Retroscena
Piccoli smartphone: questa specie in via di estinzione avrà il suo momento di Davide e Golia?
di Dominik Bärlocher
Tra gli hacker: dietro le quinte della Conferenza sulla sicurezza di Area41
18.6.2018
Traduzione: tradotto automaticamente
Video: Stephanie Tresch
L'X-Tra di Zurigo non è solo una destinazione per feste, ma anche il luogo dove si incontrano gli hacker. Diverse centinaia di hacker si sono riuniti in occasione della Conferenza sulla Sicurezza di Area41, scambiandosi conoscenze e bevendo mate da club. Un reportage da una scena generalmente poco mediatica.
"Non siamo così bravi con la tecnologia", dice Candid Wüest, ricercatore di sicurezza e co-organizzatore, all'inizio della conferenza hacker svizzera Area41 nel locale di Zurigo X-Tra. I circa 500 hacker di tutto il mondo presenti ridono. È l'inizio della più grande convention svizzera sulla sicurezza informatica. Per due giorni, presso l'Area41, hacker da tutto il mondo raccontano exploit, condividono storie e partecipano a workshop. Tra questi: La produttrice video Stephanie Tresch e io. Siamo gli unici giornalisti presenti quando l'intera fornitura di Club Mate tra Winterthur e Berna viene distrutta in due giorni. Siamo lì come aiutanti e come persone che si occupano di media, raccontando in esclusiva un evento che non cerca proprio i media. E su una cultura che in genere è poco attenta ai media.
Ci sono state date delle regole in anticipo:
- Non filmare volti che non sono sul palco
- Non connettersi a reti wireless
- Indossa il tuo badge
"Tratta il Wi-Fi della convention come una rete ostile", dice Candid. Perché anche la rete fornita dalla convention può nascondere dei pericoli. Una risata silenziosa e sorniona attraversa il pubblico. Cosa potrebbe mai andare storto?
Uno sguardo alla cultura degli hacker
Il lavoro svolto alla convention mostra come pensano gli hacker in Svizzera. Sono un gruppo intimo, più amici che alleati o addirittura concorrenti. Le conversazioni non si concentrano solo sui progetti - sempre senza nomi di aziende, ma con descrizioni astratte come "un istituto finanziario di medie dimensioni" - ma anche sulla curiosità e sulle famiglie.
La scena hacker in Svizzera è un gruppo intimo, più amico che alleato o addirittura concorrente.
La scena hacker in Svizzera sta crescendo. Un amministratore delegato di un'azienda porta con sé i suoi due figli il sabato, un suo dipendente indossa un marsupio dopo il suo discorso e porta con orgoglio suo figlio a fare una passeggiata. Di fronte agli anziani c'è una giovane generazione di hacker. Sono appena usciti dall'università, cambiano carriera e raramente sono donne. Ci sono circa dieci donne alla convention. Un numero maggiore rispetto alle ultime due convention, che si sono svolte sotto la bandiera di Area41.
Le conferenze sono il fulcro della convention.
Le conferenze sono la parte principale della conferenza. Un intervento è una sorta di presentazione su un argomento legato alla sicurezza informatica. Sia che si tratti di una vulnerabilità in una soluzione software attualmente diffusa o della cultura della scena.
Nel primo intervento, il keynote dell'evento, Costin Raiu ha parlato del problema dell'attribuzione. Sin da un discorso improvvisato di qualche anno fa, l'autore si è sempre chiesto se la domanda fosse "Chi c'è dietro a un hack e chi è dietro a un hack": "Nel corso dell'intervento, l'autore ha proposto l'idea di un database che confronta i frammenti di codice degli hack e scopre quale malware si trova dove e chi c'è dietro. Il problema: "Avere 10.000 macchine che lavorano in parallelo è molto costoso".
Costin non fornisce una risposta su come risolvere il problema delle numerose macchine. Probabilmente lo fa apposta, visto che non esiste ancora una soluzione intelligente per un funzionamento parallelo economico ed efficiente di 10.000 macchine. Ma il pubblico applaude. Dopotutto, lo scambio di idee è quasi più importante delle reciproche pance e dei vanti. Forse uno degli ascoltatori sarà ispirato e si occuperà del problema. Forse riuscirà a trovare una soluzione che non richieda 10.000 computer per calcolare in parallelo, ma solo 5.000 o addirittura 1.000. Anche se non è veramente pratica, è più pratica della soluzione attualmente proposta da Costin.
