FYI.

This story is over 5 years old.

Tecnologia

Questo ragazzo ha hackerato 150.000 stampanti per mostrare quanto fa schifo l'Internet of Things

“In realtà era solo una notte in cui ero particolarmente annoiato e cazzeggiavo.”
Adam Engelhart | Flickr | Lizenz: CC BY-SA 2.0

Sabato 4 febbraio 2017, uno "studente delle superiori scocciato" (come si è descritto lui) del Regno Unito era seduto di fronte al suo computer, e mentre ascoltava Bones e Yung Lean stava programmando un rootkit, un set di strumenti software che permette a un utente non autorizzato di controllare un sistema informatico. È finito a riflettere sulle recenti news sulle stampanti hackerate in giro per il mondo e ha deciso di cambiare piano — così si è messo a scrivere un piccolo programma in C.

Pubblicità

In poche ore, circa 150.000 stampanti connesse a internet in giro per il mondo hanno cominciato a sputare opere d'arte in ASCII e messaggi ai loro proprietari in cui vi era scritto che le loro macchine erano "parte di una ruspante botnet." L'hacker ha firmato la propria opera con lo pseudonimo di "Stackoverflowin."

Nel corso della serata e per tutta la domenica, un sacco di persone in giro per il web hanno riportato di aver trovato cose misteriose stampate. Molte stampanti colpite erano connesse al sistema POS di un ristorante, e i dipendenti si sono trovati piuttosto confusi nel vedere le proprie casse tirare fuori curiosi quadretti in ASCII sotto forma di scontrini.

L'ultimo anno è stato piuttosto importante per tutto ciò che riguarda l'hacking delle stampanti. Le stampanti connesse a internet di almeno tre università americane — Stanford, Vanderbilt e la University of California and Berkeley — sono state manomesse e sfruttate per stampare volantini antisemiti. Nella stessa settimana, i ricercatori della Ruhr-University Bochum in Germania hanno pubblicato un paper sulle vulnerabilità di sicurezza nelle stampanti, oltre che mettere su una wiki per catalogare gli exploit relativi. Qualche giorno dopo, Stackoverflowin ha fatto la sua mossa nel tentativo di attirare ulteriore attenzione sul fenomeno.

Incuriosito, ho contattato Stackoverflowin su Ricochet, una app per messaggistica anonima. Abbiamo parlato della sicurezza dell'Internet of Things, delle backdoor nei beni prodotti in Cina e la sua passione immortale per gli "skids", gli script kiddie, persone prive di particolari abilità che sfruttano script o programmi pre-impostati per attaccare i computer ma che mancano delle conoscenze necessarie per poter programmare qualcosa di proprio pugno.

Pubblicità

Motherboard: Hai già detto di aver svolto queste azioni per attirare l'attenzione sulle falle di sicurezza di questi sistemi — Come hai fatto, e come possono proteggersi gli utenti?Stackoverflowin: Ci sono riuscito inviando dei task alle stampanti sfruttando il protocollo LPD (porta 515), IPP (porta 631) e normali task di stampa sulla porta 9100. Oltre questo, ho sfruttato un RCE [remote code execution, esecuzione di codice da remoto, un exploit che permette agli hacker di far girare del codice su un computer bersaglio] che ha colpito il pannello di controllo web di Xerox. Potevo creare altri task e utilizzare il mio PostScript come mi pareva. Le persone devono fare in modo che le loro stampanti non siano visibili pubblicamente su internet a meno che non sia necessario, ad essere sincero. E se è necessario, dovrebbero mettere in whitelist gli IP o le subnet di IP [ovvero, autorizzare delle azioni da determinati indirizzi IP bloccando al tempo stesso tutti gli altri] o usare una VPN per accedere al network locale.

E tu hai automatizzato il processo di invio delle richieste, dico bene?
Sì, ho creato un piccolo programma in C per fare così.

bot

Alcuni dei messaggi che Stackoverflowin ha inviato alle stampanti in giro per il mondo.

Nelle copie stampate spiegavi alle persone che le loro stampanti erano parte di una botnet, anche se in realtà non lo erano. Perché farlo?È la prima cosa che mi è venuta in mente, e vista la recente attenzione attorno alla sicurezza dell'Internet of Things ho pensato potesse essere appropriato.

Pubblicità

Le stampate dicevano che tu "hai utilizzato delle complesse infrastrutture BTI (break the internet), operando sulla fronte di Putin?"
Nel caso non sapessi di cosa si sta parlando: BTI era un piccolo gruppo composto da alcuni miei amici. Si dicevano un sacco di cazzate sulle persone, in particolare sui ricercatori in ambito security, ed è per questo che ho pensato di scrivere una cazzata simile ma parlando di Putin. Era più una gag che altro. Le persone pensano subito "lol Rusisa [sic], w0w."

