Un elenco contenente le informazioni di accesso di 515.000 dispositivi è stato trapelato online

Le notizie sulla sicurezza informatica tendono a essere dominate da focolai di ransomware che catturano il titolo e campagne paralizzanti di crittografia non solo perché sono tra i tipi più comuni di attacchi, ma anche perché creano grandi storie. C'è un altro tipo di crimine informatico, tuttavia, che può essere altrettanto distruttivo ma spesso viene lasciato fuori dall'attenzione dei media mainstream.

Gli attacchi Distributed Denial of Service (spesso abbreviati come DDoS) non sono particolarmente spettacolari e si potrebbe sostenere che rispetto al ransomware, il processo di recupero che le vittime di DDoS devono affrontare è molto più breve e molto meno costoso. Come dimostrato dall'attacco al provider DNS Dyn dell'ottobre 2016, tuttavia, DDoS può essere un'arma molto potente. Grazie a un elenco di credenziali di accesso trapelate la scorsa settimana, utilizzarlo ora potrebbe essere molto più semplice.

Un criminale informatico perde più di mezzo milione di combinazioni di nome utente e password

Il catalano Cimpanu di ZDNet ha riferito domenica che un criminale informatico senza nome ha usato "un popolare forum di hacking" per scaricare una massa enorme di dati di accesso. Distribuito su più file TXT, contiene gli indirizzi IP, i nomi utente e le password Telnet che possono consentire ai criminali informatici di assumere non meno di 515 mila endpoint connessi a Internet. La maggior parte di questi sono dispositivi IoT.

Telnet, come alcuni di voi ricorderanno, è stato utilizzato anche da Mirai, il malware che ha raccolto un vasto numero di gadget IoT in un'enorme botnet e lo ha utilizzato per lanciare alcuni dei più grandi attacchi DDoS della storia, incluso quello su Dyn. È un protocollo di comunicazione tristemente obsoleto e presenta alcune vulnerabilità di sicurezza che lo rendono inappropriato per l'uso in questi tempi. Tuttavia, i fornitori di IoT continuano a utilizzare Telnet e gli hacker non hanno bisogno di secondi inviti.

La persona che ha divulgato i 515 mila nomi utente e password ha detto a ZDNet di aver usato i dati di accesso per reclutare i dispositivi in una botnet, che ha poi affittato ad altri criminali informatici allo scopo di lanciare attacchi DDoS. Questo tipo di attività è piuttosto popolare nel cyber underground e alcuni criminali ne ricavano un bel soldo, mentre altri finiscono dietro le sbarre.

Tuttavia, la persona che ha fatto trapelare le 515 mila coppie di nome utente e password non lo ha fatto perché aveva paura di mettersi nei guai. Lo ha fatto perché aveva aggiornato la sua configurazione e non aveva più bisogno dei dati. Apparentemente, crede che la sua attività abbia successo perché ha detto a ZDNet che d'ora in poi il suo servizio DDoS per il noleggio si baserebbe su server ad alto rendimento affittati da fornitori di servizi cloud.

I dipartimenti di abuso di detti fornitori di servizi cloud potrebbero voler prestare maggiore attenzione a chi sta usando i propri server da ora in poi perché l'aggiornamento da dispositivi IoT a hardware seriamente potente comporterà attacchi DDoS molto più sostanziali. Nel frattempo, dobbiamo tornare alle credenziali trapelate e vedere che tipo di danno possono fare.

Quanto possono essere pericolosi i nomi utente e le password trapelati?

Come abbiamo già detto, l'elenco di IP, nomi utente e password è stato pubblicato su un forum di hacking, il che significa che gli aspiranti criminali informatici che intendono lanciare un attacco DDoS non hanno nemmeno bisogno di andare sul cosiddetto web oscuro o pagare alcun soldi per ottenere ciò di cui hanno bisogno. Le cose potrebbero non essere così semplici, però.

Dopo aver scoperto i dati, Catalin Cimpanu li ha scaricati, ma per motivi legali, ha deciso di non confermare la sua validità accedendo ai dispositivi ignari delle persone. Va detto, tuttavia, che almeno alcune delle credenziali e degli indirizzi IP potrebbero non essere più utilizzabili. Inoltre, Cimpanu ha condiviso le informazioni con i ricercatori della sicurezza che stanno scoprendo i proprietari di alcuni degli indirizzi IP e informandoli della perdita. In altre parole, è difficile dire quanto siano pericolosi i dati esposti. Quello che sappiamo per certo è come è finito dove si trova adesso.

La raccolta delle informazioni che avrebbero consentito la compromissione di oltre mezzo milione di dispositivi non ha richiesto alcun vero hacking. Ottenere gli IP è facile come eseguire una scansione attraverso un motore di ricerca specializzato e, come per i nomi utente e le password, ce ne sono due tipi. Alcune sono le credenziali predefinite con cui i dispositivi escono dagli schemi, mentre il resto sono nomi utente e password personalizzati ma facili da indovinare che i proprietari dei dispositivi hanno impostato.

Questo evidenzia il vero problema. Molte persone sostengono che la proliferazione di dispositivi IoT sta rendendo più facili gli attacchi DDoS, ma la verità è leggermente diversa. Il problema non sta nel crescente numero di gadget sulla nostra rete Wi-Fi. Sta nel fatto che non siamo disposti e/o incapaci di proteggerli correttamente.