Forse è meglio se non leggete questa storia su una rete WiFi pubblica

Abbiamo accompagnato un hacker in un bar e nel giro di venti minuti sapeva già dove tutti gli altri clienti erano nati, che scuole avevano frequentato e le ultime cinque cose che avevano cercato su Google.

Di Maurits Martijn, del De Correspondent
Traduzione italiana della versione in inglese di Jona Meijers
Illustrazioni di Kristina Collantes


Nel suo zaino, Wouter Slotboom, 34 anni, porta con sé un piccolo dispositivo nero appena più grande di un pacchetto di sigarette e con un’antenna incorporata. Ho conosciuto Wouter per caso in uno dei bar nel centro di Amsterdam. È una giornata di sole e quasi tutti i tavoli sono occupati. Alcuni parlano, altri stanno lavorando sul portatile o giocano con lo smartphone.

Wouter prende il suo portatile dallo zaino, mette il dispositivo nero sul tavolo e lo nasconde sotto un menu. Passa una cameriera e le chiediamo due caffè e la password per la rete WiFi. Nel frattempo, Wouter accende portatile e dispositivo e lancia alcuni programmi: lo schermo inizia a riempirsi di righe di testo verde. Poco a poco diventa chiaro che il dispositivo di Wouter si connette ai portatili, agli smartphone e ai tablet degli altri clienti seduti al bar.

Sul suo schermo, iniziano ad apparire frasi come “iPhone Joris” e “Simone’s MacBook”. L’antenna del dispositivo sta intercettando i segnali inviati da computer portatili, smartphone e tablet intorno a noi.

Altro testo comincia ad apparire sullo schermo. Siamo in grado di vedere a quali reti WiFi sono stati collegati finora i dispositivi. A volte i nomi delle reti sono composte principalmente da numeri e lettere casuali, rendendo difficile farle risalire a una posizione definita, ma più spesso queste reti WiFi svelano il luogo a cui appartengono.

Così scopriamo che Joris era appena stato in un McDonald’s, probabilmente aveva trascorso le vacanze in Spagna (un sacco di nomi di reti in spagnolo), ed era stato a correre su go-kart (si era collegato a una rete appartenente a una nota pista di go-kart locale). Martin, un altro cliente del bar, era stato connesso alla rete dell’aeroporto di Heathrow e della compagnia aerea American Southwest. Ad Amsterdam probabilmente stava al White Tulip Hostel. Era anche stato in un coffee shop che si chiama The Bulldog.


Sessione 1:

Fai collegare tutti al tuo network falso

La cameriera ci porta il caffè e un foglietto con la password WiFi. Dopo che Slotboom si è collegato, è in grado di fornire una connessione internet a tutti i clienti del bar, reindirizzando tutto il traffico internet per farlo passare per il suo piccolo dispositivo.

Nella maggior parte dei casi, gli smartphone, i laptop e i tablet cercano automaticamente di connettersi a reti WiFi. Di solito preferiscono una rete con una connessione precedentemente stabilita. Se vi eravate collegati alla rete T-Mobile sul treno, per esempio, il dispositivo cercherà una rete T-Mobile nella zona.

Il dispositivo di Slotboom è in grado di registrare queste ricerche e di sostituirsi a quella rete WiFi affidabile senza che l’utente se ne accorga. Nella lista di reti disponibili sul mio iPhone mi appare improvvisamente il nome della rete di casa mia, oltre che di quella dell’ufficio, e un elenco di bar, lobby di hotel, treni e altri luoghi pubblici che ho visitato. Il mio smartphone si collega automaticamente a una di queste reti, che in realtà appartengono tutte al dispositivo nero.

Slotboom può anche trasmettere il nome di una rete fittizia, facendo credere agli utenti di essere collegati alla rete del luogo che stanno visitando. Per esempio, se un posto ha una rete WiFi che consiste di lettere e numeri a caso (Fritzbox xyz123), Slotboom è in grado di dare a quella rete un nome riconoscibile (Starbucks). Mi spiega che la gente di solito è molto più disposta a connettersi a reti con nomi che riconosce.

Vediamo sempre più persone che accedono alla nostra rete fittizia. Il canto della sirena del piccolo dispositivo nero sembra irresistibile. Già una ventina tra smartphone e laptop sono nostri. Se volesse, ora Slotboom potrebbe rovinare completamente la vita agli utenti connessi: può recuperare le loro password, rubare le loro identità e saccheggiare i loro conti in banca. Più tardi quel giorno mi mostra come farlo. Gli ho dato il permesso di hackerare il mio computer per darmi una dimostrazione di cosa è in grado di fare, anche se è una cosa che si può fare con chiunque abbia uno smartphone in cerca di una rete o un laptop collegato a una rete WiFi.

Con pochissime eccezioni, tutto può essere hackerato.

L’idea che le reti WiFi pubbliche non siano sicure non è esattamente una notizia, ma è un’idea che non ci si stanca mai di ripetere. Attualmente ci sono più di 1,43 miliardi di utenti di smartphone in tutto il mondo e più di 150 milioni di persone possiedono uno smartphone negli Stati Uniti. Più di 92 milioni di adulti americani possiedono un tablet e più di 155 milioni un laptop. Ogni anno cresce in tutto il mondo la domanda di laptop e tablet. Nel 2013, si stima che siano stati venduti 206 milioni di tablet e 180 milioni di laptop in tutto il mondo. Probabilmente chiunque abbia un dispositivo portatile è stato collegato a una rete WiFi pubblica almeno una volta, al bar, in treno o in hotel.

La buona notizia è che alcune reti sono protette meglio di altre; alcuni servizi di email e social media usano metodi di crittografia più sicuri di quelli della concorrenza. Ma basta passare una giornata in giro per la città con Wouter Slotboom per scoprire che quasi tutti i dispositivi e tutti gli utenti connessi a una rete WiFi possono essere hackerati. Un rapporto di Risk Based Security, una società che offre servizi di consulenza sui rischi alla sicurezza, ha calcolato che più di 822 milioni di dati sono stati esposti in tutto il mondo nel 2013, tra cui numeri di carte di credito, date di nascita, informazioni mediche, numeri di telefono, codici fiscali, indirizzi, nomi utente, email, nomi e password. Il 65 per cento di quei dati proveniva dagli Stati Uniti. Secondo le stime degli specialisti di sicurezza informatica di Kaspersky Lab, nel 2013 ben 37,3 milioni di utenti in tutto il mondo, tra cui 4,5 milioni di americani, sono stati vittime di tentativi di phishing (o pharming), ossia, i loro dati di pagamento sono stati rubati da computer, smartphone o utenti di siti web hackerati.

Un rapporto dopo l’altro mostra che la frode informatica con furto di identità digitale è un problema sempre più diffuso. Gli hacker e i cybercriminali oggi hanno molti trucchi diversi a loro disposizione, ma la diffusione di reti aperte e non protette gli rende il lavoro ancora più facile. Non a caso nei Paesi Bassi il Centro Nazionale per la Sicurezza informatica, una divisione del Ministero di Sicurezza e Giustizia, ha pubblicato la seguente raccomandazione: “È sconsigliato l’uso di reti WiFi aperte in luoghi pubblici. Se utilizzate queste reti, evitate le attività lavorative o di tipo finanziario”.

Slotboom si definisce un “hacker etico”, uno di quelli che lo fanno a fin di bene; è un appassionato di informatica che vuole svelare i potenziali pericoli di internet e della tecnologia stessa. Offre consulenza a privati e aziende su come proteggere meglio la propria identità e le proprie informazioni. Di solito lo fa, come oggi, dando una dimostrazione di quanto sia facile far danni. Perché, davvero, è un gioco da ragazzi: il dispositivo costa poco e il software per intercettare il traffico è facilissimo da usare e disponibile online per il download. “Ti basta avere 70 Euro, un quoziente intellettivo medio e un po’ di pazienza”, dice. Eviterò qui di aggiungere altri dettagli su alcuni degli aspetti più tecnici, come l’attrezzatura, il software e le app necessarie per poter hackerare i dati di altre persone.


Sessione 2:

Raccogliere dati come nomi, password e orientamento sessuale

Armati dello zaino di Slotboom, ci spostiamo in un bar noto per i bellissimi fiori disegnati sulla schiuma del cappuccino e particolarmente amato dai freelance per lavorarci con il laptop. Il bar oggi è affollato di gente tutta concentrata sui loro schermi.

Slotboom accende i suoi strumenti. Segue la stessa procedura già spiegata all’inizio e nel giro di pochi minuti abbiamo una ventina di utenti collegati alla nostra rete. Anche qui vediamo i loro indirizzi MAC e la cronologia degli accessi ad altre reti, in alcuni casi addirittura i nomi degli utenti. Su mia richiesta, ora facciamo un passo più in là.

Slotboom lancia un altro programma (anche quello facilmente reperibile per il download) che gli permette di estrarre ancora più informazioni dagli smartphone e dai laptop collegati. Ora possiamo vedere le specifiche dei modelli di telefoni cellulari (ad esempio, Samsung Galaxy S4), le impostazioni della lingua per i vari dispositivi usati e la versione di sistema operativo installata (ad esempio, iOS 7.0.5). Se un dispositivo ha un sistema operativo non aggiornato, per esempio, ci sono sempre dei “bug” noti, dei buchi nel sistema di sicurezza che si possono sfruttare facilmente. Con questo tipo di informazioni, hai a disposizione quello che ti serve per introdurti nel sistema operativo e prendere il controllo del dispositivo. Una prova sui clienti del bar svela che nessuno dei dispositivi connessi ha l’ultima versione del sistema operativo installata. Per tutti questi sistemi non aggiornati, si trova online un elenco dei bug noti.

Ora possiamo vedere l’effettivo traffico internet di chi ci sta intorno. Vediamo che qualcuno con un MacBook sta visitando il sito Nu.nl. Vediamo che molti dispositivi stanno inviando documenti usando WeTransfer, alcuni sono collegati a Dropbox e altri mostrano attività su Tumblr. Vediamo che qualcuno ha appena fatto il login su FourSquare. Viene mostrato anche il nome di questa persona e dopo averlo cercato su google lo riconosciamo: sta seduto appena a pochi metri da noi.

Le informazioni continuano ad arrivare, anche da visitatori che non stanno attivamente lavorando o navigando su internet. Molti programmi di email e molte app contattano di continuo i rispettivi server: un passo necessario per ricevere nuove email. Per alcuni dispositivi e programmi, siamo in grado di vedere che tipo di informazioni vengono inviate e a quale server.

E ora andiamo davvero sul personale. Vediamo che un visitatore ha installato sul suo smartphone Grindr, l’app di dating per gay. Vediamo anche il suo nome e il tipo di smartphone che sta usando (iPhone 5s). Ci fermiamo lì, ma sarebbe una sciocchezza scoprire a chi appartiene il telefono. Vediamo anche che il cellulare di qualcuno sta tentando di collegarsi a un server in Russia, inviando la password, che siamo in grado di intercettare.


Sessione 3:

Ottenere informazioni su occupazione, hobby e problemi di cuore

Molte app, programmi, siti web e tipi di software usano le tecnologie di crittografia. Servono a garantire che le informazioni inviate e ricevute da un dispositivo non siano accessibili a occhi non autorizzati. Ma una volta che un utente è collegato alla rete WiFi di Slotboom, queste misure di sicurezza possono essere aggirate piuttosto facilmente, con l’aiuto di un software di decrittazione.

Con nostra grande sorpresa, vediamo un’app che invia informazioni personali a un’azienda che vende pubblicità online. Tra le altre cose, vediamo i dati di localizzazione, le informazioni tecniche sul telefono e le informazioni sulla rete WiFi. Vediamo anche il nome (e cognome) di una donna che usa Delicious, il sito web di bookmarking sociale che consente agli utenti di condividere i loro siti web preferiti (i bookmark, appunto). In linea di principio, le pagine condivise dagli utenti di Delicious sono già disponibili al pubblico, eppure non possiamo fare a meno di sentirci come dei voyeur quando ci rendiamo conto di quante cose riusciamo a scoprire su questa donna sulla base di tali informazioni.

Prima cerchiamo su google il suo nome, che ci permette subito di stabilire che aspetto ha e di vedere dove sta seduta nel bar. Scopriamo che è nata in un altro Paese europeo e si è trasferita solo da poco qui in Olanda. Tramite Delicious scopriamo che sta visitando il sito di un corso di olandese online e ha segnato tra i suoi bookmark un sito web con informazioni sul corso di integrazione per stranieri in Olanda.

In meno di 20 minuti, ecco cosa abbiamo scoperto su questa donna che sta seduta a 3 metri da noi: dove è nata, dove ha studiato, che le interessa lo yoga, che ha segnato tra i preferiti un’offerta online di mantra per non russare nel sonno, che di recente è stata in Thailandia e in Laos e che mostra un notevole interesse per siti che offrono consigli su come salvare un rapporto di coppia in crisi.

Slotboom mi mostra alcuni altri trucchi da hacker. Usando un’app sul suo telefono, è in grado di cambiare parole specifiche su qualsiasi sito web. Per esempio, ogni volta che in una pagina viene menzionato il nome “Opstelten” (un politico olandese), può sostituirlo istantaneamente con “Dutroux” (un serial killer in prigione) di modo che gli utenti leggano quel nome al posto del primo. Abbiamo fatto la prova e funziona. Proviamo un altro trucco: sostituire le immagini su qualsiasi sito web caricato da un utente con le foto selezionate da Slotboom. Potrebbe sembrare solo un trucchetto divertente per fare uno scherzo a qualcuno, ma in realtà rende possibile cose come caricare sullo smartphone di un’altra persona immagini di pornografia minorile, il cui possesso è un reato penale.


Password intercettata

Ci spostiamo ancora in un altro bar. La mia ultima richiesta a Slotboom è di mostrarmi che cosa farebbe se volesse danneggiarmi sul serio. Mi chiede di visitare Live.com (il sito per il servizio email di Microsoft) e di inserire un nome utente e una password a caso. Pochi secondi dopo, le informazioni che ho appena digitato appaiono sul suo schermo. “Ora ho dati di login del tuo account di email”, dice Slotboom. “La prima cosa che farei è cambiare la password del tuo account e indicare ad altri servizi che usi che ho dimenticato la mia password. Molti usano lo stesso account email per tutti i servizi online. E le nuove password saranno inviate alla tua casella email, il che significa che avrò a disposizione anche quelle”. Facciamo lo stesso per Facebook: Slotboom è in grado di intercettare con una certa facilità il nome e la password che ho inserito.

Un altro trucco usato da Slotboom è deviare il mio traffico internet. Per esempio, ogni volta che tento di accedere alla pagina web della mia banca, ha istruito il suo programma a reindirizzarmi su una pagina di sua proprietà: un sito clonato che appare identico al sito ufficiale, ma è in realtà completamente controllato da Slotboom. Gli hacker chiamano questa procedura DNS spoofing. Le informazioni che ho inserito sul sito sono memorizzate sul server di proprietà di Slotboom. Nel giro di 20 minuti ha ottenuto tutti i miei dati di accesso, incluse le password per i miei account su Live.com, SNS Bank, Facebook, e DigiD.

Non mi collegherò mai più a una rete WiFi pubblica insicura senza prendere misure di sicurezza.

Questo articolo è stato pubblicato in origine sulla piattaforma olandese di giornalismo online De Correspondent. Tutti i nomi nell’articolo sono stati cambiati, tranne quello di Wouter Slotboom. Abbiamo gestito i dati intercettati con la massima cura e li abbiamo cancellati subito dopo il nostro ultimo incontro.


Matter su Twitter | Facebook | La nostra newsletter


     ➤➤ Segui Medium Italia anche su Twitter | Facebook | RSS