SICUREZZA DIGITALE

6 milioni di utenti Internet clienti Sky lasciati indifesi per un anno e mezzo

La brutta storia dei cugini inglesi di SKY WIFI deve far riflettere

Il gigante dell’universo delle pay-tv non sta vivendo un momento fortunato in Gran Bretagna dove è scoppiato il bubbone dei modem-router vulnerabili, quelli che hanno lasciato in brache di tela 6 milioni di abbonati al servizio di connettività.

Anche se tranquillizza sapere che gli apparati in questione sono stati sostituiti, non rasserena sapere che per diciotto mesi i clienti hanno potenzialmente (e forse non solo potenzialmente) avuto gli hacker nel computer piazzato nel salotto di casa o nello studio durante il lungo periodo di “arresti domiciliari” per l’emergenza pandemica.

Le reti domestiche di chi aveva scelto SKY sono diventate un facile bersaglio dei pirati informatici che erano liberi di affondare le loro zanne nei dispositivi utilizzati non solo per il proprio svago ma anche e soprattutto – visti i condizionamenti del Covid19 – per svolgere da remoto le proprie attività lavorative.

Il problema era stato rilevato da Pen Test partners e segnalato a SKY Broadband addirittura l’11 maggio 2020, ma il provider non ha ritenuto di dare attuazione alle sollecitazioni degli esperti di sicurezza a dispetto della motivata insistenza con cui il tema veniva costantemente riproposto. Il classico “ci pensiamo dopo… abbiamo altre urgenze…” ha così determinato una colpevole esposizione al rischio per una platea di utenti sterminata e – indirettamente – ha messo in pericolo anche tutte le aziende per le quali i clienti del servizio lavoravano.

Gli addetti ai lavori parlano di SKYflop ma in realtà il problema verificatosi lascia poco spazio ad umoristici nickname e impone un esame serio e severo dell’accaduto.

Se si dovesse parlare di un tallone d’Achille si farebbe in fretta ad accorgersi di esser dinanzi ad una sorta di millepiedi mitologico: le falle sarebbero tante, forse troppe per esser liquidate nelle poche righe di una notazione di cronaca. 

La brutta disavventura prende inizio dalla poca cautela dei clienti che non avevano modificato la password di amministratore predefinita sui loro router. E’ una vecchia storia, tutt’altro che una sorprendente novità. Se un dispositivo – dal piccolo congegno di casa al server della multinazionale – continua a garantire operatività alle parole chiave “di fabbrica”, i malfattori non faticano certo a ritrovare la documentazione tecnica che il produttore ha predisposto e a ritrovare in quelle pagine i codici di accesso stabiliti per default per consentire l’installazione.

Le serrature di un computer o di un aggeggio informatico non sono come quelle delle porte che si aprono con una sola chiave. Qui non si tratta di cambiare il “blocchetto” e mettere fuori gioco le vecchie chiavi. Più password possono garantire l’accesso a soggetti diversi e se non si disabilitano continuano a spalancare quel che dovrebbe rimanere blindato. Colpevoli gli utenti perché non hanno eliminato le parole chiave predefinite, innocenti gli utenti perché nessuno ha spiegato loro le conseguenze di una simile mancata azione.

Dopo questo piccolo dettaglio, facilmente comprensibile anche a chi non spezza i bit in due con una katana virtuale, è bene sapere che la vulnerabilità cruciale di SKY Broadband era quella del “rebinding DNS”, una tecnica che trasforma il browser (ossia il software di navigazione online) di un utente in una sorta di trampolino (gli smanettoni direbbero “proxy”) adoperata da terzi per attaccare le reti private.

In termini pratici un malintenzionato può ottenere il controllo remoto completo del dispositivo e far partire da lì una vasta gamma di azioni criminali. Il prosieguo è facile ad essere immaginato.

Se è vero che non ci sarebbero casi pratici di violazione che – basati su queste vulnerabilità – sarebbe finiti in pasto ai media, è altrettanto planare che sui giornali e in pasto al pubblico ci finiscono soltanto gli episodi più eclatanti. Anzi. Molto spesso gli incidenti vengono messi a tacere dalle grandi aziende vittime di incursioni perché oltre al danno non si vuole la beffa: la perdita di immagine, di credibilità, di affidabilità e di competitività non deve sommarsi a quella economico-finanziaria legata al ripristino (quando riesce) dei propri sistemi informatici.

Il router del quisque de populo può essere un portone completamente aperto e molte organizzazioni pubbliche e private sono finite KO per attacchi sferrati proprio entrando dal computer di un dipendente in smart working. Regione Lazio docet.

Back to top button