidentemente non lo è. Quindi, anche sulle smartcard possiamo fare ben poco affidamento. O c'è qualcosa che mi sfugge?

Per la cronaca, sospetto che il PIN e i dati della carta mi siano stati carpiti con un POS taroccato in un supermercato, perché quella è l'unica transazione non andata a buon fine che mi ricordi. Ma che la tessera la ho sempre tenuta in tasca, di questo, sono sicuro.
La storia della password Swisscom mi ricorda un po' la (in)sicurezza dei router alice e fastweb (e forse altri) di un tempo, dove la password wireless predefinita poteva essere calcolata con un algoritmo basandosi sul solo mac address del router stesso. Credo che non sia più così per fortuna, ma temo che ci siano ancora tanti router di questo tipo ancora installati.

Quello che non ho ben capito dal test è se alla fine le cavie hanno capito davvero dove sia stato il problema, se nei loro comportamenti o nell'insicurezza intrinseca di tutto quello che è informatica da utente, perchè alla fine mi pare che dicano tutti che non useranno più il wireless, che è un falso problema se poi continueranno a cliccare sulle 'email con gattini' e ad entrare nei siti di home banking senza verificare che la connessione sia https.

Ps. Mi unisco ai complimenti per lo stream visibile anche con Linux.
@Manuel
C'è un altro Manuel!
Ok, io sono quello ateo e pinguinaro... :D
Non mi trova d'accordo, non vanno date informazioni per telefono, non si danno password, e-mail o dati personali se non si è certi dell'identità dell'interlocutore e della sicurezza della linea.
(quello coi pinguini in testa e che ha commentato nel post(o) sbagliato)

Comunque la sicurezza è un equilibrio, da alcune cose non si può prescindere.

http://www.isaca.org/Images/journal/jrnlv2-07-what-every-auditor-1.jpg
@Paolo io uso l'e-banking dell'UBS. Quando entri sulla pagina devi immettere un codice che ti danno loro, e dopo trascrivere quello che ti ha dato in automatico la "macchinetta". Questo codice dato da loro scade dopo X secondi. Adesso: premetto che non me ne intendo tantissimo ma, non penso sia così facile tener clonata una pagina che cambia ogni X secondi per mostrarla alla vittima. Significherebbe che ogni X secondi devi entrare col numero di conto, clonare la pagina e postarla da qualche parte o mi sbaglio??
@Riccardo

Non è necessario che la transazione non vada a buon fine.
Anche a me è successo: dalla spagna mi hanno "ciucciato" 500 euro prima che la carta fosse bloccata dalla banca per transazioni sospette. L'ispettore di polizia mi ha detto che tempo prima dei tizi avevano installato nottetempo sui vari card reader della decathlon di PD un hardware che registrava dati della carta + pin, una settimana dopo son venuti a recuperare il "bottino" ma li hanno beccati per fortuna.
Comunque tutto il maltolto mi è stato restutuito dalla polizza assicurativa che è associata a tutte le carte bancomat.

Personalmente tengo il limite giornaliero di prelievo più basso possibile, e lo alzo online solo quando so che dovrò fare spese "importanti".

Domanda, ma la signora non potrebbe accorgersi dell'attacco "man in the middle" controllando i dati del suo conto (tipo ad esempio il saldo)? L'hacker (e quindi il sito tarocco) non può saperli prima di aver ricevuto la chiave di accesso. L'unico modo che mi viene in mente è entrare immediatamente anche lui e redirezionare di nuovo il traffico direttamente dal sito originale.. che casino :-|
Ho visto solo la prima parte del video (la mia connessione è quella che è...), però alcuni punti mi lasciano perplesso:

- alla prima signora ha installato virus e trojan a catafottere. La signora aveva oltretutto un Vaio, computer recente in cui ha trovato installato sicuramente un antivirus. E' stato così facile per l'hacker scavalcarlo? Capisco le esigenze del reportage, ma faccio fatica a credere che in un paio di clic si possano scavalcare le protezioni di un PC consumer attuale (anche se io non ho elementi per valutare, a casa mia si usa solo Linux)

- Come ha fatto a dirottare le mail dell'ingegnere dalla casella principale? E' vero che è facile trovare una casella dismessa con una password debole (anch'io ne ho una... :) ), ma per dirottare le mail della casella principale si deve accedere a questa, e non ha fatto vedere come. In ogni caso un'operazione del genere viene notificata con una mail, per cui l'ingegnere se ne sarebbe accorto.

Condivido l'iniziativa di sensibilizzazione, però così mi pare che si faccia troppo terrorismo.
@Pritcher:
già, ma la carta dovrebbe essere per sua stessa natura non duplicabile. Altrimenti il microchip a che serve?
Fastweb ancora adesso non permette all'utente di attivare o disattivare il WiFi. Bisogna telefonare e farlo tramite operatore.
Inoltre, anche la psw viene data dall'operatore via telefono e l'utente non può cambiarla.
Se si prova a cliccare sulla MyFastPage su configurazione WiFi compare una finestra con scritto "Il servizio richiesto di Configurazione Wi-Fi non è disponibile."
In Svizzera non sono messi peggio di noi.
Mi accodo alle domande di Pietro Bonanno:
- la prima signora non aveva un antivirus, ne aveva uno non aggiornato o è "facilmente" scavalcabile un antivirus aggiornato?

- come è possibile dirottare le mail da un account senza conoscerne la password?
@pippolippo sei sicuro di quello che dici?
IO ho fastweb e ho tranquillamente cambiato SIA il nome della rete WiFi, SIA la password senza nessun problema (il mese scorso)
poi NON è vero che la password te la dicono per telefono, è scritta sul modem e sul cd che ti forniscono insieme al modem.
Poi NON c'è bisogno di spegnare il WiFi sul modem, basta disabilitarlo sul PC.
@Wallace, mi sa che non hai capito cosa significa "man in the middle"
In pratica l'hacker fa un pagina che assomiglia a quella vera, legge la tua utenza e la tua password (che tu inserisci nel sito falso) e la passa al vero sito, quando tu metti la OTP (one time password) l'hacker la legge, la trasferisce al vero sito della banca e, prima che scada, la usa per fare una transazione, VERA perché l'OTP è buona, a sua favore
Qualcuno ha idea di dove trovare una lista dei cordless intercettabili? Potrei avere un problema ma non so come verificarlo...
@Pietro Bonanno
@Pippolillo

Gli antivirus, (ahinoi!) riconoscono i virus che hanno una certa diffusione e a volte (poche) tramite la ricerca euristica, quelli "fatti a mano". Quindi, se l'attacco è "confezionato su misura" la speranza che l'antivirus reagisca è molto bassa
[quote-"vale56"-"http://attivissimo.blogspot.com/2012/03/la-tv-svizzera-assolda-un-intruso.html#c3823004040267458322"]@pippolippo sei sicuro di quello che dici?
IO ho fastweb e ho tranquillamente cambiato SIA il nome della rete WiFi, SIA la password senza nessun problema (il mese scorso)
poi NON è vero che la password te la dicono per telefono, è scritta sul modem e sul cd che ti forniscono insieme al modem.
Poi NON c'è bisogno di spegnare il WiFi sul modem, basta disabilitarlo sul PC.
@Wallace, mi sa che non hai capito cosa significa "man in the middle"
In pratica l'hacker fa un pagina che assomiglia a quella vera, legge la tua utenza e la tua password (che tu inserisci nel sito falso) e la passa al vero sito, quando tu metti la OTP (one time password) l'hacker la legge, la trasferisce al vero sito della banca e, prima che scada, la usa per fare una transazione, VERA perché l'OTP è buona, a sua favore [/quote]

mi sa che sei tu a non aver capito....
una volta entrato in e-banking NON devo inserire nessuna credenziale perciò l'hacker non ha nessuna password da leggere!L'unica cosa che vedrà sarà il numero di conto. Con quest'ultimo potrà arrivare dove il sito mi passa un codice da inserire nella mia "calcolatrice". A questo punto se non inserisco la mia password creata dalla mia cacolatrice entro x secondi la pagina diventa obsoleta e devo ricaricarla ancora una volta!! Perciò o l'hacker mi posta una pagina fasulla ogni X secondi o se no è fregato!! Ovvero deve fare il log in con il mio numero di conto ogni minuto e in questo minuto deve copiare il codice html e postarlo sul suo server o cosa sia...
2.
Finalmente sono riuscito a guardare il servizio. Ecco le mie osservazioni.

Anzitutto mi accodo a diverse osservazioni che sono state fatte finora, in particolare a quelle di Pietro Bonanno e a quelle di Manuel "pinguinaro ateo" (ateo pure io, ma melista).

Poi devo dire che in questo servizio praticamente tutto si è basato sul social engineering. E quindi posso ribadire quanto avevo già detto nel mio post precedente: se uno è consapevole della sicurezza dei propri sistemi, e se non è "credulone" (ergo, se non clicca su un email di phishing e se non comunica i suoi dati a terzi) dovrebbe essere ragionevolmente al sicuro. A questo aggiungerei: disattivate l'autoconfigurazione del vostro router da parte del vostro operatore, e fatelo a mano (se ne avete le conoscenze). Così l'operatore non conosce la password del vostro WiFi, e un potenziale hacker non può usarla.

Anche l'attacco "pseudo man-in-the-middle" con la pagina contraffatta di e-banking non funziona se l'utente è attento al contenuto della pagina e al "https". Sono anche pronto a scommettere che non funzionerebbe affatto con Postfinance, dove c'è un challenge-response con la macchinetta (e non solo un codice RSA che cambia da solo). Sarebbe infatti necessario trasmettere "al volo" il codice challenge dall'utente ignaro, per farglielo digitare nella macchinetta, e ricevere la risposta. Diventa un po' complicato come attacco.

Continuo a non essere d'accordo con vale56: le informazioni che io consapevolmente metto su Internet, sono solo quelle che scelgo di mettere. Non possono essere usate "contro di me", se non per venirmi a dire che amo l'aviazione, la fotografia, e l'informatica. Ma la mia password non è "airbus340", e la mia domanda di sicurezza non è "quale è la tua macchina fotografica". Poi beh, se uno scopre la mia data di nascita e mi fa scherzi da birbantello, ad esempio disdicendomi l'allacciamento di rete fissa, Swisscom sarebbe comunque molto rapida a ovviare all'inconveniente ripristinando la situazione in pochi istanti dopo il reclamo. Insomma, vivo tranquillo.

Ergo: si deve fare molta informazione e sensibilizzare la gente sulla sicurezza informatica, per rendere la popolazione meno credulona.
Altro commento: il proprio numero telefonico di rete fissa, se non viene esplicitamente pubblicato (nemmeno per errore, magari tramite un trucco di social engineering), non si trova liberamente su Internet.

Lì l'hacker faceva il misterioso: sinceramente sospetto che abbia avuto accesso al sistema "powergate" di Swisscom, normalmente riservato ai partner rivenditori o agli Internet Provider, che possono effettuare ricerche anche su numeri in "lista nera".
alcuni brevi commenti sulle misure di sicurezza aggirate dall'esperto di sicurezza informatica (o white hat hacker)

a) i token dati dalle banche sono dle tutto inutili. dovendone fornire milioni , e dovendo abbattere i costi, le banche non hanno modo di collegare ogni singolo cliente ad un token in particolare, con il mirabile risultato che l'home banking di un grosso gruppo bancario italiano permette di utilizzare il proprio conto corrento online avendo UN QUALSIASI token emesso dallo stesso gruppo.affidando quindi l'intera sicurezza a un codice clienti numerico e un pin altrettanto numerico...
b) "come ha fatto a installare trojan e simili, non c'era un antivirus"
per prima cosa lui ha installato un cavalo di troia non un virus. in questi casi un antivirus serve a poco , specie se l'hacker s è scritto il trojan da solo e non ha usato i kit che girano in internet per crearne trojan. una volta clicccato sul sito, una volta sfruttato exploit si explorer ti accorgi di qualcosa solo se hai un firewall decente installato,e se controlli con attenzione le segnalazioni ( ma un utente "base" dopo i primi minuti di curiosità si stufa e il firewall manco lo guarda più.
le botnet (che arrivano a contagiare milioni di pc nel mondo i cui proprietari non si accorgono di nulla) vengono create così

c) "come si fa a deviare le mail da una casella all'altra."

di solito (gli hacker sanno che in media l'utente informatico è molto prevedibile anche nei suoi accorgimenti) quando si apre una nuova casella email viene chiesto un indirizzo email di "backup"in caso si ci scordi la password della nuova email.
se si riesce a beccare la password della vecchia email (perchè banale) si inizia la procedura prevista dai provider nel caso ci si sia dimenticati la password, che in genere prevede qualche domanda sui dati personali(ma l'hacker si è già informato) e viene inviato un messaggio sulla vecchia casella. da li si conoscere la password e ci si può finalmente accedere alla mail desiderata.
fatto ciò si può impostare la vecchia casella email in modo da farle controllare anche la casella nuova (basta inserire userid e password e server...è un'utilità che offrono tutti i maggiori servizi email esistenti..anche se non è molto "pubblicizzata".
a quel punto basta impostare il servizio in modo che lasci sul server una copia delle email , per non destare sospetti, e ripulire la casella email sotto attacco da eventuali messaggi sospetti.

