Violare la rete di una compagnia telefonica è “davvero facile: talmente facile che potrebbe farlo persino un uomo delle caverne”. Robert Moore (nella foto in basso), 23enne dello stato di Washington, lo dice ridendo: è stato condannato a due anni di prigione e ad una multa di 100mila euro per aver creato un semplice tool, che in pochi mesi ha tuttavia fruttato la bellezza di un milione di dollari attraverso la vendita di servizi VoIP rubati.
Moore spiega a InformationWeek che il suo lavoro era reso semplice dall’estrema vulnerabilità delle reti delle aziende vittima. Almeno il 70 per cento degli apparati da lui esaminati soffriva di qualche falla , e nella maggior parte dei casi il problema risiedeva nella password, rimasta quella di default con cui questi dispositivi vengono venduti. Un problema che riguarderebbe l’85 per cento dei router secondo la stima di Moore: “Non credereste nemmeno al numero di apparecchi che hanno come password Cisco0 o admin “.
“Riuscivamo ad avere pieno accesso ai box Cisco – racconta – sui quali potevamo fare quello che ci pareva. Abbiamo anche preso di mira il sistema Mera, che in pratica trasforma qualunque computer in uno switch”. E una volta avuto accesso a quel computer, sempre sfruttando la password di default con cui il software viene venduto, ottenere informazioni sulla intera rete collegata era un gioco da ragazzi .
Un lavoro iniziato comprando online informazioni riservate sulle reti delle aziende : 600 euro per due gigabyte di dati su indirizzi IP e configurazioni, sfruttati poi per pianificare l’assalto sistematico con attacchi brute-force . Nel complesso una truffa ben pianificata, visto che, una volta “dentro”, Moore utilizzava le reti in sua balìa per mascherare il suo passaggio e confondere le acque. E dire che sarebbe stato facile catturarlo, almeno secondo lui: “Se solo avessero controllato i loro apparati, guardando semplicemente i log, si sarebbero accorti che eravamo collegati” spiega, aggiungendo che un semplice sistema di rilevamento di intrusi avrebbe potuto smascherarlo . Una circostanza verificatisi in non più di un paio di casi.
Almeno 15 le aziende coinvolte nella massiccia operazione di frode: di queste, una ha dovuto chiudere i battenti per i debiti contratti in seguito al crack dei suoi sistemi. La mente dell’operazione, Edwin Pena, aveva messo in piedi un “business” interessante: grazie alle competenze di Moore, pagato poco meno di 15mila euro per i suoi servizi , rivendeva ore di conversazione telefonica a prezzi scontatissimi. Talmente bassi da risultare una tentazione troppo forte per i clienti, che avrebbero acquistato oltre 10 milioni di minuti in traffico.
Mentre però, una volta scoperto, Pena è scappato col bottino facendo perdere le sue tracce, Moore ha ammesso la sua colpa e si prepara a scontare la condanna: dopo due anni in carcere, dovrà anche affrontare 3 anni di libertà vigilata senza computer. Un bel problema per uno come lui , abituato a procurarsi di che vivere smanettando sulla tastiera .
Luca Annunziata