La qualità dei loro codici sarebbe anche ottimale, se solo corresse l’anno 1999 . Questa, in esterma sintesi, la lapidaria opinione di Barnaby Jack, a capo del team di ricerca di IOActive , azienda specializzata in sicurezza informatica. E quella di Jack è stata una pubblica dimostrazione che ha strappato amari applausi, nel corso dell’ultimo Black Hat in corso nel Nevada: a un certo punto, letteralmente le banconote hanno iniziato a piovere dagli apparecchi sulle prime file del pubblico.
Il ricercatore è così salito sul palco di Las Vegas per lanciare un monito che tutti i principali produttori di Automated Teller Machines (ATM, o Bancomat che dir si voglia) dovrebbero accogliere con la massima serietà. I loro dispositivi sarebbero particolarmente vulnerabili, permettendo ad ipotetici ladri di rubare non solo denaro contante, ma anche ottenere dati personali o addirittura la master password di un singolo dispositivo .
Quello illustrato da Jack non è certo uno scenario roseo per aziende del settore come Tranax e Triton , dal momento che per i manigoldi non sarebbe più necessario recarsi presso lo sportello o addirittura rubarlo nella sua interezza. Basterebbe un dispositivo USB – anche se da collegare alla macchina – o più semplicemente un meccanismo di gestione in remoto .
“Ho trovato vulnerabilità specifiche in vari ATM – ha spiegato Jack – e queste si sono presentate tra le macchine dell’industria tutta. In ogni ATM che ho analizzato ho trovato falle”. Colpa di un software implementato piuttosto simile, facilmente analizzabile per la creazione di exploit. Un software pensato, sempre secondo Jack, senza avere la minima consapevolezza di un bisogno di sicurezza online.
La dimostrazione del ricercatore si è dunque concentrata sul software proprietario di gestione del denaro – non sul sistema operativo che è generalmente Windows CE – minacciato da ben due tool appositamente creati. Il primo, soprannominato Dillinger , permetterebbe ad un ladro di selezionare in remoto alcuni ATM, mentre il secondo – Scrooge – permetterebbe la riscrittura della programmazione di sistema per ottenere il controllo totale dell’apparecchio .
Mauro Vecchio