ma il punto dell'attacco non è che resti invisibile (anche se ovviamente è preferibile) il punto è aver accesso alla mail quel tanto che basta per entrare in possesso di dati riservati (numero di carte di credito, datid i accesso a home banking, dati relativi a utente di corrente elettrica gas telefono internet etc, eventuaLI bollette digitali) e da li sbizarrirsi

d) in caso di router wireless fornito dal provider, in vari modi la password deve per forza di cose essere almeno impostata in partenza dal provider.l'utente di livello medio basso troverebbe altrimenti troppo lungo e difficile impostare la password da solo.nel caso di un tente "base" (anziana, poco competente) l'hacker è andato a colpo sicuro s alcuni elementi (router del provider, password non cambiata) ed ha fatto centro.

questo credo vada chiarito : l'hacker di solito non nfrange le difese informatiche perchè è un genio.le infrange perchè affianca una profonda capacità di capire le proprie vittime ad ottime capacità tecniche.
WiFi Fastweb: certo che la psw è scritta sulla custodia del CD che ti danno ma se devi cambiarla devi telefonare al call center e un operatore la cambia e te la dice via fonica.
Nella mia configurazione della MyFastPage non vi è alcuna possibilità di cambiare la psw e nemmeno di accendere e spegnere il WiFi del router.
Io uso un cavo di rete ma mi scoccia avere sempre il WiFi acceso che uso sporadicamente quando mi connetto con il Kindle Amazon, meno di 30 secondi per scaricarmi un nuovo libro da leggere.
Sarò sfigato ma questa è la mia situazione.
@Giuseppe, hai probabilmente ragione, a me stupiva di + la rapidità con cui ha fatto la cosa. Il servizio lasciava intendere che bastano quattro clic e si entra in casa di chiunque. Io rimango dell'idea che con un po' di accortezze (neanche tanto tecniche) non sia così semplice. Certo se poi l'esperto di sicurezza era quell'ingegnere che ha sparato l'idiozia sui 300000 virus di Android, il problema è alla fonte :)

Per quanto riguarda le password, che forse sono il vero anello debole di tutta la catena, dò un suggerimento che uso ormai da anni: provate un servizio di memorizzazione online delle password.

Io ho usato per diverso tempo Clipperz e ora uso Lastpass (entrambi gratuiti). Questi sistemi applicano la tecnica Zero Knowledge, ovvero neanche il gestore è in grado di leggere le vostre password.
Tutti i codici vengono criptati sul PC dell'utente prima di essere inviati su Internet e la procedura è sicura (cifratura AES 256, praticamente inattaccabile).
Con il plugin per il browser, poi ci pensa Lastpass a inserire l'utenza nei siti che si usano.
Per proteggere (e criptare) tutte le password se ne usa una sola, che l'utente deve scegliere con molta attenzione, deve essere più lunga possibile e contenere lettere, numeri e caratteri speciali. Una tecnica che uso io consiste nel prendere una frase da un libro, da una canzone o cmq da una fonte che si conosce bene e tramutarla in un codice: per es. se si usa Manzoni , la frase "In quel ramo del lago di Como" può diventare "!qrdldC". Ho usato il ! al posto della I perchè è facile da ricordare (questa però non usatela! :) )
Scegliendo frasi non troppo famose, vengono fuori password facili da memorizzare e inattaccabili alla forza bruta. L'importante è che la frase sia molto familiare per l'utente.

PS: non lavoro per Lastpass nè per Clipperz :)
"In quel ramo del lago di Como"

Ehm... sei poi riuscito a rientrare nel sito? :-)
Perchè l'incipit non è proprio così:
http://www.intratext.com/ixt/ITA0008/_P2.HTM
A mia parziale discolpa, ho buttato la frase a memoria senza verificare. Dopo le superiori, ho rimosso :P
Quella non è la mia password, la mia è Nel mezzo del cammin di nostra vita... :D
@bruno
Fortunato te che riesci a vedere gli sforamenti della tv svizzera. Mi domando pero` come mai lasciano vedere in streaming la trasmissione e la criptano su satellite. Koper-Capodistria fa esattamente cosi`. Antenne 2 e` sempre in chiaro, insieme a Telemontecarlo :-)

Per il discorso del furto del pin del bancomat con i POS, e` un bel problema, specie se si vuole puntare alla moneta elettronica. Alla fine sembrerebbe piu` sicura la carta di credito tradizionale, sempreche` i commessi verifichino il secondo fattore, ovvero l'identita` della persona.
Qual'e' il problema di rilasciare la nostra data e luogo di nascita e sesso?
In Italia lo forniamo ogni volta che comunichiamo il nostro Codice Fiscale!!!
In Cile invece hanno un anonimo numero sequanziale: tu sei il cittadino n.52827432 e basta!!
Vi prego... ditemi che l'indirizzo e la data di nascita della sig.ra Odette Stampanoni NON SONO quelli REALI... perché altrimenti i POLLI non sono solo Swisscom