23C3 I
Stasera sono ancora in una delle sale della conferenza, visto che il programma prevede seminari fino all’una di notte (partendo dalle 11:30 del mattino: si dà per scontato che ci sia vita notturna, direi). Eppure, rispetto alle conferenze di hacker italiane, il clima è decisamente diverso; è tutto molto organizzato, con tanto di microfoni e presentazioni, e, nonostante la fauna sia prevalentemente composta da nerd, non si vedono nè ubriachi nè fumati.
I seminari sono davvero interessanti, e valevano il viaggio. Io ho seguito principalmente quelli sulla privacy e la data retention, di cui uno era tenuto da Ralf Bendrath, uno dei miei colleghi dei forum delle Nazioni Unite; si occupava del problema dei meccanismi di identificazione centralizzata degli utenti su Internet, e dei relativi rischi per la privacy, e alla fine ho pure raccolto l’applauso con un intervento dalla platea.
Poi ce ne sono stati alcuni più tipicamente hacker: ad esempio, sono ora l’orgoglioso possessore di uno Sputnik, una tag RFID attiva (che quindi io posso spegnere a piacimento) che permette all’organizzazione di tracciarmi e mostrare i miei movimenti su una mappa 3D, ma anche che fa parte di un progetto completamente libero per cui io potrei provare a scrivere del software.
Inoltre, c’è stato un interessante seminario in cui è stato raccontato per filo e per segno come clonare un bancomat delle Poste Svizzere; pare che questi geni non solo abbiano ancora il sistema adottato nel 1983 – e che, in Francia, fu craccato già nel 1989 – ma persino che, nonostante avvertiti già nel 2003, non abbiano mai provveduto a cambiare il sistema… un sistema che peraltro è molto semplice, essendo stato concepito per funzionare offline, senza alcuna verifica su server centrali (nel 1983 la rete ubiqua era di là da venire).
In pratica, il chip sulla card è costituito di due parti, una ROM e una scrivibile. La ROM contiene gli stessi dati (tra cui il numero di conto) scritti sia in chiaro che cifrati con una chiave privata appartenente alla banca, senza alcun meccanismo di crittografia sulla carta stessa (quello che hanno, per dire, le smart card di Sky); la verifica è solo sul fatto che la decodifica della parte cifrata corrisponda con quella in chiaro; basta quindi clonarle pari pari da un bancomat qualsiasi per ottenere una carta valida. E il PIN? Tristemente, il PIN viene utilizzato solo per autorizzare la scrittura sulla parte scrivibile della memoria di un log delle transazioni; basta modificare il firmware della card in modo che accetti la scrittura con qualsiasi PIN per ottenere un bancomat valido. In più, anche se non si dispone di un bancomat da clonare, la chiave privata usata dalla banca è una RSA a 320 bit, che al giorno d’oggi si può craccare a forza bruta in 24 ore con qualsiasi PC… dopodichè, vi basta un numero di conto valido per creare da zero un bancomat ad esso corrispondente.
Bene, dopo queste notizie preoccupanti – e dopo una lauta cena a base di bistecche – vi lascio, per assistere al seminario del responsabile Microsoft per le policy sull’identificazione digitale. Se dal programma vedete talk interessanti per i prossimi giorni, segnalateli pure…
28 Dicembre 2006, 01:32
@_@