Passa ai contenuti principali

Come entrare (fraudolentemente) in Facebook con il solo numero telefonico

I cellulari sono usati sempre più spesso come strumento per aumentare la sicurezza dei sistemi informatici.

Si usano comunemente per la cosiddetta two-factor authentication: l'utente inserisce una password, il sistema invia un SMS ad un numero telefonico associato alla password, l'utente trova nell'SMS un codice, valido solo per alcuni minuti, da inserire nel servizio come ulteriore conferma della propria identità ("something you know" = password più "something you have" = cellulare con un certo numero telefonico).

Tecniche di questo genere sono usate in molti servizi di carattere finanziario (ad esempio Postepay) o di carattere legale (verbalizzazione on-line degli esami nel nostro ateneo).

Come accade invariabilmente ogni volta che si sviluppa una nuova tecnologia, molti tendono a considerare quella tecnologia come sinonimo di sicurezza assoluta (basta leggere un pò di pubblicità o di documenti tecnici che risalgono ai primi anni di SSL e HTTPS per capire cosa intendo). Come accade invariabilmente ogni volta, non è vero. La nuova tecnologia ha solo alzato l'asticella che devono superare gli attaccanti: non l'ha portata ad una altezza insormontabile.

Per inciso, il fatto stesso che sia stata sviluppata la tecnologia N dimostra che la tecnologia N-1, anch'essa in passato considerata sinonimo di sicurezza assoluta, non era tale: se lo fosse stata allora nessuno avrebbe speso ingenti risorse per sviluppare e diffondere la tecnologia N...ma non divaghiamo.

I modi per aggirare gli one-time code su cellulare sono molteplici.

Uno consiste nell'installare un malware su PC e su smartphone che interagiscono automaticamente e di nascosto all'utente: il primo malware esegue l'operazione, il secondo malware intercetta l'SMS, estrae il codice, lo invia al malware sul PC e cancella l'SMS (accaduto già 4 anni fa, 30.000 utenti tra Germania, Italia, Spagna, Olanda per 36 milioni di euro su 30 banche diverse: http://www.corriere.it/tecnologia/12_dicembre_06/hacker-maxi-furto-da-conti-online-banche-europee_0e8cd008-3f82-11e2-823e-1add3ba819e8.shtml).

Un altro consiste nell'installare un malware sul PC che mostra all'utente una cosa ed in realtà ne fa un'altra (quindi quando l'utente crede di realizzare un certo bonifico, in realtà ne sta eseguendo un'altro: http://securityaffairs.co/wordpress/17538/cyber-crime/man-browser-attacks-scare-banking.html).

Nel corso degli ultimi mesi è stata dimostrata la fattibilità di attacchi molto più radicali e molto più dirompenti. Molto banalmente, sono state scoperte vulnerabilità in un certo protocollo di nome SS7 che viene utilizzato in tutte le reti telefoniche(sinceramente non ricordo se si tratti di vulnerabilità di protocollo o vulnerabilità software nelle implementazioni del protocollo; credo si tratti del primo caso). Grazie a queste vulnerabilità un attaccante può fare tante belle cose. Ad esempio, farsi inviare tutti gli SMS diretti verso il numero X. Le implicazioni e le possibili applicazioin sono facilmente immaginabili.

L'articolo indicato di seguito mostra un'applicazione banalissima. Se uno si dimentica la propria password Facebook, basta inserire il proprio numero telefonico in un form Facebook (numero che ovviamente deve essere già stato associato con quell'account) e Facebook invia un one-time code via SMS per effettuare il login. Sfruttando le vulnerabilità del protocollo telefonico, il cui nome è SS7, si intercetta l'SMS ed il gioco è fatto: basta conoscere il numero telefonico di una persona per prendere controllo dell'account Facebook di quella persona. L'articolo contiene un video di soli due minuti di cui consiglio la visione: non è nulla di particolare ma rende l'idea

http://www.forbes.com/sites/thomasbrewster/2016/06/15/hackers-steal-facebook-account-ss7/#555a83068fa7

Le implicazioni e possibili applicazioni sono, come dicevo, facilmente immaginabili.

Commenti

Popular Posts

"Ingegneria deve essere difficile"

Il ritaglio di giornale qui sotto ricorda uno degli eventi più non-trovo-un-aggettivo-appropriato del mio periodo di studente di Ingegneria a Pisa. Ricordo che una mattina iniziò a spargersi la voce "hanno murato la porta del dipartimento!".  Andammo subito a vedere ed arrivammo un pò prima dei giornalisti che scattarono questa foto. La porta era murata, intonacata, pitturata di bianco e sovrastata da una scritta "INGEGNERIA DEVE ESSERE DIFFICILE". Le "E" di "INGEGNERIA" erano scritte al contrario perché era una sorta di "marchio di fabbrica" della facoltà di Ingegneria di Pisa. L'aula più grande, quella in cui pressoché tutti gli studenti seguivano i corsi dei primi anni, aveva infatti alcuni bellissimi "affreschi scherzosi" che furono fatti nel corso delle proteste studentesche di qualche anno prima ed in cui la parola "Ingegneria" era appuntoi scritta in quel modo. Si era anche già sparsa la voce di cosa era

Il patch che non era un patch

Quanto segue è un patetico quanto inutile tentativo di distrarmi e non pensare alla pessima prestazione calcistica di ieri sera, decisamente non all'altezza dell'evento e dei nostri gloriosi colori. Nella lezione di "Computer Networks and Principles of Cybersecurity" di ieri, mi è stata posta la domanda " E' possibile che un patch introduca nuove vulnerabilità? ". La mia risposta è stata affermativa, ho evidenziato che un patch è un software, quindi può introdurre errori, vulnerabilità, può fare riemergere errori o vulnerabilità presenti e risolti in versioni precedenti, può correggere la specifica vulnerabilità presumibilmente risolta da quel patch solo in parte. Non è frequente, ma può accadere ed è quindi una possibilità da tenere presente. Uno dei numerosi motivi che rendono così complessa la gestione delle vulnerabilità è anche questo. Stamattina ho letto un esempio molto interessante di quanto abbiamo detto. Pochissime settimane fa Microsoft ha ril

Perché studiare Analisi Matematica???

Un mio caro amico mi ha scritto: ...sono con mia figlia che studia Analisi 1...A cosa serve, al giorno d'oggi, studiare Analisi (a parte sfoltire i ranghi degli aspiranti ingegneri)? Riporto la mia risposta di seguito, forse può "motivare" qualche altro studente. ... Per un ingegnere la matematica è fondamentale perché è un linguaggio ; ed è il linguaggio essenziale per trattare gli argomenti che dovrà affrontare come ingegnere; non sono importanti i contenuti specifici; è importante, anzi fondamentale, che riesca a capirli, ricostruirli etc. ad esempio, chi deve usare l'inglese, lo usa perché in un modo o nell'altro lo conosce; nessuno di noi ha usato esattamente le frasi o i dialoghi o le regole che ha incontrato negli esercizi di inglese o di tedesco; nella matematica è lo stesso; non sono importanti i limiti, le serie, i teoremi di cauchy o che so io; ma se uno non è in grado di capire quel linguaggio allora non sarà in grado di capire davvero quas

40 anni di Internet: Cosa non ha funzionato e perché

Leggo molti documenti tecnico-scientifici per lavoro e, in parte, per "piacere". Molti sono interessanti, alcuni molto interessanti. E' raro che trovi un documento che mi appare illuminante. Questo indicato sotto è uno dei pochi documenti in questa categoria. Sembra banale, in quanto è molto discorsivo e parla di molte cose note: IP, DNS, NAT.... In realtà è profondissimo. Una miniera di riflessioni profonde, sintetiche, focalizzate ed, appunto, illuminanti. A mio parere imperdibile per chiunque abbia un qualche interesse negli aspetti tecnici di Internet. Chi non ha la pazienza di leggerlo per intero, legga almeno gli ultimi due paragrafi. Failed Expectations (l'autore, Geoff Houston , fa parte della Internet Hall of Fame )

ChatGPT: supererebbe il mio esame di Reti di Calcolatori?

Molto probabilmente chi ha a che fare con i corsi di laurea scientifici e tecnologici, come me, ha preso atto della notizia che ChatGPT ha superato esami universitari in giurisprudenza ed economia con un pò, diciamo così, di sufficienza. Pensando "da noi non potrebbe mai succedere; figuriamoci". E' quello che ho pensato io. Poi però ho fatto a ChatGPT qualche domanda di Reti di Calcolatori. Ho quasi cambiato idea. "Quasi" perché nello scritto di Reti di Calcolatori faccio sempre esercizi. Pur non avendoli sottoposti a ChatGPT sono certo che questi esercizi non li sa risolvere. Ma alle "domande tipiche da orale" ha fornito risposte che mi hanno davvero stupefatto. Riporto qui sotto solo un esempio di "dialogo", relativo a validazione di firma digitale e certificati auto-firmati. Risposte sostanzialmente corrette e pertinenti, molto più sintetiche e focalizzate di quelle che ricevo normalmente. E più rapide. Alla fine ha riconosciuto di esser