27 novembre 2008

Pericolo Wi-FI e Bluetooth!

Hai un computer portatile? Lo usi spesso in viaggio? ATTENTO! Se usi la connessione Wi-Fi i tuoi dati sono in pericolo!
Ma anche il tuo cellulare, se dotato di Bluetooth, può costituire un pericolo.
Un tecnico ben preparato può costruire trappole infallibili, con le quali rubare non solo i tuoi dati di accesso al conto corrente, non solo i dati della tua carta di credito, ma anche, e soprattutto, le informazioni più segrete che può poi utilizzare per qualche ricatto.
Leggi qui sotto un interessante articolo, tratto da Punto Informatico, e capirai come funziona l'aggressione.
Ma, soprattutto, segui queste regole semplici:
  • Tieni sempre spento il wi-fi ed il bluetooth, quando non ti servono.
  • Non fidarti molto delle connessioni wi-fi pubbliche (aeroporti, stazioni, treni), soprattutto se sono gratis e se non sono conosciute.
  • Evita di accedere al tuo conto corrente o di fare acquisti via web, quando usi una connessione wi-fi pubblica.
  • Usa, ogni volta che puoi, la crittografia per lo scambio di email delicate che riguardano il lavoro, la vita privata, qualsiasi aspetto della tua vita che potrebbe metterti in imbarazzo se diventasse pubblico.
Ecco l'articolo

Se una sera d'inverno un viaggiatore

Roma - Nei giorni scorsi ho dovuto muovermi in treno tra Bologna e Firenze, portandomi appresso il laptop, e quello che ho visto mi ha lasciato attonito.
Perché?
Perché il nostro mondo ha un altro aspetto visto da un laptop dotato di interfacce Wi-Fi e/o Bluetooth e di una distribuzione come Backtrack o OSWA Assistant. Per farvi capire cosa intendo sono costretto a ricorrere ad un breve racconto.
Naturalmente, tutto ciò che state per leggere non è mai avvenuto. I nomi sono di fantasia.

Se una sera d'inverno un viaggiatore
Simone si strinse il bavero attorno al collo e lanciò un'occhiata a sud. L'Eurostar 9450 delle 18:30 era già visibile all'ingresso della stazione. Nel giro di un paio di minuti sarebbe stato a bordo, al caldo. Dopo aver corso per circa dieci ore da un cliente all'altro, avrebbe finalmente potuto svestirsi e sedersi. Non vedeva l'ora. L'arrivo a Milano era previsto per le 23:25 per cui Simone avrebbe avuto quasi cinque ore di tempo per lavorare.
In quel momento il suo unico pensiero era il Giappone. I suoi amici stavano per partire e lui non aveva ancora trovato i soldi per seguirli. 3.000 euro. Quella era la cifra necessaria. 3.000 euro che andavano ad aggiungersi ai 35.000 euro che aveva appena speso per la sua nuova auto. Se fosse stato un ragazzo serio, come lo voleva sua madre, avrebbe dovuto rinunciare. Ma Simone aveva sempre desiderato fare quell'esperienza. Le strade senza nome e senza numero, i cartelli con gli ideogrammi, la gente che parla solo giapponese. Nulla a che fare con le solite gite parascolastiche a Londra od a New York. Niente più campi giochi per adolescenti. Voleva mettersi alla prova. Voleva mettere sul passaporto anche quel timbro.

E Simone sapeva dove trovare i soldi. Doveva solo avere un po' di fortuna. Anzi: molta fortuna. Quello era l'ultimo viaggio di rientro prima delle ferie di Natale. La settimana successiva sarebbe rimasto a Milano ed il weekend successivo avrebbe dovuto partire per il Giappone. Non aveva altre occasioni. Doveva mettere nel cesto un pesce entro le prossime cinque ore. E doveva essere un pesce bello grosso.

Appena salito a bordo si sistemò rapidamente, collegò il laptop alla presa di corrente e lo accese. Non riuscì a trattenersi dal tamburellare con le dita sul tavolino mentre il computer caricava il sistema operativo. Appena ebbe a disposizione una shell, Simone lanciò Blitzkrieg, il suo programma di raccolta dati. Il treno non era ancora uscito dalla stazione e già Simone stava valutando i primi risultati. Da quella posizione, il suo laptop riusciva a vedere una dozzina di dispositivi radio Bluetooth. Alcuni dovevano essere telefoni, altri laptop.

Probabilmente, alcuni di essi si trovavano nelle carrozze adiacenti. In ogni caso, solo quattro o cinque di loro erano vulnerabili. Blitzkrieg, usando BlueDiving, BlueBugger ed altri programmi, era riuscito a penetrare in quattro di essi ed aveva già scaricato le loro rubriche. Lunghe liste di nomi e numeri apparentemente privi di senso che Blitzkrieg aveva scrupolosamente memorizzato in un apposito database MySQL.

Simone si assicurò che il download dei dati fosse terminato e lanciò Icebreaker, il suo programma di analisi. Icebreaker era rozzo, poco ottimizzato e dannatamente lento. Ci avrebbe messo un bel po' di tempo per confrontare tra loro i numeri appena raccolti e confrontare questi con quelli raccolti nei mesi precedenti. Poi Simone avrebbe dovuto analizzare il complesso grafo che ne risultava per capire chi, tra le centinaia di persone coinvolte in tutte quelle reti di relazioni sociali, poteva essere la persona giusta. Simone aveva già raccolto molte informazioni e sapeva di essere ad un passo dalla soluzione del suo puzzle. Gli serviva solo un po' di fortuna.

Mentre Icebreaker, lentamente ed instancabilmente, macinava i suoi confronti, Simone decise di dedicarsi ad altro. Inserì la chiave USB nella slot e si collegò ad Internet via UMTS. Subito dopo, lanciò Eskimo, il suo programma di accoglienza. Eskimo emise un segnale in broadcast e pubblicizzò a tutti gli altri passeggeri del treno l'esistenza di una fantomatica "Rete Wi-Fi Libera di Trenitalia".

Dieci minuti dopo, ben nove passeggeri avevano accolto l'invito e si erano collegati al suo Access Point virtuale per cogliere quella ghiotta occasione. Nessuno di loro aveva capito cosa stava realmente succedendo. Non c'era nessuna rete Wi-Fi di Trenitalia ad accesso gratuito. Era solo il laptop di Simone, attivo in modalità "point-to-point" che accettava le loro connessioni radio. Le accettava e le redirigeva sulla sua connessione UMTS, in modo che gli utenti potessero navigare e non si rendessero conto di nulla. Nel frattempo, tutto il traffico che questi utenti producevano, e che attraversava il laptop di Simone, veniva analizzato da un apposito programma. In meno di venti minuti, Simone aveva già raccolto un centinaio di Mb di posta elettronica, di documenti ed una decina di coppie username/password usate per accedere ai servizi più disparati, tra cui una coppia usata per accedere ad un conto corrente bancario online. Una persona meno accorta di Simone avrebbe usato quelle credenziali per procurarsi i soldi ma Simone non era così ingenuo. Non avrebbe mai commesso un furto del genere, correndo il rischio di scatenare una caccia al pirata informatico. No, i soldi non li voleva rubare. I soldi gli dovevano essere consegnati da una persona che agiva di sua iniziativa, ben consapevole di cosa stava facendo.

Tra il materiale raccolto c'erano anche molte foto di una ragazza. Una biondina dall'aspetto molto femminile, probabilmente sui ventidue anni. Era completamente nuda, china sul ventre di un uomo di cui si scorgevano solo le gambe. Incuriosito, Simone controllò l'identità del PC di provenienza e gli altri materiali che aveva ricevuto da esso. Da alcuni messaggi di posta elettronica e dai nominativi della rubrica riuscì a capire che si trattava del Professor Camillo Di Gregori, ordinario di Medicina Interna a Milano. La ragazza doveva essere quella certa Katia con cui l'anziano professore aveva scambiato messaggini nei giorni precedenti. Katia Romaldi. Dai dati reperibili sul sito studentesco dell'università, si deduceva che era di Pavia e che aveva 23 anni. Simone, scosse la testa. Quel professore poteva certamente essere il suo cliente ma ancora non era contento. Una storia di sesso può interessare i giornali ma al massimo può produrre un divorzio. Ci voleva qualcosa di meglio.

Simone tornò ad Icebreaker e finalmente trovò quello che cercava. Nei mesi precedenti aveva raccolto molti documenti e molti messaggi SMS che, nell'insieme, dipingevano un ritratto decisamente succoso. Doveva trattarsi di un alto funzionario della ASL di Milano che aveva accettato mazzette per coprire il solito squallido traffico di servizi fatturati ma mai forniti. Dai documenti si poteva dedurre che si trattava di un giro di affari da alcuni milioni di euro l'anno e che portava nelle tasche del funzionario delle grosse cifre, ovviamente esentasse. Il problema era che Simone non era ancora riuscito a capire chi fosse questa persona. Una mole di informazioni come quella era inutile senza un nome da contattare. Ma questa volta Simone aveva avuto fortuna.

Nella rubrica indirizzi di questa misteriosa persona c'erano alcune centinaia di nomi e di numeri di telefono. Quella sera, su quel treno, una di quelle persone era salita a bordo. Si trattava di un oscuro impiegato di nessuna importanza ma nelle sue tasche c'era uno dei cellulari elencati nella rubrica del misterioso funzionario. Il cellulare era dotato di interfaccia Bluetooth e Simone era riuscito a scaricarne la rubrica, gli SMS e gli altri dati. Icebreaker ci aveva messo venti minuti ad analizzare e confrontare i dati disponibili ma alla fine gli aveva dato il nome che cercava: Dottor Professor Roberto Pogo. Lo si poteva dedurre dal confronto delle due copie dello stesso messaggio SMS sui due telefoni. Mittente e destinatario mettevano in collegamento i due uomini senza alcun dubbio. Simone fece una visita al sito della ASL e riuscì a stabilire che il Professor Roberto Pogo era il responsabile del settore logistica e approvvigionamenti. Un anziano e potente manager. Proprio quello che gli serviva.

Simone sorrise tra sé. Prese uno dei documenti più compromettenti della sua raccolta, lo associò ad un breve messaggio e lo inviò al Professor Pogo passando attraverso una rete di mixmaster. Non sarebbero riusciti a risalire a lui neanche mettendo a soqquadro l'intera Internet. Qualche minuto dopo, un anziano signore in abito blu, seduto poche file più avanti, scattò in piedi e si guardò attorno. Simone fece finta di niente. Anche se il professore aveva capito cosa era successo, ormai era tardi. Quell'uomo gli avrebbe dato i soldi che gli servivano per il Giappone. E molti altri ancora. Non c'era più nulla che potesse fare.

Qualche amichevole consiglio
Se pensate che tutto questo sia fantascienza, vi consiglio di informarvi. Cominciate con la ricerca dei termini "bluetooth", "wi-fi" e "security" su Google. C'è molta documentazione anche in italiano.

Attivate la modalità nascosta dei vostri dispositivi Bluetooth (telefoni e laptop), oppure spegnete del tutto il servizio di connessione radio. Accendetelo solo quando ne avete bisogno.

Non collegatevi a nessuna rete Wi-Fi "pubblica" senza aver prima controllato che si tratti di un vero Access Point, non di un laptop che accetta connessioni in modo "point-to-point".

In generale, fate l'uso più ampio possibile di tecniche crittografiche per proteggere i vostri dati, i vostri messaggi ed i vostri canali di comunicazione.

Alessandro Bottoni

Tutti gli interventi di A.B. su Punto Informatico sono disponibili a questo indirizzo

Etichette: , ,