Hacker fai-da-te: lo spionaggio su internet è a prezzo di saldo

0
265
Questo post è stato pubblicato da this site

thumb-1920-902435Da Amazon Rekognition, lo strumento di riconoscimento facciale che il colosso di Seattle sta vendendo alle polizie di tutto il mondo, fino all’utilizzo dei dati personali su Facebook per scoprire i nostri gusti, inclinazioni politiche, preferenze religiose e altro ancora (come evidenziato dallo scandalo Cambridge Analytica). Per non parlare di strumenti sofisticati, in dotazione alle forze dell’ordine ma anche ai cybercriminali, come gli Imsi Catcher: macchine “acchiappa-sim” che consentono di localizzare e pedinare i telefonini presi di mira e di intercettare telefonate e sms (oltre che tutti i dati relativi agli spostamenti e non solo).

Nella nostra società digitale, il problema della sorveglianza di massa sta diventando sempre più pressante. E nel futuro la situazione è destinata a peggiorare. Se oggi sono i colossi della tecnologia a sviluppare strumenti che possono mettere a repentaglio la nostra privacy per venderli (o vendere i dati ottenuti) ad agenzie e forze dell’ordine, nei prossimi anni rischia di farsi strada la sorveglianza fai-da-te di comuni cittadini (non necessariamente dotati di particolari competenze tecnologiche) e ancor meno controllabile da parte delle istituzioni.

Spiare sfruttando il wifi
Vi sentireste al sicuro sapendo che chiunque può controllare i vostri movimenti all’interno dell’abitazione – o sapere se siete presenti in casa – utilizzando un semplice smartphone e sfruttando le onde del vostro wifi per vedere, letteralmente, attraverso i muri? Uno studio condotto da Yanzi Zhu, un ricercatore dell’Università della California, ha dimostrato come tutto questo sia già oggi possibile. Le onde del wifi avvolgono il nostro mondo: abitazioni, uffici e sempre di più anche le strade della città; ci muoviamo costantemente immersi in segnali radio di 2.4 e 5 gigahertz.

“Se gli umani fossero in grado di vedere il mondo come fa un wifi, si troverebbero di fronte un panorama bizzarro”, si legge sulla Mit Tech Review. “Le porte e i muri sarebbero praticamente trasparenti, e quasi ogni abitazione e ufficio sarebbe illuminato dall’interno da una lampadina particolarmente luminosa: il modem wi-fi”. I nostri spostamenti, però, riflettono e distorcono il segnale del wifi, fornendo informazioni relative alla nostra presenza e posizione.

Per il momento, è più facile a dirsi che a farsi. È necessario prima di tutto scoprire la posizione esatta del wifi (Zhu ha però progettato un’app apposita che si può installare su qualunque smartphone), dotarsi di uno sniffer (un programma in grado di catturare e analizzare i dati del wifi) ed essere in grado di leggere e interpretare i dati inviati dal modem. Ma questo è solo il primo passo: nulla impedisce di pensare che, nel giro di qualche tempo, possano venire progettati sistemi in grado di svolgere questo lavoro in autonomia, fornendo tutte le informazioni già tradotte e permettendo a chiunque (per esempio, a dei ladri) di sapere con precisione se ci troviamo in casa o se stiamo andando a dormire.

Come ci si difende da tutto questo? La protezione più efficace sembra essere quella di aggiungere rumore al segnale del nostro wifi, in modo da rendere incomprensibili i dati inviati. Ma si tratta di tecniche che, almeno per il momento, sono fuori dalla portata dei comuni cittadini.

Lo studio condotto dall’Università della California serve più che altro da monito, utile per capire come anche i dispositivi a cui prestiamo meno attenzione possano facilmente trasformarsi in strumenti di sorveglianza. Già oggi, invece, è proprio la tendenza a circondare le abitazioni di telecamere connesse a internet – o addirittura a inserire microcamere nell’appartamento per individuare eventuali ladri – che si può rivoltare contro chi spera di usare questi strumenti per aumentare la propria sicurezza.

Sorvegliare i sorveglianti
Il problema è noto da tempo: i dispositivi della internet of things hanno un livello di sicurezza disastroso. Come dimostrato dal caso Mirai (il botnet che, due anni fa, ha preso controllo di milioni di videocamere, baby monitor, termostati intelligenti e quant’altro per mandare ko internet in tutti gli Stati Uniti), questi dispositivi sono spesso completamente privi di password – e quindi accessibili a chiunque – oppure riportano le stesse credenziali inserite dal produttore (che possono essere le più semplici immaginabili, come “admin” e “password”).

Per sfruttare questi difetti di progettazione a scopi di sorveglianza non serve essere un hacker, anzi. Un nuovo strumento sviluppato da un ricercatore nel campo della sicurezza – che si fa chiamare con il soprannome di Wojciech – permette di individuare tutti gli oggetti connessi a internet inserendo semplicemente un indirizzo. “Alcune delle telecamere sono prive di autenticazione, quindi non c’è alcun bisogno di avere competenze da hacker per avervi accesso”, spiega in un post sul suo blog.

1*gvDyn4r4e5LxPo146neDZQ

Lo strumento si chiama Kamerka e sfrutta i dati relativi alle telecamere ottenuti da Shodan (un motore di ricerca della internet of things, lanciato per scopi professionali nel 2009), tra cui latitudine e longitudine. Li combina con alcuni software di mappatura e permette così di risalire ai dispositivi IoT attraverso l’indirizzo a cui siamo interessati. Ovviamente, non è possibile accedere a tutte le telecamere indicizzate. “I dispositivi sono segnalati in due colori: quelli rossi prevedono probabilmente qualche forma di autentificazione; mentre quelli verdi sono completamente aperti o protetti solo dal pannello di login”, spiega sempre Wojciech. Come già accennato, se i dati del login non sono mai stati cambiati, accedere e prenderne possesso è un gioco da ragazzi.

Kamerka – che richiede qualche limitata competenza tecnica per essere sfruttato – non è stato creato per spiare i vicini, ma per dimostrare quanto sia semplice introdursi nei dispositivi della internet of things. Resta il fatto che, in teoria, uno strumento di questo tipo rende possibile prendere possesso delle telecamere che, all’interno delle abitazioni, sono utilizzate per la sorveglianza; trasformandole in strumenti per spiare chi le ha installate.

Attacchi hacker per tutti
Non è solo la sorveglianza digitale che sta diventando sempre più alla portata di tutti. Anche per lanciare attacchi hacker non sono più necessarie competenze specifiche; basta possedere un account PayPal oppure qualche frazione di Bitcoin. I booter (chiamati anche stresser) sono software che nascono per testare la resistenza agli attacchi del proprio sito internet, ma hanno trovato una seconda (e molto più remunerativa) ragion d’essere come strumenti che consentono a chiunque di lanciare attacchi Ddos, in grado di mandare al tappeto qualunque servizio online sovraccaricandolo di richieste.

Spesso lo scopo di questi attacchi è semplicemente quello di mettere fuori gioco, almeno temporaneamente, dei servizi rivali. Per esempio un sito di ecommerce specializzato nei nostri stessi prodotti. Per fare tutto ciò, è sufficiente una ricerca su Google, individuare una di queste piattaforme, iscriversi e pagare. Dopodiché, non dovete fare altro che inserire l’indirizzo ip del servizio online che volete testare (o attaccare) e scegliere la potenza di fuoco.

Tra i più noti c’è Critical Boot, che offre il servizio a partire da 15 dollari al mese per avere uno stress time (il tempo di attacco) di 600 secondi, fino ad arrivare a 227 dollari al mese per per colpire 80 obiettivi al giorno per 5mila secondi. Nella pagina di benvenuto, Critical Boot si definisce “un servizio rivoluzionario per mettere alla prova il tuo network”. Tutto legale, quindi. Chi paga con criptomoneta anonima riceve però il 15% di sconto.

statistic_id471264_internet-of-things---number-of-connected-devices-worldwide-2015-2025

La situazione che si delineando è evidente: al di là delle ricerche più all’avanguardia (e che troveranno applicazione pratica solo più avanti nel tempo), già oggi dilettarsi in forme di sorveglianza fai-da-te o improvvisarsi hacker sta diventando alla portata di tutti. Considerando che, secondo tutte le analisi, nel giro di pochi anni saremo circondati da decine di miliardi di oggetti connessi a internet, mantenere la propria privacy o evitare di essere attaccati rischia di trasformarsi in una missione impossibile.

The post Hacker fai-da-te: lo spionaggio su internet è a prezzo di saldo appeared first on Wired.