Questa idea attraversa il pubblico.
Questa idea attraversa tutti gli interventi. Le idee volano, spesso si tratta di battute, raramente di soluzioni e di un po' di ostentazione.
Laboratori
Se non sei in vena di parlare o se non sei interessato a nessuno degli argomenti delle due conferenze parallele, nelle sale adiacenti e sopra il palco sulla balconata vengono offerti dei workshop. Due workshop in particolare si stanno facendo conoscere all'Area41: Il workshop di lockpicking dell'azienda svizzera di apertura serrature Spass e il workshop di hacking dell'azienda di sicurezza informatica di Zurigo Scip.
Il workshop di Scip è rivolto ai neofiti. I ricercatori Stefan Friedli e Michael Schneider mostrano a curiosi e inesperti come ottenere il controllo di un dominio. I partecipanti portano con sé i propri computer portatili e si mettono all'opera mentre gli esperti guardano le spalle degli Scip. Tuttavia, questi esperti non sono solo veterani della scena, cioè di età compresa tra i 30 e i 35 anni. Infatti, seduto di fronte a un uomo di larghe vedute c'è Andrea Hauser. Dopo aver completato un apprendistato bancario, ha studiato informatica specializzandosi in sicurezza e si è rivelata un talento. Ora sta completando i suoi studi in estate, parallelamente al suo lavoro presso Scip. La donna minuta mostra agli hacker come funzionano le cose, smonta con loro Alexa di Amazon e analizza con loro configurazioni e strumenti.
Stefan e Michael tengono poi un discorso in cui impartiscono la saggezza di un decennio di test di penetrazione professionali ai nuovi arrivati nel campo.
"In una prova di penetrazione, la questione decisiva non è se un'azienda verrà violata, ma quando verrà violata", afferma Stefan.
Egli dichiara poi che la penetrazione di un'azienda non è un problema di sicurezza.
Dichiara quindi morto il tradizionale test di penetrazione. Sostiene un approccio specializzato: 'Impostati come un dipendente che vuole fare del male alla tua azienda. Chiunque può eseguire scansioni automatizzate, ma il "dipendente disonesto" e altri attacchi che combinano ingegneria sociale e attacchi tecnologici sono morti.
"Il motivo per cui effettuiamo prove su intere organizzazioni e non solo su singoli oggetti di un'organizzazione è che cerchiamo lo spazio negativo", afferma. "I test isolati sono poco utili. Il vero sporco si trova dove tutti gli oggetti si incontrano."
Il suo collega Michael Schneider racconta poi la sua esperienza pratica: come ha nascosto i dispositivi di ascolto in una sala riunioni, come ha passato mesi a parlare e ad ascoltare le pause caffè in alcune sale relax.
Come sei monitorato nella vita di tutti i giorni e come Area41 gioca con questo
Ci sono tre regole all'inizio di questo articolo. La prima mira a proteggere la privacy dei presenti. Le altre due sembrano un po' strane per gli estranei. Perché non dovresti collegarti a una WLAN aperta, gratuita e veloce? È del tutto normale, no?
Il badge dell'Area41 ha dei componenti integrati che permettono al ciondolo, che è modellato su un Cylon di Battlestar Galactica, di connettersi a una WLAN. Questo significa che il badge si identifica con la rete. Questo significa che la posizione del badge può essere determinata entro pochi centimetri. Ancora più precisamente che con il GPS.
Questo funziona anche senza una connessione permanente a una rete Wi-Fi, cioè senza scambio di dati. Questo perché il ping WiFi funziona solo se hai attivato l'antenna WiFi sul tuo dispositivo.
- Il router chiede: Ci sono dispositivi?
- Il tuo dispositivo risponde: Sì, sono uno smartphone con questo identificatore!
- Il router chiede: Vuoi connetterti?
- Il tuo dispositivo risponde: No, non proprio.
Ma l'identificativo del tuo dispositivo, l'indirizzo MAC, viene trasmesso e può essere registrato di conseguenza, insieme a tutta una serie di metadati. Un caso della città di Zurigo dimostra che ciò non è del tutto irrealistico: l'operatore di chioschi e caffè Valora ha spiato i clienti della stazione centrale di Zurigo utilizzando proprio questo sistema . Per farlo, hanno utilizzato hardware e software del produttoreMinodes.
All'Area41, questo è divertente e il monitoraggio è gestito dalla società di sicurezza informatica Fortinet. L'azienda registra solo l'ID del badge e la posizione. Nessun nome o altro dato viene memorizzato nei badge. Ma nella vita reale, al di fuori di X-Tra, questo è un problema serio. Per evitare che i sistemi Minodes e altri possano semplicemente attingere ai tuoi dati in modo non richiesto per scopi pubblicitari e per massimizzare i profitti, l'hacker Antoine Neuenschwander ha inventato il Valora WiFi Tracker Confuser.
Fonte: Defcon4131
Valora e Minodes sono gli unici a utilizzare questi metodi? Probabilmente no. Perché probabilmente è troppo allettante per le aziende e gli inserzionisti utilizzare le informazioni di persone credulone, sbadate e in realtà piuttosto simpatiche per massimizzare i loro profitti. Tuttavia, la legislazione svizzera non richiede ancora ai gestori di tali infrastrutture di divulgare esplicitamente queste informazioni.
"A proposito, io sono Miklagard"
Mentre Stefan, Michael, Antoine e altri tengono i loro discorsi, Stephanie e io ci sediamo all'ingresso. Il nostro compito è quello di controllare i badge e distribuire i badge quando un nuovo arrivato si presenta all'ingresso.
"Ciao Dominik", mi saluta un giovane uomo.
Mi conosce? Può darsi. Di tanto in tanto compaio nei video e sono coinvolto nel mondo della sicurezza informatica da un po' di tempo. Gli do il suo badge, gli spiego dove si trova - workshop al secondo piano, conferenze al piano terra e al primo piano, bevande gratuite e Club Mate in abbondanza - e non ci penso più.
"A proposito, io sono Miklagard," dice.
Parliamo, ridiamo e parliamo di lavoro, pensiamo ad alta voce e scartiamo le idee con la stessa rapidità con cui arrivano. Ci conosciamo solo grazie agli schermi, lui mi conosce grazie agli articoli, io lo conosco grazie ai commenti sui piccoli smartphone. Ci parliamo come vecchi amici, ridendo e chiacchierando. Questo è un effetto che Candid Wüest e il suo team stanno promuovendo in modo particolare.
"È così che nascono le idee migliori. E soprattutto: ci divertiamo a farlo."
Dietro le quinte
Non c'è solo Candid Wüest dietro le conferenze, i workshop e i drink, ma anche l'intero consiglio direttivo dell'associazione hacker svizzera Defcon4131, parte della rete globale Defcon. Adrian Wiesmann ha programmato e fatto lampeggiare i badge. Il venerdì vive con tre ore di sonno, un pisolino nel pomeriggio e caffeina. Désirée Sacher coordina i colloqui e i corridori, quindi lei e un team di aiutanti fanno tutto ciò che deve essere fatto.
Nel corso dei due giorni, Stephanie e io siamo impegnate a registrare le persone, a vendere magliette e a rispondere a ogni tipo di domanda. A volte conosciamo anche le risposte, osserva Stephanie a un certo punto.
Aiutiamo Fortinet a fare il check-in delle persone, a vendere magliette e a rispondere a tutti i tipi di domande.
Aiutiamo Fortinet a configurare i router di localizzazione, portiamo in giro le scale.
Negli anni precedenti era un po' caotico, ma quest'anno Candid ci ha assegnato un solo blocco. All'ingresso c'è una radio davanti a noi. Mentre negli anni precedenti era più o meno un continuo chiacchiericcio di "Abbiamo bisogno di un $dato in un $posto e ne abbiamo bisogno ora", seguito da un aiutante che abbandonava tutto e si precipitava verso l'emergenza, quest'anno è per lo più tranquillo. L'Area 41 è cresciuta. Come helper che partecipa per la terza volta all'Area41, ne sono felice. Perché se alcuni hacker possono trascorrere un bel weekend, allora sono felice di essere presente dietro le quinte. Sarò sicuramente presente anche la prossima volta, nel 2020.
Area41 out.
Giornalista. Autore. Hacker. Sono un contastorie e mi piace scovare segreti, tabù, limiti e documentare il mondo, scrivendo nero su bianco. Non perché sappia farlo, ma perché non so fare altro.
Informatica
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.
10 commenti
later