È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo
trovate presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.
Le puntate del Disinformatico sono ascoltabili anche tramite
feed RSS,
iTunes,
Google Podcasts
e
Spotify.
Buon ascolto, e se vi interessano il testo integrale e i link alle fonti di
questa puntata, sono qui sotto.
—
[CLIP: rumori-aula]
[sotto voce] Siamo nell’Illinois, a Cook County, in un’aula scolastica.
Sono le 10.55 del 30 aprile 2021. La voce che sentite è quella di un docente,
perplesso e confuso perché il videoproiettore dell’aula si è acceso
automaticamente e sta mostrando un conto alla rovescia di cinque minuti e un
messaggio:
“Si prega di restare in attesa per questo messaggio importante.” C’è
chi pensa che si tratti di un annuncio del presidente degli Stati Uniti o di
qualche altra autorità.
Nessuno sa ancora che in realtà oltre cinquecento tra monitor e teleschermi
dell’intero
distretto scolastico 214, composto
da sei scuole che gestiscono in tutto circa dodicimila studenti, sono ora
sotto il controllo di un gruppo di intrusi informatici e stanno mostrando lo
stesso conto alla rovescia. L’intrusione è stata preparata pazientemente nel
corso di vari anni, penetrando lentamente nei sistemi informatici della
scuola, svolgendo prove generali nelle aule di notte e prendendo il controllo
del software scolastico che sorveglia i computer degli studenti e registra
tutto quello che scrivono e visualizzano sui loro schermi. Oggi questa
incursione sta finalmente per arrivare all’obiettivo lungamente atteso.
Minh Duong.
È un attacco informatico decisamente illegale, eppure gli intrusi non verranno
puniti ma addirittura verranno elogiati. Uno di loro andrà alla stampa e al
rinomato convegno internazionale di sicurezza informatica
DEF CON per
presentare con orgoglio tutti i dettagli dell’incursione, dando il proprio
nome e cognome, ossia Minh Duong: è uno degli studenti del distretto
scolastico di Cook County. E lo scopo di tutto questo sofisticato attacco è
celebrare una tradizione informatica che ha radici lontane, perché uno dei
suoi elementi fondamentali risale al 1987.
Questa è la storia dell’attacco informatico noto come The Big Rick, una
delle più belle lezioni di sicurezza informatica degli ultimi anni.
Benvenuti a questa puntata del Disinformatico, il podcast della
Radiotelevisione Svizzera dedicato alle notizie e alle storie strane
dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
Prima di tutto, una precisazione fondamentale. Violare sistemi informatici
scolastici è un reato e può portare a danni materiali e a perdite di dati
estremamente gravi. La storia di Minh Duong non è un esempio da imitare, ma è
un’illustrazione molto efficace della fragilità di questi sistemi e della
grande attenzione che richiedono e non sempre ricevono. Le condizioni nelle
quali Minh Duong e i suoi complici hanno evitato un processo e una condanna
sono molto particolari e difficilmente ripetibili.
Chiarito questo, tutta la storia comincia alcuni anni prima, quando Minh Duong
frequenta il primo anno alla scuola superiore di Cook County. Insieme ad
alcuni amici, il ragazzo usa un computer situato in un armadietto della scuola
per effettuare un cosiddetto port scanning, una sorta di ricognizione
digitale dell’intera rete informatica del distretto scolastico. Il
responsabile informatico della scuola nota questa attività e intima a
Minh Duong e ai suoi amici di interromperla. Ma ormai è troppo tardi: la
ricognizione ha consegnato al gruppo di aspiranti intrusi la mappa di metà
della rete scolastica. I ragazzi scoprono così che sulla rete ci sono
stampanti, telefoni IP e persino telecamere di sorveglianza completamente
accessibili, senza alcuna password.
Minh Duong, a 14 anni, può quindi vedere quello che vedono tutte le telecamere
del complesso scolastico.
I responsabili tecnici della scuola vengono avvisati della situazione e
mettono una protezione informatica più ragionevole alle telecamere (le
mettono dietro delle ACL restrictions). Ma non pensano al sistema IPTV,
ossia all’impianto che diffonde in streaming i segnali video alle centinaia di
videoproiettori e televisori del distretto scolastico attraverso la sua rete
informatica. Questo impianto è gestito tramite dispositivi della ditta
Exterity, comandabili da remoto, sui quali gira Linux, e Minh Duong ha pieno
accesso a tutti questi dispositivi. Fa qualche esperimento e poi lascia
perdere.
—
Passa qualche anno, e all’inizio del 2021, quando Minh Duong ha 19 anni e la
sua scuola ritorna alle lezioni in presenza dopo un periodo di didattica a
distanza a causa del Covid, il ragazzo si rende conto che questo sarebbe un
buon momento per effettuare un attacco informatico tramite l’impianto video
davanti a tutti gli studenti.
Con tre amici, noti solo come Shapes, Jimmy e Green, Minh Duong (che si fa
chiamare WhiteHoodHacker) scopre che ha ancora quell’accesso
all’impianto video scolastico scoperto cinque anni prima. Per non lasciare
tracce dei preparativi dell’attacco, si procura una copia per docenti del
software Lanschool utilizzato dal
distretto scolastico, che consente di bloccare a distanza i computer degli
studenti, di osservarli e controllarli e di caricarvi ed eseguirvi programmi.
Lanschool è un software molto invadente, che addirittura registra tutto quello
che viene digitato dagli studenti sui computer scolastici. Ironicamente, è
proprio questa profonda invasività a consentire a questi giovani hacker di passare inosservati, installando i propri programmi e script di
attacco sui computer degli altri studenti.
E qui arriva la prima lezione di sicurezza informatica di questa vicenda:
quando si indebolisce la sicurezza di un computer per consentirne la
sorveglianza e il controllo a distanza da parte dei buoni, la si indebolisce
anche per i cattivi. I sistemi informatici non possono sapere se chi usa
questi indebolimenti è un buono o un cattivo, un gendarme o un ladro, un
sorvegliante scolastico o un hacker ostile. Per cui la cosa giusta da fare è
non consentire sorveglianze e controlli a distanza addirittura con permessi di
scrittura, anche per rispettare la privacy degli utenti.
—
La seconda lezione di sicurezza della storia di Minh Duong è che se si vuole
sperare di passarla liscia dopo un’intrusione informatica, bisogna assicurarsi
di non causare danni. Non si deve accedere a dati personali, non si devono
fare modifiche ai sistemi e l’effetto dell’attacco deve essere innocuo, anche
nella scelta del momento della sua esecuzione.
I quattro hacker scelgono infatti le 11 del mattino del 30 aprile, che è un
venerdì di fine sessione scolastica, per cui il loro attacco non interromperà
le lezioni ma avverrà appena prima che tutti gli studenti lascino le
rispettive aule. E soprattutto decidono che il loro attacco informatico sarà
spettacolare ma privo di conseguenze. Scelgono infatti di compiere un
cosiddetto
rickroll.
Per chi non conoscesse questa tradizione informatica, il
rickroll consiste nel creare una situazione di grande attesa e poi
presentare a sorpresa, al posto di quello che la vittima si aspettava, il
video della canzone del 1987 di Rick Astley Never Gonna Give You Up.
Per esempio, se qualcuno vi manda un link dicendo che porta a un video
piccante di qualche celebrità, ma quando vi cliccate sopra parte la canzone di
Rick Astley, siete stati rickrollati.
Questo scherzo è nato nel 2007 ed è ormai un classico della cultura online,
tanto che il
video della canzone
di Rick Astley su YouTube ha oltre un miliardo e duecento milioni di
visualizzazioni. Persino Rick Astley stesso è stato rickrollato in
alcune occasioni, e il fenomeno ha ridato slancio alla sua carriera musicale.
Tutto è pronto, insomma, per l’attacco al sistema video scolastico. Ma tre
giorni prima di sferrarlo, i quattro ragazzi scoprono gli indirizzi IP, ossia
le coordinate sulla rete, degli altoparlanti della scuola. Sì, anche il
sistema di annunci è informatizzato. E la password di uno degli amministratori
è banalissima: è quella usata come esempio nel manuale dell’impianto. Invece
quella del superutente che può gestire tutti gli avvisi acustici di tutte le
sedi scolastiche è proprio la parola password, come racconta Minh Duong
nel suo
resoconto pubblico
(le slide della
sua presentazione alla DEF
CON forniscono ulteriori dettagli). E così la canzone di Rick Astley viene
caricata su tutti gli altoparlanti delle scuole, pronta per il momento
fatidico.
Terza lezione di sicurezza informatica: mai usare password banali o
addirittura predefinite, ma soprattutto mai pensare che tanto una password
offre solo un accesso limitato e quindi non è un problema se è facile da
indovinare, perché quell’accesso limitato può essere ampliato fino a sfondare
tutte le difese e saltare da un sistema all’altro.
—
I preparativi sono meticolosissimi: durante una serie di prove notturne viene
verificato che il programma automatico installato su tutti i dispositivi di
controllo dei monitor e dei videoproiettori riprodurrà al momento opportuno un
file contenente il video di Rick Astley, forzerà l’uso della porta HDMI
impedendo agli utenti di cambiare sorgente del segnale, disabiliterà i
telecomandi a infrarossi e accenderà i videoproiettori mettendo il loro volume
al massimo. Terminata l’incursione, ripristinerà tutte le impostazioni
precedenti.
E così, alle 11 in punto del 30 aprile 2021, Minh Duong, Shapes, Jimmy e Green
diventano gli autori del più grande rickroll di massa mai documentato:
le note della canzone di Rick Astley risuonano in tutte le aule e nei
corridoi, il video appare sugli schermi, e gli studenti e i docenti che sono
rimasti per cinque minuti in attesa di quell’“annuncio importante” capiscono
di essere stati rickrollati.
[CLIP del rickroll]
L’incursione informatica viene presa bene. Una delle docenti si mette a
ballare; un altro insegnante fa addirittura i complimenti online agli intrusi,
che per il momento sono ignoti, anche se è abbastanza evidente che si tratti
di una burla studentesca.
😂😂😂 Very clever, seniors!
#D214RickRoll
pic.twitter.com/AJQgjH8E1A— Melissa Curtis (@melissacurtis26)
April 30, 2021
Ma si tratta comunque di una violazione di vari sistemi informatici, con
utilizzazione di password altrui. I quattro ragazzi evitano l’ira dei
dirigenti scolastici perché giocano subito la loro carta migliore: prima di
effettuare l’attacco hanno preparato un dettagliatissimo dossier di 26 pagine
e lo hanno inviato anonimamente agli amministratori subito dopo il successo
del loro rickroll. Nel rapporto hanno delineato i princìpi etici che
hanno seguito, hanno spiegato esattamente cosa hanno fatto e hanno fornito
consigli su come evitare che potesse accadere di nuovo. Hanno poi incontrato
via Zoom i responsabili informatici del distretto scolastico.
Ciliegina sulla torta, i ragazzi hanno scoperto e comunicato responsabilmente
all’azienda produttrice e alle autorità una
grave falla tecnica
(una privilege escalation to root) che avevano scoperto nei dispositivi
della Exterity usati dalla rete scolastica. Un portavoce del distretto
scolastico ha dichiarato che l’episodio sarebbe stato considerato come un
normale test di penetrazione, e anche i tecnici informatici hanno apprezzato
la condotta molto professionale e trasparente degli studenti-intrusi.
Oggi Minh Duong studia informatica alla prestigiosa University of Illinois a
Urbana-Champaign e presenta la storia della sua incursione alle conferenze di
sicurezza informatica, ma in un’intervista a Wired
sottolinea ripetutamente che sconsiglia a chiunque di fare quello che ha fatto
lui con i suoi amici, perché si tratta comunque di una serie di comportamenti
illegali e severamente punibili.
Una volta tanto, insomma, è andata bene; gli aggressori si sono dimostrati
responsabili e si sono limitati a far suonare
Never Gonna Give You Up a cinquecento e passa dispositivi, regalando a
tanti una risata, quando avrebbero potuto sabotare pesantemente gli impianti
scolastici e cancellare dati o accedere a informazioni private sensibili e
diffonderle. Ma sono stati anche fortunati, perché hanno trovato dei dirigenti
scolastici che hanno saputo apprezzare il loro approccio etico e goliardico e
hanno sistemato le falle segnalate invece di farsi prendere dall’imbarazzo e
reagire con un panico vendicativo, come accade invece troppo spesso.
Quindi se siete studenti e notate una falla informatica nella vostra scuola,
non fate come i quattro hacker dell’Illinois. Ma se siete responsabili
informatici o utenti amministratori di questi sistemi, controllate le vostre
configurazioni e assicuratevi almeno che non sia possibile usare la parola
password come password. Là fuori, oltre agli studenti burloni, ci sono
anche vandali e criminali informatici che non aspettano altro che un vostro
passo falso per chiedervi un riscatto invece di suonare Rick Astley.