32C3 potrebbe sembrare una scombinata mossa di “Battaglia navale”. Niente affatto. Nonostante il periodo si presti allo svago con tombole, partite a carte o giochi di società, quella sigla ha ben altro significato.

32 è il numero dell’edizione, C3 invece sta per Chaos Communication Congress. Parliamo di uno dei più straordinari eventi per chi è appassionato di sicurezza o per chi – semplicemente curioso – vuole sfidare la resistenza del proprio apparato coronarico: l’ultratrentennale appuntamento tedesco anche quest’anno non ha finito di stupire e, tra le tante performance dei relatori, una merita di essere proposta al pubblico più indiscriminato.

Teniamoci forte. Il tema sono le carte di credito e il problema rappresentato è la vulnerabilità di due protocolli tecnici (o regole di funzionamento) largamente usati nei sistemi di pagamento. In parole povere, sarebbe un gioco da ragazzi rubare i codici segreti che abilitano l’utilizzo della carta (i famosi Pin che tutti cerchiamo di serbare con la massima cautela), intercettare le transazioni (“spoofare” direbbero i più smanettoni), reindirizzare il denaro movimentato verso conti diversi da quelli cui sarebbero regolarmente destinati.

Le novità – tutt’altro che rassicuranti – riguardano i protocolli ZVT (il ZahlungsVerkehrsTerminal, utilizzato da almeno il 70% dei Pos tedeschi, che assicura il dialogo tra il lettore di carte e il registratore di cassa) e Poseidon (personalizzazione dello standard internazionale di pagamento ISO 8583 che consente il collegamento tra lettore di carte e rete bancaria).
Il “gioco” prende avvio con l’inserimento immateriale di un dispositivo fraudolento nella catena di comunicazione: la vecchia tecnica si chiama ARP Spoofing e scatta con la intercettazione in ambiente Address Resolution Protocol, ossia nel contesto in cui gli apparati elaborano gli “indirizzi” (o address) logici dei soggetti interessati alla transazione. Questo intrufolarsi consente di “origliare” elettronicamente lo scambio di dati, quasi ci si trovasse seduti in mezzo a due persone che sottovoce si confidano segreti. La metodologia, infatti, rientra nella macrocategoria degli attacchi “man-in-the-middle” ovvero dell’uomo piazzato in mezzo a due legittimi interlocutori.

Se la rete wireless adoperata dal negozio non è inespugnabile, i malintenzionati non faticano a inserirsi per le loro finalità fraudolente. Qualcuno si affretterà a dire che la connessione tra gli apparati in quel contesto comincia con l’identificazione fisica dei dispositivi attraverso il cosiddetto MAC Address (“message authentication codes” ovvero una sorta di “numero di telaio” se parlassimo di automobili) che – inizialmente inserito in una white list (o elenco esclusivo) – sbarra la strada a chi non è compreso nella tabella virtuale degli strumenti elettronici autorizzati a scambiarsi i dati. I “birbaccioni” che si sono esibiti ad Amburgo non sono del medesimo avviso e hanno dimostrato l’elevata probabilità di riuscita che possono riservare i tentativi di camuffamento dell’identificativo in questione.

A scardinare questi sistemi di sicurezza sono stati due vivaci ricercatori dei Security Research Labs che rispondono al nome di Karsten Nohl, esperto di crittografia e “appassionato” di dribbling di protezioni sulle carte di credito, e Fabian Bräunlein, studente di ingegneria informatica all’Hasso Plattner Institute in quel di Potsdam.
Mentre i due hanno saputo provare la facilità di recuperare i dati relativi al Pin digitato sulla tastierina e quelli letti dal Pos sulla banda magnetica della carta, qualcuno si domanderà quale possa essere la sorte delle informazioni custodite dal microchip presente sulle moderne carte di credito. La risposta è semplice. Non si parla di debolezza del supporto in plastica che abitualmente portiamo con noi nel portafogli, ma di fragilità del sistema cui affidiamo la carta. Poco importa, quindi, se la carta è blindata se poi la si affida ad un sistema che interagisce con canali di comunicazione che qualche pirata è in grado di arrembare…

Nohl e Bräunlein hanno fatto capire che un terminale Pos può essere aggredito anche a distanza, via Internet naturalmente. A farne le spese non è solo l’acquirente (che potrebbe trovare brutte sorprese nell’estratto conto della propria carta) ma anche il venditore (che rischia di veder dirottati i propri introiti verso indesiderate destinazioni che arricchiscono i furfanti di turno).

Il discorso è lungo e complesso. Questo piccolo contributo della serie “Dacci oggi il nostro panico quotidiano” serve solo a far riflettere. Torneremo a parlarne, magari affrontando anche comodità e rischi dei pagamenti “Pin-less”, ovvero quelli eseguiti senza digitare alcun codice di abilitazione all’uso della carta e di autorizzazione all’addebito.
Non c’è fretta. Il panettone e il calice di spumante ci attendono. Buon 2016.

@Umberto_Rapetto