La prossima volta che vai fuori a pranzo lasciando il tuo computer incustodito, fai attenzione. C'è un nuovo tool che rende facilissimo per i malintenzionati accedere ai siti a tuo nome, e ottenere l'accesso al tuo router per lanciare ogni tipo di attacchi.Gli hacker e gli esperti di sicurezza hanno cercato a lungo modi di violare dei computer incustoditi. Ma il nuovo tool da 5 dollari chiamato PoisonTap, creato dal noto hacker e sviluppatore Samy Kamkar, può anche violare i computer protetti da password, se nel background c'è il browser aperto. Kamkar ha spiegato come funziona in un post pubblicato qualche giorno fa.
Pubblicità
E tutto ciò che l'hacker deve fare è inserirlo e aspettare."È tutto automatizzato. Lo inserisci, lo lasci lì per un minuto, poi lo tiri fuori e scappi via," ha detto Kamkar a Motherboard in una telefonata. "Non devi nemmeno sapere come funziona."PoisonTap è costruito su un microcomputer Raspberry Pi Zero. Una volta inserito in una porta USB, emula un dispositivo di rete e attacca tutte le connessioni in uscita fingendo di essere internet, ingannando il computer e portandolo a direzionargli tutto il traffico. Una volta che il device è posizionato in questo modo, può rubare i cookies della vittima, se provengono da siti che non usano il protocollo HTTPS, dice Kamkar.
"Chi attacca può entrare nel Raspberry Pi e ottenere i tuoi cookies. A quel punto può entrare in qualsiasi sito con i tuoi dati, senza bisogno di username e password " mi ha detto Kamkar.Gli esperti di sicurezza che hanno analizzato la ricerca di Kamkar per Motherboard concordavano nel fatto che si trattasse di un nuovo modo di attaccare, e di un modo di mettere in dubbio l'eccessiva fiducia di Apple e Windows nei confronti dei dispositivi di rete. Questa è la chiave degli attacchi di PoisonTap—una volta che una cosa simile a un dispositivo di rete viene inserita in un laptop, il computer innesca lo scambio di dati.Non è necessariamente un attacco di cui tutti dovremmo preoccuparci. Ma è un buon modo per capire che se un hacker ha accesso fisico al tuo computer, è finita.
Pubblicità
"Dobbiamo capire che forse avere un computer con la password non è abbastanza," ha detto Jayson E. Street, un esperto di questo tipo di attacchi, a Motherboard.Un altro esperto di sicurezza di nome Andrea Barisani, ha scritto a Motherboard in una mail che mentre "le best practice dovrebbero impedire a dispositivi del genere di avere effetto," la realtà è che "purtroppo l'attuale stato di internet è ancora piuttosto lontano dal raggiungere il proprio obiettivo, e progetti come PoisonTap […] sono molto efficaci nell'incrementare una volta per tutte la consapevolezza della scarsa web security."
"È tutto automatizzato. Lo inserisci, lo lasci lì per un minuto, poi lo tiri fuori e scappi via."
Craig Smith, il direttore della ricerca per la sicurezza dei trasporti alla Rapid7, ha detto che con PoisonTap "Samy ha messo insieme un bel po' di piccoli attacchi su un Raspberry Pi da 5 dollari per creare una sinfonia da deviare in un gran finale."Non tutte le speranze sono perdute. Per impedire a qualcuno di violare i tuoi account con PoisonTap, la soluzione migliore è di "tappare le tue porte USB con del cemento," dice Kankar ridendo.Scherzi a parte, l'ulteriore soluzione è di spegnere il computer quando ti allontani, o almeno di chiudere il browser, perché PoisonTap ne ha bisogno per lavorare. A livello di rete, invece, i siti che usano solo HTTPS sono immuni da PoisonTap, e questa è un'ulteriore buona ragione per crittare tutto internet.
