Cerca nel blog

2022/09/01

Podcast RSI - Story: The Big Rick, storia di un attacco informatico a lieto fine

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo integrale e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: rumori-aula]

[sotto voce] Siamo nell’Illinois, a Cook County, in un’aula scolastica. Sono le 10.55 del 30 aprile 2021. La voce che sentite è quella di un docente, perplesso e confuso perché il videoproiettore dell’aula si è acceso automaticamente e sta mostrando un conto alla rovescia di cinque minuti e un messaggio: “Si prega di restare in attesa per questo messaggio importante.” C’è chi pensa che si tratti di un annuncio del presidente degli Stati Uniti o di qualche altra autorità.

Nessuno sa ancora che in realtà oltre cinquecento tra monitor e teleschermi dell’intero distretto scolastico 214, composto da sei scuole che gestiscono in tutto circa dodicimila studenti, sono ora sotto il controllo di un gruppo di intrusi informatici e stanno mostrando lo stesso conto alla rovescia. L’intrusione è stata preparata pazientemente nel corso di vari anni, penetrando lentamente nei sistemi informatici della scuola, svolgendo prove generali nelle aule di notte e prendendo il controllo del software scolastico che sorveglia i computer degli studenti e registra tutto quello che scrivono e visualizzano sui loro schermi. Oggi questa incursione sta finalmente per arrivare all’obiettivo lungamente atteso.

Credit: Minh Duong.

È un attacco informatico decisamente illegale, eppure gli intrusi non verranno puniti ma addirittura verranno elogiati. Uno di loro andrà alla stampa e al rinomato convegno internazionale di sicurezza informatica DEF CON per presentare con orgoglio tutti i dettagli dell’incursione, dando il proprio nome e cognome, ossia Minh Duong: è uno degli studenti del distretto scolastico di Cook County. E lo scopo di tutto questo sofisticato attacco è celebrare una tradizione informatica che ha radici lontane, perché uno dei suoi elementi fondamentali risale al 1987.

Questa è la storia dell’attacco informatico noto come The Big Rick, una delle più belle lezioni di sicurezza informatica degli ultimi anni.

Benvenuti a questa puntata del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Prima di tutto, una precisazione fondamentale. Violare sistemi informatici scolastici è un reato e può portare a danni materiali e a perdite di dati estremamente gravi. La storia di Minh Duong non è un esempio da imitare, ma è un’illustrazione molto efficace della fragilità di questi sistemi e della grande attenzione che richiedono e non sempre ricevono. Le condizioni nelle quali Minh Duong e i suoi complici hanno evitato un processo e una condanna sono molto particolari e difficilmente ripetibili.

Chiarito questo, tutta la storia comincia alcuni anni prima, quando Minh Duong frequenta il primo anno alla scuola superiore di Cook County. Insieme ad alcuni amici, il ragazzo usa un computer situato in un armadietto della scuola per effettuare un cosiddetto port scanning, una sorta di ricognizione digitale dell’intera rete informatica del distretto scolastico. Il responsabile informatico della scuola nota questa attività e intima a Minh Duong e ai suoi amici di interromperla. Ma ormai è troppo tardi: la ricognizione ha consegnato al gruppo di aspiranti intrusi la mappa di metà della rete scolastica. I ragazzi scoprono così che sulla rete ci sono stampanti, telefoni IP e persino telecamere di sorveglianza completamente accessibili, senza alcuna password.

Minh Duong, a 14 anni, può quindi vedere quello che vedono tutte le telecamere del complesso scolastico.

Minh Duong si guarda attraverso una telecamera dell’istituto (fonte).

I responsabili tecnici della scuola vengono avvisati della situazione e mettono una protezione informatica più ragionevole alle telecamere (le mettono dietro delle ACL restrictions). Ma non pensano al sistema IPTV, ossia all’impianto che diffonde in streaming i segnali video alle centinaia di videoproiettori e televisori del distretto scolastico attraverso la sua rete informatica. Questo impianto è gestito tramite dispositivi della ditta Exterity, comandabili da remoto, sui quali gira Linux, e Minh Duong ha pieno accesso a tutti questi dispositivi. Fa qualche esperimento e poi lascia perdere.

---

Passa qualche anno, e all’inizio del 2021, quando Minh Duong ha 19 anni e la sua scuola ritorna alle lezioni in presenza dopo un periodo di didattica a distanza a causa del Covid, il ragazzo si rende conto che questo sarebbe un buon momento per effettuare un attacco informatico tramite l’impianto video davanti a tutti gli studenti.

Con tre amici, noti solo come Shapes, Jimmy e Green, Minh Duong (che si fa chiamare WhiteHoodHacker) scopre che ha ancora quell’accesso all’impianto video scolastico scoperto cinque anni prima. Per non lasciare tracce dei preparativi dell’attacco, si procura una copia per docenti del software Lanschool utilizzato dal distretto scolastico, che consente di bloccare a distanza i computer degli studenti, di osservarli e controllarli e di caricarvi ed eseguirvi programmi.

Lanschool è un software molto invadente, che addirittura registra tutto quello che viene digitato dagli studenti sui computer scolastici. Ironicamente, è proprio questa profonda invasività a consentire a questi giovani hacker di passare inosservati, installando i propri programmi e script di attacco sui computer degli altri studenti.

E qui arriva la prima lezione di sicurezza informatica di questa vicenda: quando si indebolisce la sicurezza di un computer per consentirne la sorveglianza e il controllo a distanza da parte dei buoni, la si indebolisce anche per i cattivi. I sistemi informatici non possono sapere se chi usa questi indebolimenti è un buono o un cattivo, un gendarme o un ladro, un sorvegliante scolastico o un hacker ostile. Per cui la cosa giusta da fare è non consentire sorveglianze e controlli a distanza addirittura con permessi di scrittura, anche per rispettare la privacy degli utenti.

---

La seconda lezione di sicurezza della storia di Minh Duong è che se si vuole sperare di passarla liscia dopo un’intrusione informatica, bisogna assicurarsi di non causare danni. Non si deve accedere a dati personali, non si devono fare modifiche ai sistemi e l’effetto dell’attacco deve essere innocuo, anche nella scelta del momento della sua esecuzione.

I quattro hacker scelgono infatti le 11 del mattino del 30 aprile, che è un venerdì di fine sessione scolastica, per cui il loro attacco non interromperà le lezioni ma avverrà appena prima che tutti gli studenti lascino le rispettive aule. E soprattutto decidono che il loro attacco informatico sarà spettacolare ma privo di conseguenze. Scelgono infatti di compiere un cosiddetto rickroll.

Per chi non conoscesse questa tradizione informatica, il rickroll consiste nel creare una situazione di grande attesa e poi presentare a sorpresa, al posto di quello che la vittima si aspettava, il video della canzone del 1987 di Rick Astley Never Gonna Give You Up. Per esempio, se qualcuno vi manda un link dicendo che porta a un video piccante di qualche celebrità, ma quando vi cliccate sopra parte la canzone di Rick Astley, siete stati rickrollati.

Questo scherzo è nato nel 2007 ed è ormai un classico della cultura online, tanto che il video della canzone di Rick Astley su YouTube ha oltre un miliardo e duecento milioni di visualizzazioni. Persino Rick Astley stesso è stato rickrollato in alcune occasioni, e il fenomeno ha ridato slancio alla sua carriera musicale.

Tutto è pronto, insomma, per l’attacco al sistema video scolastico. Ma tre giorni prima di sferrarlo, i quattro ragazzi scoprono gli indirizzi IP, ossia le coordinate sulla rete, degli altoparlanti della scuola. Sì, anche il sistema di annunci è informatizzato. E la password di uno degli amministratori è banalissima: è quella usata come esempio nel manuale dell’impianto. Invece quella del superutente che può gestire tutti gli avvisi acustici di tutte le sedi scolastiche è proprio la parola password, come racconta Minh Duong nel suo resoconto pubblico (le slide della sua presentazione alla DEF CON forniscono ulteriori dettagli). E così la canzone di Rick Astley viene caricata su tutti gli altoparlanti delle scuole, pronta per il momento fatidico.

