Hacking tramite caselle vocali
I messaggi memorizzati contengono non di rado una serie di informazioni che può risultare molto preziosa per la concorrenza. Inoltre la “voice mail box” può facilmente rappresentare un'ottima base di partenza per chi mira a prede più ambiziose.
Buona educazione vuole che non si mettano i piedi sulla scrivania. Ma i talloni abbondano, nonostante l'aplomb di eleganti manager e compiti collaboratori.
Sui tavoli di lavoro non un tallone qualunque, ma quello di Achille.
E' la storia delle segreterie telefoniche o dei più sofisticati sistemi di casella vocale che ormai storicamente costituiscono un pilastro dell'architettura di comunicazione aziendale. E' la triste vicenda di una vulnerabilità banale, tanto banale da non esser spesso presa nemmeno in considerazione. O, per esser più precisi, a esser presa in considerazione solo da chi è animato da cattivi propositi e non invece da chi è chiamato a garantire la sicurezza aziendale.
La sfida tra malintenzionato e soluzione high tech di messaggistica vocale è disciplina sportiva poco nota, ma come tante altre competizioni – più aderenti queste allo spirito decoubertiniano – vanta un'ampia platea di appassionati. Se c'è chi parla sovente di warehouse o di wireless e per svago chiacchiera di calcio o tennis, stavolta noi – schierati nel ridotto manipolo dei fanatici dell'hockey su prato – spendiamo qualche parola sui rischi connessi a quegli utili quanto gracili strumenti che prendono “appunti” in nostra assenza.
Inutile sottolineare la diffusione e l'importanza del “voice messaging”: dopo la posta elettronica (che prepotentemente si è fatta largo anche negli anfratti di burocrazia tradizionalmente cartacea del contesto pubblico), è acclarato che la posta vocale costituisce la giugulare del sistema cardiovascolare dell'impresa o dell'ente istituzionale. E questo ruolo – arterioso o venoso che sia, poco importa – è fondamentale sia nei flussi informativi interni, sia in quelli da e per l'esterno della rispettiva organizzazione.
E' naturale, quindi, che il conquistare l'accesso fraudolento a certi sistemi – pur non avendo l'epicità dell'estrazione della spada dalla roccia – è senza dubbio traguardo appetibile per i malintenzionati. Con quest'ultimo termine non andiamo a etichettare soltanto classici farabutti e facilmente riconoscibili delinquenti, ma piuttosto identifichiamo professionisti dello spionaggio industriale o commerciale, colleghi gelosi o ex-colleghi, e così a seguire.
I messaggi memorizzati – e spesso conservati anche oltre il più ragionevole limite di tempo utile – contengono non di rado una serie di informazioni che può risultare molto preziosa per la concorrenza o per altri che ben conoscono il ruolo della “business intelligence”. Non bastasse questa insidia, va aggiunto poi che chi riesce a intrufolarsi in questi sistemi può trasformare la “voice mail box” in un magico trampolino da cui proiettarsi con acrobatiche piroette nelle più pescose profondità aziendali. Il sistema di posta vocale non è quindi solo un'ambiziosa meta, ma può facilmente rappresentare un'ottima base di partenza per chi mira a prede più ambiziose.
I messaggi, lasciati nelle comuni segreterie o in quelle centralizzate e gestite informaticamente, veicolano dati e notizie connotati da elevata criticità o caratterizzati da un considerevole livello di segretezza aziendale. Nonostante una simile pratica appartenga (o debba appartenere) alla ordinaria cultura manageriale, il più delle volte le password (dovremmo parlare più propriamente di “combinazioni numeriche”) che sigillano l'accesso alle caselle vocali sono impostate per coincidere con le cifre che identificano l'interno dell'ufficio ovvero il numero di selezione passante.
Se 230 è il finale del numero del dottor Pinco Pallino, il medesimo avrà la casella vocale 230 blindata dal codice segreto 230… Che l'impostazione di fabbrica sia questa può essere comprensibile, ma che – dopo l'installazione e l'entrata in funzione – continui a esser questa la situazione, è ragionevolmente ingiustificabile.
Purtroppo tutto ciò accade nonostante le dinamiche di sicurezza a protezione del sistema prevedano la periodica sostituzione delle chiavi logiche di accesso. Il sistema di casella vocale, nella fattispecie, è di norma impostato per costringere l'utente a sostituire la propria password almeno con cadenza mensile. La maggioranza degli utenti, sopraffatta da una pigrizia tanto latente quanto invincibile, fa e briga per mantenere sempre e comunque la stessa sequenza numerica per asserita “comodità”. Ritenendo remota e improbabile la minaccia di una intrusione nella propria privacy e nella secrecy d'impresa, sono molti che quella specie di PIN la utilizzano per il maggior numero delle opportunità di chiusura a disposizione: la stessa combinazione rappresenta così il codice segreto di accensione del cellulare, della segreteria telefonica dell'utenza mobile e via di seguito.
I cosiddetti “intruder” si sfregano le mani, sapendo di non doversi affaticare per assaporare il gusto di violare la barriera di riservatezza che si prevede di oltrepassare. Semplici elenchi o più imponenti dizionari – tutti pronti per l'uso in formato elettronico e facili a reperirsi in Internet mediante comuni motori di ricerca a cui fornire indicazione sulla marca del sistema di casella vocale installato – trasformano l'accesso illegale in un elementare gioco da scuola materna del crimine.
Chi si impossessa della casella vocale può sfruttare la presumibile connessione al centralino PBX dell'azienda o ente cui appartiene l'utente e di lì approfittare di mille collegamenti a sbafo (e sarebbe il meno) o entrare in azione per compiere nuovi attacchi ad altri sistemi collegati.
Non si pensi (e ancor meno si speri) che occorrano competenze professionali di un certo spessore. Bravate del genere sono, infatti, alla portata di tutti.
Per compiere il primo passo del percorso per compromettere la security di questo contesto basta conoscere un funzionario della realtà target, disporre di un elenco telefonico interno (magari pronto sul sito web della potenziale vittima), dare un abile sbirciata al banco della reception della sede presa di mira, sfruttare un biglietto di visita, trovare nell'immondizia qualche utile carta aziendale, oppure aver voglia di attuare un “brute-force attack” per indovinare il numero magico.
Se si conoscono le modalità di funzionamento dei sistemi di centrale telefonica più diffusi le operazioni sono davvero facili. Basta comporre un numero in selezione passante o meglio ancora sostituirne le ultime cifre con quelle tonde che di norma fanno direttamente riferimento alla procedura di “voice mail”. Poi si prova a digitare 9, oppure zero, o # o asterisco e quindi – ottenuta risposta – si seguono le puntuali istruzioni impartite per gli utenti autorizzati meno abili…
Chi si diverte così (e soprattutto chi ne trae profitto) si annota tutti i passaggi e tutte le indicazioni fornite dalla voce digitale che guida nelle operazioni: un pezzo di carta qualunque diventa una mappa del tesoro e permette di ricostruire l'intera architettura…
Se capita di ascoltare la segreteria telefonica centralizzata o quella a fianco del ricevitore e sentire un messaggio nuovo non etichettato come tale, forse è il caso di fare un esame di coscienza. E' venuto il momento di prendere in considerazione il problema. E di cambiare la password, anche se non solleticati da certe sorprese.
Articolo a cura di Umberto Rapetto - Data Manager