skip to main | skip to sidebar
26 commenti

Cinque attacchi informatici incredibilmente stupidi ma veri

Avete mai combinato un pasticcio informatico? Capita a tutti, non vi preoccupate. Consolatevi con questa serie di epic fail da parte di gente che in teoria dovrebbe saper gestire i dati digitali e invece s’è fatta fregare per inettitudine o maldestrezza.


Direttore CIA mette dati riservati su AOL


È di pochi giorni fa la notizia della presunta violazione della casella di mail del direttore della CIA John Brennan da parte di alcuni giovani informatici che su Twitter si fanno chiamare @_CWA_ e @phphax e che avrebbero prelevato da questa casella documenti riservati (contenenti nomi e altri dati di dipendenti dei servizi di sicurezza statunitensi, registri di telefonate con funzionari della Casa Bianca, il modulo di richiesta di verifica delle credenziali di sicurezza e altro ancora), pubblicandoli poi su Twitter e su Wikileaks.

Ma la vera notizia è che la casella di mail in questione non risiede sui server superprotetti della CIA: sta su AOL, un comune fornitore d'accesso Internet commerciale. Il direttore della CIA avrebbe insomma depositato documenti confidenziali presso un normale fornitore commerciale di accesso a Internet a basso prezzo.

Se confermato, sarebbe un gesto di stupidità monumentale in termini di sicurezza, che però sarebbe battuto dall'ingenuità delle misure di sicurezza di AOL. Gli intrusi avrebbero infatti ottenuto accesso alla casella di mail di Brennan usando dati pubblicamente reperibili per fingere di essere lui, contattare il servizio clienti di AOL e farsi inviare un ripristino della password, secondo la tecnica classica del social engineering, e descrivono tutti i dettagli della loro incursione.

Può sembrare poco credibile che il direttore della CIA commetta simili passi falsi, ma non è la prima volta che capita qualcosa del genere: nel 2013 furono violate, saccheggiate e pubblicate varie caselle di mail dei familiari dell'ex presidente degli Stati Uniti George H. W. Bush (nonché ex direttore della CIA). Indovinate dove erano custodite queste caselle? Sempre presso AOL.


La Banca d’Inghilterra spedisce piani segretissimi via mail


Un altro mirabile esempio di violazione della sicurezza informatica incredibilmente stupido arriva dal Regno Unito: in questo caso l’aggressore non ha dovuto fare nulla e anzi non c’è, perché il danno l’ha fatto tutto la vittima della fuga, ossia niente meno che la Banca d’Inghilterra.

A maggio 2015 il capo ufficio stampa della Banca, Jeremy Harrison, ha trasmesso via mail il Project Bookend, ossia i piani segretissimi d’emergenza per gestire un’eventuale uscita del Regno Unito dall'Unione Europea. Li ha trasmessi in chiaro, senza proteggerli neanche con una password o men che meno con un pizzico di crittografia. Non solo: li ha trasmessi al destinatario sbagliato. E fra tutti i destinatari possibili è riuscito a digitare l'indirizzo di mail di un redattore del giornale The Guardian, che ha prontamente reso nota la cosa.

Come è stato possibile un disastro simile? Merito del completamento automatico degli indirizzi. La soluzione adottata dalla Banca d’Inghilterra per evitare che imbarazzi del genere capitino di nuovo è altrettanto epica nella sua follia: invece di educare gli utenti a usare la crittografia o altri canali di trasmissione più sicuri per i documenti sensibili, ha fatto disabilitare il completamento automatico degli indirizzi di mail a tutti i dipendenti, col risultato che ora “tutti alla Banca d’Inghilterra devono faticosamente digitare ogni singolo carattere di ogni singolo indirizzo di mail che scrivono”.


Intrusione tramite...bollitore?


Restiamo nel Regno Unito: cosa ci può essere di più squisitamente inglese di un attacco informatico eseguito tramite i bollitori per il tè? Una marca di questi bollitori ha infatti messo in vendita iKettle, ossia un bollitore per l'acqua del tè che è comandabile a distanza tramite un'app per telefonini iOS o Android, in modo da far risparmiare al proprietario dei secondi preziosi quando si alza al mattino o quando rientra (lo so, lo so, problemi da primo mondo). Ma questo comando a distanza viene inviato via Wi-Fi ed è facilmente manipolabile per rivelare la password del Wi-Fi dell'utente.

“Se il bollitore non viene configurato,” spiegano gli esperti della società di sicurezza Pen Test Partners con dovizia di dettagli, “è banale per gli aggressori localizzare la casa e prendere il controllo del bollitore... mando due comandi e il bollitore mi rivela la password [del Wi-Fi] in chiaro.” La società ha anche creato una mappa londinese dei bollitori informaticamente vulnerabili, ma ha scelto di non divulgarla.


