Team rosso o team blu? La battaglia per la sicurezza corre sul Wifi

pubblicato in: Eventi | 0

A Job Orienta 2019 i ragazzi del corso ITS Cyber Defense Specialist hanno creato un fake access point per “rubare” le credenziali dei visitatori. Tutto andava per il meglio quando il loro sistema è stato “bucato” da un programmatore ignoto. Ecco la cronaca di una sfida che dimostra l’importanza della sicurezza nelle reti.

Autori: Andrea Brisotto, Ali Hamza, Valerio Mazzucchi, Albayan Moukett

La sfida: realizzare un fake access point

La sfida lanciata dal prof. Sergio Dicandia aveva come obiettivo la realizzazione di un fake access point con un captive portal per “rubare” le credenziali delle vittime che accedevano al nostro punto di accesso wireless da presentare e mostrare ai visitatori della fiera Job&Orienta di Verona. Prima di entrare nel merito del nostro progetto definiamo brevemente cos’è un fake access point e un captive portal: il primo consiste nel creare una rete Wi-Fi con un nome uguale (o molto simile) ad una rete già esistente nella zona di attacco; il secondo invece è un metodo di registrazione ai fini di permettere l’accesso ad internet solo a specifiche persone e tenerne traccia (come richiesto dalla normativa per i “Free Hotspot WiFi”).

Tool Open source o soluzione ad hoc?

Per realizzare questo progetto abbiamo vagliato diverse soluzioni, per esempio utilizzando tool open source già disponibili in rete, oppure creando una soluzione ad-hoc. Il nostro gruppo ha preferito seguire l’ultima strada poiché, per via dei tempi stretti e vari test falliti con questi tool open source, ci era rimasta come ultima opzione, che alla fine si è reputata la più semplice e veloce nella realizzazione. Uno degli ostacoli maggiori nella realizzazione di un captive portal “da zero” è stato capire come i diversi vendor di sistemi operativi (Android, iOS e Windows) ne identificano la presenza.

L’utente crede di accedere… e cade nella trappola!

Dopo aver analizzato i singoli pacchetti con uno strumento apposito, abbiamo identificato le richieste effettuate da ogni singolo sistema operativo e realizzato un reindirizzamento di questi pacchetti verso le nostre pagine di registrazione. Come richiedevano le specifiche del progetto, abbiamo realizzato diverse pagine HTML che simulavano le pagine di login dei maggiori social network (Google, Facebook e LinkedIn), in modo che l’utente credesse di effettuare l’accesso ai veri siti in questione, ed aumentare la percentuale di successo di rubare le credenziali. Ovviamente per rimanere nel rispetto della legge e non incorrere in reati penali, le credenziali degli utenti vengono mascherate irreversibilmente prima di essere salvate su un database.

Il potere dell’algoritmo

Per rendere il progetto ancora più interessante ed utile, abbiamo realizzato un algoritmo che calcola un punteggio di complessità della password basato sui principali fattori di robustezza quali: lunghezza, lettere maiuscole/minuscole, numeri e caratteri speciali. I risultati dell’attività di cattura delle password erano mostrati in tempo reale su un monitor: indirizzi email e password (opportunamente mascherati) e barre colorate in proporzione alla robustezza di queste ultime.

Da red Team e Blue Team

Durante l’evento ci siamo trovati  a fronteggiare un interessante imprevisto: il nostro progetto ha subito un attacco alla pagina di registrazione. Un attaccante ha sfruttato una vulnerabilità e inserito del codice potenzialmente malevolo nelle nostre schermate, visualizzando un messaggio ironico (“Sei stato bucato!”, ndr.). Non ci siamo persi d’animo e ci siamo prontamente trasformati da Red Team (attacco) a Blue Team (difesa): identificata la falla del nostro software, l’abbiamo corretta in “tempo zero” e ripristinato la piena funzionalità della soluzione.

Questo ci ha fatto capire che, nonostante i tempi di realizzazione del progetto fossero stretti, è importante avere sempre in mente il paradigma “security by design, security by default” perchè, anche se questa falla non è stata utilizzata per scopi malevoli, ma didattici, è importante prestare attenzione a salvaguardare l’accesso ai dati a persone non autorizzate. L’attaccante si è poi rivelato essere un ex studente ITS di uno stand vicino: lo abbiamo conosciuto ed è nato uno scambio molto interessante di vedute ed esperienze, che ci ha insegnato molto.

Lezioni imparate

Lo scopo di questo progetto è sensibilizzare gli utenti a prestare attenzione quando si connettono ad Hotspot WiFi pubblici dove richiedono la registrazione o l’autenticazione tramite social network ma soprattutto quando si naviga su internet, bisogna accertarsi che le pagine che vengano mostrare siano attendibili e legittime. Per quanto ci riguarda, abbiamo avuto la conferma che non esiste la sicurezza al 100%: c’è sempre qualche vulnerabilità pronta per essere sfruttata da attaccanti; il nostro compito è di essere sempre vigili e pronti a respingere questi attacchi e proteggere i sistemi in modo da evitare che si ripetano.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *