Roma – “PBX Vulnerability Analysis, trova i buchi nel tuo PBX prima che lo faccia qualcun altro”. Questo il titolo di uno studio pubblicato dal “National Institute of Standards & Technology” americano in seguito all’appello dell’FBI alle imprese americane, un appello che riguarda un nuovo e sempre più diffuso metodo di attacco informatico.
I cybercop dell’ FBI da qualche giorno stanno alzando non poca polvere nel tentativo di svegliare le aziende statunitensi: un numero sempre maggiore di incidenti parla di cracker che riescono ad accedere ai sistemi telefonici e di voice mail delle imprese per lanciare attacchi informatici.
Le aziende spendono ogni anno milioni di dollari in sicurezza e l’utilizzo di strumenti avanzati per schermare incursioni e altre problematiche via internet è ormai ampiamente diffuso. Ma quando si va al telefono, alle nuove centraline avanzate, agli innovativi servizi telefonici, la guardia secondo l’FBI è abbassata. E questo costituisce un’ottima opportunità per quegli smanettoni che vogliano approfittarne.
Ad effettuare le prime allarmanti rilevazioni su questo genere di attività di cracking è tanto per cambiare il Dipartimento per la Homeland Security (DHS) , struttura di monitoraggio e sorveglianza delle infrastrutture di comunicazione americane voluta dall’amministrazione Bush che sta acquisendo una centralità sempre maggiore nel dispositivo di sicurezza di Washington.
Secondo il DHS, i cracker accedono ai sistemi telefonici privati, i PBX, e li utilizzano per chiamare service provider che possono trovarsi negli Stati Uniti ma anche in paesi al di quà dell’Atlantico. L’accesso ai provider va liscio, risulta effettuato dai sistemi telefonici delle imprese colpite, e consente ai cracker di effettuare da quella sede operazioni anonime, praticamente “sotto copertura”, tra l’altro gonfiando a dismisura le bollette telefoniche delle aziende.
Il DHS e l’FBI hanno avviato indagini specializzate in questo settore e a loro parere l’uso di questo phreaking di nuova generazione da parte dei cracker è in deciso aumento. Da qui l’allarme.
Il riferimento ai phreaker è inevitabile, vista la singolarissima storia degli “hacker del telefono”, quando fin dagli anni ’60 iniziarono a realizzare blue box e altri sistemi per ingannare e sfruttare abusivamente la rete telefonica. Pratiche che videro protagonisti membri del MIT come Stewart Nelson che scrisse un programma per generare tutti i toni degli apparecchi telefonici o veri e propri personaggi come Captain Crunch, capace con un fischietto trovato nell’omonima confezione di cereali di hackare il sistema telefonico di San Francisco.
Secondo il portavoce dell’FBI Bill Murray, sfruttare una rete telefonica aziendale per colpire in modo anonimo è “un’azione molto efficiente che costa alle imprese e alle compagnie telefoniche milioni di dollari. Questa gente provoca bollette telefoniche salattissime e non c’è praticamente modo di individuarli”.
Altri problemi sono legati al fatto che le reti telefoniche avanzate di cui dispongono molte attività industriali sono spesso collegate ai network dati delle imprese stesse, rendendole così maggiormente vulnerabili. Così i PBX possono essere sfruttati da abili cracker per accedere alle informazioni aziendali, per intercettare le comunicazioni telefoniche e altro ancora.
Il Washington Post ha intervistato sulla questione Kevin Mitnick. Il celebre hacker, oggi consulente sulla sicurezza, in almeno un caso ha infatti utilizzato il sistema telefonico di un’azienda, Novell in particolare, per accedere nei sistemi più riservati dell’azienda.
“Il fatto – ha dichiarato Mitnick – è che oggi le imprese focalizzano le proprie risorse nel proteggere i propri sistemi informativi e troppo spesso non si rendono conto di quanto possano essere rese vulnerabili dai propri sistemi telefonici”.
Secondo Murray la questione è grave al punto da rappresentare un rischio per la sicurezza nazionale. Un cracker potrebbe per esempio utilizzare un sistema telefonico compromesso per inviare decine di chiamate contemporanee ai numeri di emergenza, sovraccaricandoli e rendendoli inservibili.
Una versione “telefonica” degli attacchi di tipo denial-of-service ? “Un terrorista – ha affermato Murray – potrebbe aggredire con un attacco denial-of-service un sistema telefonico di emergenza locale mentre fa esplodere una bomba nelle vicinanze. Questo scenario è il nostro incubo peggiore”…