Stupiditá cibernetica: come esporre ai furti dozzine di appartamenti con serratura digitale

In questo pezzo mostro un esempio di come un utilizzo malaccorto delle tecnologie moderne possa produrre rischi notevoli, riguarda serrature digitali ed effrazioni.

Nel link che allego si racconta come un passante, letto marca e modello di un sistema di serrature elettroniche di uno stabile, abbia fatto una ricerca sul web scoprendo che era stato esposto il pannello di controllo del sistema di serrature e che le password di accesso di default, quelle scritte in fabbrica, non erano state cambiate.

Risultato: con lo smartphone é stato possibile entrare nel sistema e azionare le serrature di dozzine di appartamenti e financo leggere la cronologia degli ingressi e uscite degli inquilini, con tanto di nome e cognome.

Un grazie a Cesare Gallotti, che ha segnalato il fatto nella sua newsletter.

Stralcio della traduzione

### Premesse

Qualche mese fa stavo andando a prendere il SeaBus quando sono passato davanti a un edificio residenziale con un pannello di controllo accessi dall’aspetto interessante. Ho annotato il marchio “MESH by Viscount” e ho preso nota di esaminarlo quando ne avessi avuto la possibilità. Alla fine ho perso il traghetto (le partenze ogni 30 minuti la domenica sono terribili), quindi ho deciso di vedere se riuscivo a trovare qualcosa di promettente sul mio telefono mentre aspettavo alla stazione di Waterfront la prossima imbarcazione.

### Parte 0: Ricognizione

Cercando su Google il nome del sistema si apre una pagina di vendita che pubblicizza la “capacità TCP/IP per programmare e mantenere il sistema da remoto”. Sembra promettente, quindi proviamo a trovare un manuale.

“mesh by viscount” filetype:pdf ci fornisce una guida all’installazione. La pagina 4 spiega come accedere all’interfaccia utente web del sistema:

Credenziali predefinite che “dovrebbero” essere cambiate, senza alcun requisito o spiegazione su come farlo. Sicuramente nessun amministratore di edificio lascia mai le impostazioni predefinite, giusto? E anche se lo facessero, sicuramente non avrebbero motivo di esporre questa cosa a Internet, giusto?

Lo screenshot del manuale ci dice che il titolo della pagina di accesso all’interfaccia utente web è “FREEDOM Administration Login”, che ci dà qualcosa da cercare.

Oh no….

### Parte 1: PII a volontà

Esporre il pannello a Internet è stupido, ma fortunatamente nessuno di questi sistemi era accessibile usando il def… sto scherzando. Il *primissimo risultato* mi fa entrare felicemente con il login freedom:viscount. La prima cosa interessante qui è la sezione Utenti:

Questo mappa i nomi completi dei residenti ai numeri dei loro appartamenti. L’indirizzo dell’edificio viene utilizzato anche come titolo del sito. Già non è fantastico, ma è peggio in combinazione con la sezione Eventi:

Questo è un registro pluriennale di ogni volta che un fob associato a un determinato numero di appartamento ha avuto accesso a un ingresso o a un ascensore. Quindi ora possiamo facilmente determinare che, ad esempio, Jon Snow dell’Unità 999, 123 Bear St Vancouver BC torna a casa ogni giorno alle 18:00. […]