USA, dati personali 21 milioni di dipendenti governativi saccheggiati per un anno


Una delle più grandi violazioni di dati governativi della storia degli Stati Uniti è stata resa nota a giugno 2015. I dati personali di circa 21 milioni di dipendenti o ex dipendenti del governo americano (nomi, cognomi, date e luoghi di nascita, indirizzi, impronte digitali, stipendi, informazioni sui familiari, valutazioni psicologiche e altro) sono stati sottratti dagli archivi dell’Office of Personnel Management (OPM). Gli intrusi sono rimasti nel sistema informatico per almeno un anno.

Lo scopo del furto è probabilmente l’acquisizione di informazioni sui dipendenti governativi statunitensi da parte di una potenza straniera; queste informazioni possono essere sfruttate per ricattare i dipendenti oppure per identificare gli agenti governativi in incognito (avendo le loro impronte, anche se cambiano identità sono comunque tracciabili).

Anche qui gli aggressori sono entrati nei sistemi informatici usando, a quanto risulta dalle indagini, la tecnica del social engineering abbinandola alla totale mancanza di protezioni moderne, dovuta al fatto che alcuni dei sistemi hanno più di vent'anni e sono quasi impossibili da sostituire o aggiornare per dotarli di autenticazione a più fattori; oltretutto il governo statunitense rifiuta da anni di assegnare fondi significativi alla sicurezza informatica dell'OPM.


Audio porno inarrestabile dagli altoparlanti del grande magazzino


Per finire, un “attacco informatico” decisamente atipico: un centro commerciale Target vicino a San Jose, in California, è stato “attaccato” diffondendo l'audio esplicito di un video pornografico attraverso gli altoparlanti interni del grande magazzino. Mentre i dipendenti ridevano e riprendevano la scena con i telefonini, molti clienti sono scappati per l'imbarazzo e per non rispondere alle domande dei bambini che chiedevano di spiegare cos'erano i gemiti che riecheggiavano nelle corsie e sono proseguiti per almeno un quarto d'ora prima che qualcuno trovasse la maniera di zittirli.

Inizialmente era stato ipotizzato che qualche dipendente avesse deciso di guardare video a luci rosse sul computer del centro commerciale usato per la gestione degli altoparlanti, ma poi si è scoperto che l’attacco non è stato il solo del suo genere: analoghi fenomeni sono avvenuti almeno tre altre volte in in altri centri commerciali della stessa catena.

Alla fine è emersa una falla di sicurezza davvero demenziale: i centralini telefonici digitali dei negozi della catena Target hanno un numero interno che è chiamabile da fuori e diffonde la telefonata direttamente sugli altoparlanti senza poter essere escluso. È andata tutto sommato bene, perché gli intrusi avrebbero potuto approfittare del controllo totale che avevano per diffondere falsi allarmi e creare panico.

Come tutte le altre storie di violazione informatica raccontate in questa carrellata, anche questa è un buon promemoria del fatto che qualunque vulnerabilità, anche la più nascosta, prima o poi verrà trovata e sfruttata, ma in molti casi la vittima non ha preso neppure le misure di sicurezza minime di buon senso e soprattutto non ha pensato che quando si introduce una funzione nuova in un sistema informatico bisogna chiedersi sempre se per caso quella funzione possa essere abusata.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (26)
interessante come sempre.
volevo segnalare il seguente refuso
"Gli intrusi avrebbe infatti ottenuto accesso"
*avrebbero
Fantastici epic fail!
Non finisco mai di stupirmi di quanto il buon senso sia merce rara.
Ma queste cose accadono solo nei paesi anglosassoni o negli altri stati non vengono resi noti?
Io sono propenso alla seconda ipotesi.

Altrimenti dobbiamo pensare che gli anglosassoni, e i loro governi, sono gli unici a non sapere nulla di sicurezza informatica.
Piccolo refuso. ;)
...Gli intrusi *avrebbeRO infatti...
Qualcuno ha ipotizzato che lo svarione della CIA potrebbe anche essere un'esca o simile.
Che possibilità ci sono?
Quello della Banca d'Inghilterra è incredibile, va oltre l'idiozia XD
tutti alla Banca d’Inghilterra devono faticosamente digitare ogni singolo carattere di ogni singolo indirizzo di mail che scrivono”.
poverini...
Quello della Banca d'Inghilterra potrebbe essere anche una scusa trovata dal dipendente che invece voleva informare il giornalista.

