Le 8 azioni di hacking più “istruttive” del 2015

Security managementSicurezza
7 27 5 commenti

Abbiamo appena archiviato un anno ricco di azioni di hacking: alcune non sono state particolarmente dannose ma inaspettate sì e segno, talvolta, di vulnerabilità e rischi che non tutti considerano. Lo sapevate che…

Il 2015 è stato un anno costellato di azioni di hacking ostile, furti di dati e brecce nella sicurezza delle reti, come era logico aspettarsi. D’altronde ormai sappiamo che il furto di informazioni è un business redditizio e che, accanto allo spionaggio tradizionale, esiste una cyberwar più o meno “fredda” in cui le nazioni si confrontano. login_sicurezza_shutterstock_317089586Là dove il 2015 si è distinto rispetto ad altri anni è nei casi di hacking più curiosi, non sempre ostili, ma a volte dimostrativi.Alcuni di questi casi sono particolarmente importanti perché ci pongono davanti a questioni nuove e ci fanno capire che la sicurezza informatica riguarda campi che magari non immaginavamo. Ecco la nostra selezione.

Un cambio alla guida: FCA

Lo scorso luglio lo statunitense Andy Greenberg era alla guida della sua Jeep Cherokee quando due hacker ne hanno preso il controllo a distanza sfruttando una vulnerabilità del suo sistema multimediale. Violando il suo firmware sono riusciti ad arrivare al sistema di controllo dell’elettronica della vettura e si sono divertiti a fare cose come cambiare il funzionamento del condizionatore, attivare i tergicristalli e cambiare stazione radio. Poi hanno messo in folle il cambio automatico mentre Greenberg era su una superstrada. Per fortuna Andy Greenberg è un giornalista di Wired e l’hack della Jeep era solo una dimostrazione (rischiosa, però) di due esperti di sicurezza. Man mano che tutto diventa più “smart”, a partire dalle automobili ma certamente non fermandoci a esse, aumentano anche le possibilità di attacco e quindi la necessità di protezione.

La privacy che non esiste: Ashley Madison

Ci sono motivazioni etiche che giustificano atti di hacking ostile, ma decidere chi si comporta male o bene in funzione solo della nostra visione personale è altra cosa. Prendiamo ad esempio la violazione del sito per incontri extra-coniugali Ashley Madison. Chi ha eseguito l’attacco ha rubato informazioni su 37 milioni di account del sito minacciando di pubblicarle per farlo chiudere e, quando ciò non è successo, li ha effettivamente resi pubblici. Però il sito non effettuava controlli su chi si registrava e quindi nell’interminabile lista di “traditori” c’erano nomi ed email di chi cercava una relazione ma anche di chi era stato registrato da altri, chi si era iscritto solo per curiosità, omonimi e via dicendo. E anche di chi si era cancellato magari da tempo. secwifi0FeatL’elenco è stato usato per attaccare online persone note a tanti o a pochi, estorcere loro denaro, persino minacciarle di morte nelle nazioni dove l’adulterio è un reato. Ironia della sorte, di avventure su Ashley Madison non ne sarebbero nate: è quasi certo che gli account femminili fossero tutti finti. Morale? La privacy vera online non esiste.

Nuove frontiere: il medicale

Il 2015 passerà alla storia come l’anno in cui è stato pubblicato uno studio su come prendere il controllo da remoto di un pacemaker e variare la frequenza cardiaca del “bersaglio” fino a ucciderlo. A rendere meno preoccupante lo scenario è il fatto che il bersaglio non era una persona vera ma un manichino che si usa nelle scuole di medicina per imparare alcune procedure di soccorso. I ricercatori-hacker della University of South Alabama che hanno portato avanti il test indicano che il loro lavoro dimostra come le nuove tecnologie sanitarie non siano adeguatamente protette. La Food and Drug Administration (FDA) statunitense non potrebbe essere più d’accordo, dato ad esempio che ad agosto ha bloccato la vendita e l’uso di alcuni sistemi automatici per la somministrazione di medicinali: avevano alcune vulnerabilità che avrebbero permesso di prenderne il controllo attraverso la rete dati ospedaliera a cui andavano connessi.

Occhio ai bambini: VTech

Forse la privacy dei bambini non è un tema cruciale come una volta, ma l’idea che perfetti sconosciuti possano sapere nome, sesso data di nascita e indirizzo di casa dei propri figli non mette di certo tranquilli i genitori. È successo proprio questo a oltre sei milioni di acquirenti dei tablet educativi per bambini VTech.sicurezza.nazionale L’azienda mantiene un archivio con parte delle interazioni che i piccoli utilizzatori hanno con il loro tablet e ovviamente conserva i dati personali di chi li acquista, ma queste informazioni sono state sottratte con un attacco da hacker ostili. Non troppo, per fortuna, dato che proprio questi hacker hanno spiegato che avrebbero potuto mettere online anche fotografie e chat fatte da parte dei bambini coinvolti.

Chi la fa l’aspetti per i professionisti: Hacking Team

Gli italiani dovrebbero essere ben consci del rischio del contrappasso, in fondo era una specialità di Dante. E invece. A luglio un attacco hacker decisamente ostile ha violato i segreti di Hacking Team, azienda di (ex) hacker italiani, esponendo tutti i loro affari. Che spesso erano stati eticamente discutibili come hanno dimostrato mail e altre forme di comunicazione messe in piazza in questo modo. Oltre a provare che l’azienda vendeva software di cyber-sorveglianza a governi anche non democratici e agenzie di spionaggio, gli hacker concorrenti hanno messo a disposizione di chiunque proprio parte di questo arsenale di tool software. E nelle settimane seguenti c’è stato chi li ha abbondantemente messi a frutto. Tutto perché in Hacking Team si usavano password banali come passwOrd1, passwOrd, HtpasswOrd.

Chi la fa l’aspetti per i comuni mortali: mSpy

Se gli hacker che fanno spionaggio per professione rischiano di finire male, non è meglio evitare di farlo in maniera amatoriale? Anche perché lo si fa con strumenti di cui non sappiamo nulla e su cui non abbiamo controllo. Come hanno scoperto gli incauti utenti di mSpy, software usato (secondo il produttore) da due milioni di persone per spiare gli smartphone di partner e familiari. money1mSpy permette di tracciare la posizione di uno smartphone, spiare app di messaging e registrare qualsiasi testo digitato con la tastiera. Peccato che la software house sia stata violata lo scorso maggio e qualcuno abbia messo online qualche centinaio di gigabyte tra email, messaggi di testo, dati di posizione, username, password, dati dei pagamenti online e altre informazioni raccolte da mSpy.

Soldi contanti: Tyupkin

C’è chi all’economia digitale preferisce ancora il solido contante. Basta ritirarlo dai bancomat se prima sei riuscito a prenderne il controllo con un malware, in fondo sono computer anche loro. Da poco Europol e le autorità rumene hanno arrestato i membri di un gruppo rumeno-moldavo che negli ultimi mesi del 2015 era riuscito a infettare diversi bancomat con il malware Tyupkin, una vecchia conoscenza per chi si occupa di sicurezza per le banche. Un bancomat infettato da Tyupkin si “mette in ascolto” e aspetta che sulla sua tastiera fisica sia digitato un codice specifico, ricevuto il quale mostra quanto denaro contiene nelle sue cassette e chiede quale di esse si vuole svuotare. Non sono state comunicate cifre ufficiali su quanto denaro sia stato rubato in questo modo, ma si suppone sia nell’ordine del milione di euro.

Regalo di Natale: BlackEnergy

Il 23 dicembre 2015 circa metà della regione ucraina dell’Ivano-Frankivsk è rimasta senza energia elettrica a causa di un attacco di hacker ostili che, secondo le autorità ucraine, proveniva dalla Russia. L’attacco ha avuto come oggetto i computer di almeno tre fornitori locali di energia ed è a quanto pare stato portato con metodi piuttosto semplici: email di spam indirizzate ai dipendenti dei fornitori energetici avevano come allegati documenti Office che contenevano le macro necessarie a installare il malware BlackEnergy. Questo ha raggiunto anche i PC che facevano da punto di contatto con le reti industriali di controllo SCADA ed è riuscito a disattivare alcune centrali di distribuzione dell’energia, lasciando al buio qualche centinaio di migliaia di abitazioni. Per la prima volta (documentata) un attacco hacker blocca in maniera mirata la rete elettrica pubblica.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore