Cinque attacchi informatici incredibilmente stupidi ma veri

Avete mai combinato un pasticcio informatico? Capita a tutti, non vi preoccupate. Consolatevi con questa serie di epic fail da parte di gente che in teoria dovrebbe saper gestire i dati digitali e invece s’è fatta fregare per inettitudine o maldestrezza.

Direttore CIA mette dati riservati su AOL

È di pochi giorni fa la notizia della presunta violazione della casella di mail del direttore della CIA John Brennan da parte di alcuni giovani informatici che su Twitter si fanno chiamare @_CWA_ e @phphax e che avrebbero prelevato da questa casella documenti riservati (contenenti nomi e altri dati di dipendenti dei servizi di sicurezza statunitensi, registri di telefonate con funzionari della Casa Bianca, il modulo di richiesta di verifica delle credenziali di sicurezza e altro ancora), pubblicandoli poi su Twitter e su Wikileaks.

Ma la vera notizia è che la casella di mail in questione non risiede sui server superprotetti della CIA: sta su AOL, un comune fornitore d’accesso Internet commerciale. Il direttore della CIA avrebbe insomma depositato documenti confidenziali presso un normale fornitore commerciale di accesso a Internet a basso prezzo.

Se confermato, sarebbe un gesto di stupidità monumentale in termini di sicurezza, che però sarebbe battuto dall’ingenuità delle misure di sicurezza di AOL. Gli intrusi avrebbero infatti ottenuto accesso alla casella di mail di Brennan usando dati pubblicamente reperibili per fingere di essere lui, contattare il servizio clienti di AOL e farsi inviare un ripristino della password, secondo la tecnica classica del social engineering, e descrivono tutti i dettagli della loro incursione.

Può sembrare poco credibile che il direttore della CIA commetta simili passi falsi, ma non è la prima volta che capita qualcosa del genere: nel 2013 furono violate, saccheggiate e pubblicate varie caselle di mail dei familiari dell’ex presidente degli Stati Uniti George H. W. Bush (nonché ex direttore della CIA). Indovinate dove erano custodite queste caselle? Sempre presso AOL.

La Banca d’Inghilterra spedisce piani segretissimi via mail

Un altro mirabile esempio di violazione della sicurezza informatica incredibilmente stupido arriva dal Regno Unito: in questo caso l’aggressore non ha dovuto fare nulla e anzi non c’è, perché il danno l’ha fatto tutto la vittima della fuga, ossia niente meno che la Banca d’Inghilterra.

A maggio 2015 il capo ufficio stampa della Banca, Jeremy Harrison, ha trasmesso via mail il Project Bookend, ossia i piani segretissimi d’emergenza per gestire un’eventuale uscita del Regno Unito dall’Unione Europea. Li ha trasmessi in chiaro, senza proteggerli neanche con una password o men che meno con un pizzico di crittografia. Non solo: li ha trasmessi al destinatario sbagliato. E fra tutti i destinatari possibili è riuscito a digitare l’indirizzo di mail di un redattore del giornale The Guardian, che ha prontamente reso nota la cosa.

Come è stato possibile un disastro simile? Merito del completamento automatico degli indirizzi. La soluzione adottata dalla Banca d’Inghilterra per evitare che imbarazzi del genere capitino di nuovo è altrettanto epica nella sua follia: invece di educare gli utenti a usare la crittografia o altri canali di trasmissione più sicuri per i documenti sensibili, ha fatto disabilitare il completamento automatico degli indirizzi di mail a tutti i dipendenti, col risultato che ora “tutti alla Banca d’Inghilterra devono faticosamente digitare ogni singolo carattere di ogni singolo indirizzo di mail che scrivono”.

Intrusione tramite…bollitore?