Quella dell'audio porno mi pare sospetta, la chiamata esterna dovrebbe essere rintracciabile. Sicuramente in USA esiste un registro di tutte le chiamate effettuate, chi chiama chi e per quanto tempo. Non fosse altro che per la fatturazione dei costi.

L'uso di email commerciali da parte di personaggi come la Clinton è curiosa, molto curiosa. Posso pensare che quella ultrasicura sia estremamente scomoda.
I primi due non sono attacchi informatici ma veri e propri suicidi
Giusto per essere sicuro di aver capito il primo caso.
Capisco che il cell ha come compagnia Verizon, uno di questi hacker si fince un tecnico Verizon e ottiene informazioni da Verizon stessa. Qui il vero "colpo" e' stato creare un employee Vcode vero? E come lo hanno creato non si sa nulla?
@Scatola Grande
Quella dell'audio porno mi pare sospetta, la chiamata esterna dovrebbe essere rintracciabile. Sicuramente in USA esiste un registro di tutte le chiamate effettuate, chi chiama chi e per quanto tempo. Non fosse altro che per la fatturazione dei costi.

Anche nei moderni Stati Uniti esistono ancora le cabine telefoniche sai? :-)
La soluzione della banca d'inghilterra è oltremodo stupida: ora i dipendenti copieranno gli indirizzi mail dei loro contatti in un file di testo o in un documento word, un elenco che sarà prima o poi trasmesso, di nuovo per sbaglio ma PER INTERO, a qualcun altro che non dovrebbe leggerlo.
Riguardo l'ultimo (nell'elenco) "attacco informatico":

È andata tutto sommato bene, perché gli intrusi avrebbero potuto approfittare del controllo totale che avevano per diffondere falsi allarmi e creare panico


Diffondere falsi allarmi e creare panico è reato, inserire un audio riconoscibile (circoscritto a chi ne riconosceva il contesto, se è vero che i bambini non lo riconoscevano) non dovrebbe esserlo.
Credo (violazione di copyright, forse? Pornografia no di sicuro, mancando la parte grafica)...


P.S. D'altra parte se si chiama America On Line (AOL) vuol dire che i tuoi files, caro John Brennan, saranno, appunto, ON LINE.
Così come se scrivo su di un sito che inizia per "attivissimo" non posso sperare che il mio commento passi inosservato per mesi e mesi ;-)
Questo commento è stato eliminato dall'autore.
Mi personalissima opinione.

"AOL, un comune fornitore d'accesso Internet commerciale". Anche la CIA, e forse non a caso, è stata vittima della convinzione americana, fondata su un pregiudizio, che il fornitore privato, gestendo l'impresa secondo i principi del mercato, sia sempre e comunque più efficiente.

PS. Ovviamente è un pregiudizio anche l'opposta convinzione che un soggetto pubblico sia, sempre e comunque, più efficiente.
Gio,

refuso sistemato, grazie!
Ditemi che sono bufale, vi prego...
Sempre rimanendo in tema, chi ricorda che alcuni anni fa si scoperse che i PC del Comune di Milano erano privi di Antivirus?
E si che il pgp esiste da qualche annetto...
Avete mai usato sul serio email criptate con chiave pubblica? Io si. É talmente macchinoso che to vien voglia di usare la posta cartacea
Il Lupo,

Avete mai usato sul serio email criptate con chiave pubblica?

Sì, spesso. Uso Thunderbird con Enigmail e non è poi così macchinoso.
Enigmail, lo provo e ti dico, grazie della dritta!

In compenso sto usando un servizio web gratuito che manda email criptate tra utenti del servizio e mail con password opzionale per gli altri, sarebbe bello che pgp o simili funzionassero così :)

Non lo cito per non fare pubblicità
Non si dice "mail" ma "e-mail". Come ben sai, non ho nulla da insegnarti, se parli ad un inglese di "mail", quello ti prepara una carta, la busta e il francobollo.
(il fatto che il 99% degli italiani dica mail, vuvuvu, e "futing" non significa che si debba perpetuare l'errore)
Giusto, "mail" è la posta cartacea.
Michele, Il Lupo,

scusate ma dissento. "Mail", in italiano, indica inequivocabilmente un messaggio di posta elettronica.

Certo, se mi rivolgo a un anglofono e gli parlo in inglese, allora uso "e-mail". Ma a un italiano posso dire "mail" e so che non c'è ambiguità perché stiamo comunicano in italiano.

Del resto, a un italiano puoi dire "passami lo scotch" sapendo che normalmente ti passerà il nastro adesivo. Se dici "pass me the Scotch" a un anglofono ti chiederà se lo vuoi liscio o con ghiaccio :-)