Il furto di password in casa Yahoo e la violazione dei terminali VeriFone. Imparare dagli errori è una lezione difficile da mettere in pratica, tranne che per gli hacker acrobatici
Un vecchio Carosello recitava “tempi duri per i troppo buoni!” e chi era bambino – a quei tempi – si ricorda che la frase chiudeva lo spot dei biscotti Gran Turchese.
Allora, finita la carrellata di interventi pubblicitari, si andava a dormire. Adesso che i tempi sono duri un po’ per tutti, è davvero difficile prender sonno, bersagliati da pensieri e preoccupazioni.
E se l’ansia affligge i “troppo buoni” predestinati dallo slogan promozionale – che cosa dovrebbero dire quelli meno bravi o – ancor peggio – quelli che a questi ultimi si affidano? Ma soprattutto come si distinguono quelli troppo buoni o troppo bravi?
Veniamo ai fatti. Il mese di luglio è stato caratterizzato da almeno due eventi poco rassicuranti. Il primo riguarda uno dei giganti del Web, il secondo – invece – è quello di un affermato produttore di hardware per il pagamento elettronico.
La storia da “medaglia d’oro” su questo ridottissimo podio è il furto di password avvenuto in casa Yahoo, dove a subire la beffa è stato il colosso della Rete, ma a farne realmente le spese sono stati gli utenti dei diversi servizi telematici messi a disposizione dal sito. La notizia è circolata – ma senza clamore – quasi rientrasse nella normalità farsi scippare centinaia di migliaia di parole chiave: nessuno ha provato a immaginare la portata di una vicenda del genere, magari, cercando di equiparare la scomparsa delle password alla sparizione di chiavi della porta di casa. Chiunque avrebbe “squartato” il portiere dello stabile, la collaboratrice domestica o il familiare che si fosse reso responsabile di un fattaccio tanto esecrabile. Eppure, nella fattispecie nessuno ha strillato allo scandalo, quasi non si conoscesse l’importanza o la criticità di quella combinazione alfanumerica capace di aprire qualunque “serratura” digitale e di spalancare la porta, che preserva corrispondenza e dati personali.
Ma veniamo al secondo fatto importante del mese di luglio. Damigella d’onore la bestiale falla, che affligge centinaia di migliaia di terminali VeriFone, utilizzati in Europa per eseguire pagamenti con carte di credito.
Due esperti tedeschi hanno augurato una buona estate, dimostrando la vulnerabilità dei dispositivi in questione con una plateale prova di bravura: i due hanno potuto dare prova della loro abilità mostrando – sotto lo sguardo atterrito dei presenti – come il display, normalmente avvezzo a visualizzare dati contabili e transazioni, permetteva, invece, divertenti partite a “Pong”. Se gli spettatori di questa inattesa performance hanno applaudito gli acrobatici hacker, un po’ meno divertita o sportiva è stata la reazione dell’azienda interessata. La mancanza di spirito – forse – trova radice in un contratto appena stipulato (ma ora a rischio di rescissione) per una fornitura da 35 milioni di dollari che gli permetteva di monopolizzare il settore dei pagamenti a bordo dei taxi newyorkesi. L’evoluzione del POS in una sorta di Gameboy è dovuta alla bravura di Karsten Nohl e Thomas Roth dei Security Research Labs. Verrebbe da pensare al set di “Attenti a quei due”, ma in realtà c’è poco da ridere. Forse, si può abbozzare un sorriso al pensiero che – fortunatamente – gente così non lavora per il crimine o per il terrorismo.
Karsten Nohl, per chi ha poca memoria, è quello che ha “crackato” l’algoritmo A5/1 utilizzato sui cellulari GSM e che ha sviluppato il software “Catcher Catcher” in grado di rilevare se un telefono mobile è tracciato da qualche “IMSI catcher”. Stavolta la bravura sua e del socio non è stata la trasformazione del lettore di carte di credito in videogame, ma l’aver individuato la vulnerabilità di quegli apparati e la possibilità che qualcuno potesse approfittarne per clonare carte e rubare dati personali e codici segreti, in danno dei legittimi utilizzatori.
Se Yahoo ha minimizzato – cercando di rattoppare i propri sistemi informatici clamorosamente beffati – quelli di VeriFone – (invece di «ringraziare ‘a Maronna», come dicono a Napoli) hanno tentato di giustificarsi con affannosi comunicati stampa.
E’ terribile dover constatare che nessuno voglia mai accettare le lezioni della vita…