Perché proprio le stampanti? È stato il paper della Ruhr-University Bochum o qualcosa del genere a suscitare la tua attenzione? O sei solo interessato ai problemi di sicurezza dell'Internet of Things?
Sì, lo sono. Avevo già lavorato in passato sulle stampanti (qualche mese fa) e mi ci ero divertito, così quando sono tornato ad occuparmene sono finito a leggere qualche articolo a riguardo. È da inizio 2015 che provo a fare ordine in quel gran casino che è l'Internet of Things. Ho messo in piedi sistemi honeypot per riuscire a sondare qualunque bot IoT degno di nota.

Le cose si sono fatte davvero interessanti solo quando è saltato fuori [il malware IoT] Mirai e le persone hanno cominciato a rendersi conto del problema. Ciononostante, quando il gioco si è fatto duro tutte le personalità coinvolte erano già piuttosto ferrate sul tema, così tutto il dibattito attorno alla gestione delle minacce nell'IoT si è trasformato in un discorso prettamente corporate, e non me ne sono curato troppo. Per ciò che riguarda questo tipo di IoT, non sono sicuro si tratti del tipo di IoT a cui pensano immediatamente i consumatori quando devono pensare all'IoT. Si tratta di un problema più legato ai lettori DVD, ai router e alle stampanti se si parla di sicurezza IoT. I media stanno esagerando un po' a questo riguardo — Le persone pensano che i loro tostapane siano costantemente hackerati.

Pubblicità

È vero, pensano che qualcuno manometterà il loro frigo e manderà a male il latte.
C'è un ottimo potenziale per un bordello allucinante. La maggior parte dei dispositivi usati in questi attacchi sono venduti da un'azienda ma prodotti da un'altra — spesso da strani sviluppatori cinese, e non voglio essere assolutamente razzista. Il loro codice è allucinante e ci sono diverse backdoor in un numerosi dispositivi connessi a internet.

"Onestamente non pensavo che questa roba sarebbe diventata così grossa."

Parlami degli istanti in cui hai fatto partire l'hack. Sto cercando di immaginarmeli. È sabato e, insomma, bevi caffè annoiato alla scrivania e vuoi fare qualcosa?
Onestamente non pensavo che questa roba sarebbe diventata così grossa. Quando ho visto che 158.000 dispositivi stavano rispondendo al programma ci sono rimasto di sasso. Non pensavo nemmeno avrei ricevuto così tanta attenzione. Sì, era sabato ed ero seduto e ascoltavo Yung Lean mentre bevevo del caffè con due zollette di zucchero. Mi pare stessi lavorando a una sandbox per affinare le mie abilità di programmazione di kernel Linux — Ho pensato sarebbe stato interessante mentre giochicchiavo con lo user mode, ma poi mi sono annoiato. Quella notte stavo lavorando anche al mio kit LD_PRELOAD [un tipo di rootkit]. In realtà era una notte a caso ed ero annoiato, stavo cazzeggiando.

Hai firmato con il nome di Michael Jensch su alcune stampate, e il tuo account Twitter dice che sei un ricercatore tedesco 23enne. Ad altri però hai detto di essere uno studente delle superiori inglese.
Ah quello è un mio amico. Mi ha praticamente chiesto di farlo. E sì, sono uno studente delle superiori inglese. Uno studente scocciati che ha fottuto il suo futuro nell'informatica.

Non credo sinceramente, visto che nessuno sa chi tu sia.
No, parlo della vita reale. Non ho preso i voti che volevo. Mi sa continuerò a fare 'ste merdate per il resto della mia vita.

Cosa pensi ti abbia impedito di prendere i voti che volevi? Cosa pensi direbbero i tuoi insegnanti se sapessero cosa hai fatto nel weekend?
Penserebbero che sono ossessionato dalla programmazione. In quel periodo programmavo per 14 ore al giorno. Quindi sì, questa passione ha decisamente mandato in vacca i miei voti. Il problema è che non vengo assolutamente notato per le mie abilità. Tutte le persone che conosco che hanno la mia età e questo tipo di abilità o sono dei blackhat oppure davvero depressi. Non c'è pane per i nostri denti a questa età.

Quale sarebbe il tuo lavoro dei sogni?
Un giorno spero di lavorare per conto mio o per qualche tipo di startup. Probabilmente un system programmer per sistemi embedded nel cervello, o anche un consulente in ambito security, qualcosa che abbia a che fare con la security o con lo sviluppo software.

confused

Molti utenti confusi hanno cominciato a chiedere aiuto nei forum di supporto di HP.