Restiamo nel Regno Unito: cosa ci può essere di più squisitamente inglese di un attacco informatico eseguito tramite i bollitori per il tè? Una marca di questi bollitori ha infatti messo in vendita iKettle, ossia un bollitore per l’acqua del tè che è comandabile a distanza tramite un’app per telefonini iOS o Android, in modo da far risparmiare al proprietario dei secondi preziosi quando si alza al mattino o quando rientra (lo so, lo so, problemi da primo mondo). Ma questo comando a distanza viene inviato via Wi-Fi ed è facilmente manipolabile per rivelare la password del Wi-Fi dell’utente.

“Se il bollitore non viene configurato,” spiegano gli esperti della società di sicurezza Pen Test Partners con dovizia di dettagli, “è banale per gli aggressori localizzare la casa e prendere il controllo del bollitore… mando due comandi e il bollitore mi rivela la password [del Wi-Fi] in chiaro.” La società ha anche creato una mappa londinese dei bollitori informaticamente vulnerabili, ma ha scelto di non divulgarla.

USA, dati personali 21 milioni di dipendenti governativi saccheggiati per un anno

Una delle più grandi violazioni di dati governativi della storia degli Stati Uniti è stata resa nota a giugno 2015. I dati personali di circa 21 milioni di dipendenti o ex dipendenti del governo americano (nomi, cognomi, date e luoghi di nascita, indirizzi, impronte digitali, stipendi, informazioni sui familiari, valutazioni psicologiche e altro) sono stati sottratti dagli archivi dell’Office of Personnel Management (OPM). Gli intrusi sono rimasti nel sistema informatico per almeno un anno.

Lo scopo del furto è probabilmente l’acquisizione di informazioni sui dipendenti governativi statunitensi da parte di una potenza straniera; queste informazioni possono essere sfruttate per ricattare i dipendenti oppure per identificare gli agenti governativi in incognito (avendo le loro impronte, anche se cambiano identità sono comunque tracciabili).

Anche qui gli aggressori sono entrati nei sistemi informatici usando, a quanto risulta dalle indagini, la tecnica del social engineering abbinandola alla totale mancanza di protezioni moderne, dovuta al fatto che alcuni dei sistemi hanno più di vent’anni e sono quasi impossibili da sostituire o aggiornare per dotarli di autenticazione a più fattori; oltretutto il governo statunitense rifiuta da anni di assegnare fondi significativi alla sicurezza informatica dell’OPM.

Audio porno inarrestabile dagli altoparlanti del grande magazzino

Per finire, un “attacco informatico” decisamente atipico: un centro commerciale Target vicino a San Jose, in California, è stato “attaccato” diffondendo l’audio esplicito di un video pornografico attraverso gli altoparlanti interni del grande magazzino. Mentre i dipendenti ridevano e riprendevano la scena con i telefonini, molti clienti sono scappati per l’imbarazzo e per non rispondere alle domande dei bambini che chiedevano di spiegare cos’erano i gemiti che riecheggiavano nelle corsie e sono proseguiti per almeno un quarto d’ora prima che qualcuno trovasse la maniera di zittirli.

Inizialmente era stato ipotizzato che qualche dipendente avesse deciso di guardare video a luci rosse sul computer del centro commerciale usato per la gestione degli altoparlanti, ma poi si è scoperto che l’attacco non è stato il solo del suo genere: analoghi fenomeni sono avvenuti almeno tre altre volte in in altri centri commerciali della stessa catena.

Alla fine è emersa una falla di sicurezza davvero demenziale: i centralini telefonici digitali dei negozi della catena Target hanno un numero interno che è chiamabile da fuori e diffonde la telefonata direttamente sugli altoparlanti senza poter essere escluso. È andata tutto sommato bene, perché gli intrusi avrebbero potuto approfittare del controllo totale che avevano per diffondere falsi allarmi e creare panico.

Come tutte le altre storie di violazione informatica raccontate in questa carrellata, anche questa è un buon promemoria del fatto che qualunque vulnerabilità, anche la più nascosta, prima o poi verrà trovata e sfruttata, ma in molti casi la vittima non ha preso neppure le misure di sicurezza minime di buon senso e soprattutto non ha pensato che quando si introduce una funzione nuova in un sistema informatico bisogna chiedersi sempre se per caso quella funzione possa essere abusata.