Terza lezione di sicurezza informatica: mai usare password banali o addirittura predefinite, ma soprattutto mai pensare che tanto una password offre solo un accesso limitato e quindi non è un problema se è facile da indovinare, perché quell’accesso limitato può essere ampliato fino a sfondare tutte le difese e saltare da un sistema all’altro.

---

I preparativi sono meticolosissimi: durante una serie di prove notturne viene verificato che il programma automatico installato su tutti i dispositivi di controllo dei monitor e dei videoproiettori riprodurrà al momento opportuno un file contenente il video di Rick Astley, forzerà l’uso della porta HDMI impedendo agli utenti di cambiare sorgente del segnale, disabiliterà i telecomandi a infrarossi e accenderà i videoproiettori mettendo il loro volume al massimo. Terminata l’incursione, ripristinerà tutte le impostazioni precedenti.

E così, alle 11 in punto del 30 aprile 2021, Minh Duong, Shapes, Jimmy e Green diventano gli autori del più grande rickroll di massa mai documentato: le note della canzone di Rick Astley risuonano in tutte le aule e nei corridoi, il video appare sugli schermi, e gli studenti e i docenti che sono rimasti per cinque minuti in attesa di quell’“annuncio importante” capiscono di essere stati rickrollati.

[CLIP del rickroll]

L’incursione informatica viene presa bene. Una delle docenti si mette a ballare; un altro insegnante fa addirittura i complimenti online agli intrusi, che per il momento sono ignoti, anche se è abbastanza evidente che si tratti di una burla studentesca.

Ma si tratta comunque di una violazione di vari sistemi informatici, con utilizzazione di password altrui. I quattro ragazzi evitano l’ira dei dirigenti scolastici perché giocano subito la loro carta migliore: prima di effettuare l’attacco hanno preparato un dettagliatissimo dossier di 26 pagine e lo hanno inviato anonimamente agli amministratori subito dopo il successo del loro rickroll. Nel rapporto hanno delineato i princìpi etici che hanno seguito, hanno spiegato esattamente cosa hanno fatto e hanno fornito consigli su come evitare che potesse accadere di nuovo. Hanno poi incontrato via Zoom i responsabili informatici del distretto scolastico.

Ciliegina sulla torta, i ragazzi hanno scoperto e comunicato responsabilmente all’azienda produttrice e alle autorità una grave falla tecnica (una privilege escalation to root) che avevano scoperto nei dispositivi della Exterity usati dalla rete scolastica. Un portavoce del distretto scolastico ha dichiarato che l’episodio sarebbe stato considerato come un normale test di penetrazione, e anche i tecnici informatici hanno apprezzato la condotta molto professionale e trasparente degli studenti-intrusi.

Oggi Minh Duong studia informatica alla prestigiosa University of Illinois a Urbana-Champaign e presenta la storia della sua incursione alle conferenze di sicurezza informatica, ma in un’intervista a Wired sottolinea ripetutamente che sconsiglia a chiunque di fare quello che ha fatto lui con i suoi amici, perché si tratta comunque di una serie di comportamenti illegali e severamente punibili.

Una volta tanto, insomma, è andata bene; gli aggressori si sono dimostrati responsabili e si sono limitati a far suonare Never Gonna Give You Up a cinquecento e passa dispositivi, regalando a tanti una risata, quando avrebbero potuto sabotare pesantemente gli impianti scolastici e cancellare dati o accedere a informazioni private sensibili e diffonderle. Ma sono stati anche fortunati, perché hanno trovato dei dirigenti scolastici che hanno saputo apprezzare il loro approccio etico e goliardico e hanno sistemato le falle segnalate invece di farsi prendere dall’imbarazzo e reagire con un panico vendicativo, come accade invece troppo spesso.

Quindi se siete studenti e notate una falla informatica nella vostra scuola, non fate come i quattro hacker dell’Illinois. Ma se siete responsabili informatici o utenti amministratori di questi sistemi, controllate le vostre configurazioni e assicuratevi almeno che non sia possibile usare la parola password come password. Là fuori, oltre agli studenti burloni, ci sono anche vandali e criminali informatici che non aspettano altro che un vostro passo falso per chiedervi un riscatto invece di suonare Rick Astley.

Nessun commento: