Aprire gli armadietti di palestre e uffici è possibile, bastano pochi strumenti economici e qualche conoscenza di informatica. Scopri come proteggerti!
Si parla spesso di grandi fughe di dati, attacchi ransomware a reti idriche, siti governativi o aziende multinazionali. Ma si concede poca attenzione ai piccoli avvenimenti di tutti i giorni, che spesso ci toccano da vicino e hanno molto da insegnarci.
In questo caso, due ricercatori informatici hanno scoperto che accedendo a un armadietto con serratura digitale, è possibile trovare i PIN e altri dati degli altri armadietti presenti nel locale.
In questo post parliamo di armadietti hackerati, dispositivi intelligenti poco sicuri e cosa fare per proteggerli e ridurre i rischi. Buona lettura!
Armadietti del gym hackerati
Durante la Defcon 2024 – la conferenza mondiale di ricercatori informatici e hacker etici – i ricercatori di sicurezza Dennis Giese e un altro che si fa chiamare “braelynn” hanno dimostrato come sia possibile hackerare gli armadietti elettronici prodotti da aziende come Digilock e Schulte-Schlagbaum, due dei maggiori produttori a livello globale.
Utilizzando strumenti di hacking economici e facilmente reperibili (come circuiti Arduino e lettori RFID), i ricercatori sono riusciti a estrarre le chiavi di gestione digitali dai sistemi degli armadietti e clonarle per ottenere accesso a più armadietti all’interno dello stesso locale. Questo significa che, con un solo armadietto compromesso, un hacker potrebbe potenzialmente aprire tutti gli armadietti di una palestra o un ufficio.
Digilock ha rilasciato un comunicato ringraziando i due ricercatori e affermando di aver risolto la falla di sicurezza. Ma sottolineando anche che in 35 anni di attività non hanno mai ricevuto una segnalazione di compromissione delle serrature digitali che fabbricano. Schulte-Schlagbaum, invece, non ha commentato la scoperta.
La presenza di vulnerabilità nei sistemi informatici è normale, ed è un bene che i ricercatori le trovino. Così il produttore può risolverle prima che le scoprano anche gli hacker.
Come si fa ad hackerare un armadietto della palestra
Gli armadietti elettronici moderni utilizzano tastierini numerici o chiavi RFID per consentire agli utenti di bloccare e sbloccare la serratura. Tuttavia, i ricercatori hanno scoperto che i dati come i PIN degli utenti e le chiavi di gestione (impostate ad esempio dal manager della palestra), vengono memorizzati in modo non sicuro nella memoria del dispositivo, che può essere letta utilizzando strumenti di debugging a basso costo.
Una volta ottenuti questi dati, è possibile copiare la chiave di gestione e utilizzarla per aprire altri armadietti che appartengono allo stesso sistema. Ovvero alla stessa palestra, ufficio, scuola e così via.
La vulnerabilità risiede nel fatto che il firmware e la memoria di sola lettura (ROM) dei lucchetti digitali non sono protetti come si deve, ed è possibile estrarre i dati che abbiamo menzionato, che consentono poi di reimpostare altri lucchetti dello stesso sistema o rete.
Se a questo punto state pensando che era meglio la buona vecchia chiavetta da mettere in tasca, ora vedremo perché questo tipo di scoperte non deve farci perdere fiducia nelle innovazioni digitali, ma anzi dovrebbe aumentarla, perché le aziende sono supportate da un’ampia comunità di ricercatori ed esperti tecnici.
LEGGI ANCHE: Come fanno gli hacker a trovare le password
I dispositivi intelligenti sono sicuri?
In generale, sì. È poco probabile che un criminale informatico si interessi al contenuto del tuo armadietto della palestra o a quello della scuola di tua figlia. Lo stesso vale per tanti altri dispositivi smart, come gli interruttori intelligenti o gli elettrodomestici connessi alla rete Wi-Fi.
Semmai dovessero interessarsi a questi dispositivi, sarebbe per due motivi: o vogliono includerli in una bot net, ovvero una rete di dispositivi zombie controllati da remoto per organizzare attacchi DDoS, oppure stanno cercando di raccogliere dati personali su di te per accedere ai tuoi account online, usando tecniche che in gergo si chiamano ingegneria sociale.
In entrambi i casi, le misure di sicurezza dei dispositivi e delle app che li controllano sono spesso più che sufficienti, e quando un ricercatore trova un vulnerabilità non è un’indecenza, ma un fatto completamente normale, che anzi si inserisce in una relazione dinamica e virtuosa tra hacker buoni e aziende di informatica.
Il bug hunting e la ricerca di vulnerabilità serve alle aziende per battere sul tempo i cybercriminali, e serve anche ai ricercatori per farsi una reputazione nel settore e acquisire clienti. L’utente finale ci guadagna in entrambi i casi. Il vero problema risiede nel modo in cui usiamo i dispositivi intelligenti, e gli armadietti della palestra ne sono un buon esempio.
Il 95% degli incidenti informatici dipende da un errore umano e questo vale anche per gli armadietti con serrature elettroniche.
Come proteggere i nostri dati e dispositivi
Secondo un report del World Economic Forum del 2022 (link in inglese), il 95% degli incidenti informatici dipende da un errore umano. Se impariamo a usare in modo corretto i nostri dispositivi e programmi, è difficile che un hacker riesca ad accedere ai nostri account online o ad aprire la serratura digitale dell’armadietto del gym.
Ecco allora alcuni consigli di sicurezza pratici per migliorare la sicurezza dei tuoi dispositivi smart:
- Imposta aggiornamenti regolari o automatici. Le vulnerabilità prima o poi vengono scoperte e risolte. A meno che l’utente non installi mai le patch e gli aggiornamenti, come purtroppo succede spesso con Windows. Pensa che molti hacker continuano a sfruttare falle di sicurezza di Windows 7, Vista e addirittura XP! Aggiornando regolarmente il sistema operativo e le app dei tuoi dispositivi IoT, ti proteggi da tutte le vulnerabilità note.
- Usa PIN e password uniche. Se un hacker riuscisse ad aprire il tuo armadietto della palestra, il vero problema è che dopo proverebbe a usare lo stesso PIN in combinazione con altri dati. Come la carta di credito o le credenziali di accesso di account più importanti. Morale della favola: MAI riutilizzare le password e i PIN! Per questo, puoi aiutarti con un password manager, che memorizza password complesse e univoche al posto tuo, e ti consente anche di creare post-it digitali in cui salvare i tuoi PIN modo sicuro.
- Acquista dispositivi sicuri. Un altro consiglio di base, che può sembrare scontato ma non lo è affatto, è di scegliere con cura i dispositivi che acquisti. Soprattutto quando si parla di serrature smart e altre funzioni importanti. Se non trovi informazioni sufficienti sull’affidabilità del produttore o semplicemente non ti convince, forse è meglio cercare un’alternativa più affidabile.
- Controlla e informati. Controlla spesso i tuoi dispositivi per vedere se c’è qualcosa che non va o se presentano segni di manomissione. Informati regolarmente sulle nuove minacce e vulnerabilità.
Infine, il nostro consiglio più importante: usa un antivirus moderno e affidabile, come Panda Dome. Le suite di cybersicurezza di oggi sono molto di più di un antivirus, che già da solo risolve una grande percentuale dei problemi online.
Questi programmi ti offrono molte funzionalità per ottimizzare i tuoi dispositivi, configurarli in modo sicuro e controllarli facilmente e senza stress (che è la cosa più importante). Ad esempio, Panda Dome ti offre strumenti di controllo genitori. Un password manager e una funzione di formattazione della memoria del dispositivo da remoto, tra le altre cose.
In questo post abbiamo visto che anche un dispositivo apparentemente semplice e innocuo come la serratura digitale dell’armadietto della palestra può diventare il punto di inizio di un attacco informatico, ma che il vero problema rimane sempre il modo in cui usiamo i nostri dispositivi.
Abbiamo inoltre visto quanto sia importante che i ricercatori informatici continuino a cercare difetti e vulnerabilità, e che quando ne trovano uno non significa che il prodotto sia scadente, ma semplicemente che l’hanno scoperto prima che un hacker potesse trovarlo e approfittarne.
Per rimanere sempre al corrente sulle nuove minacce digitali e ricevere altri consigli di sicurezza, segui il nostro blog e facci sapere che cosa ne pensi nei commenti!
CONTINUA A LEGGERE: Cybersecurity all’università: guida completa per gli studenti
Buona navigazione e buona protezione dei tuoi dispositivi smart!