BTC
$0.00
0.00%
Non avrei mai pensato che una serata normale potesse trasformarsi in una storia di spionaggio che sarebbe diventata famosa in tutto il mondo. Una storia molto strana, ma allo stesso tempo molto semplice, che ho dovuto raccontare prima ai dipendenti del servizio di sicurezza dell'azienda e ora anche a voi.
Inoltre, non è difficile immaginare cosa sarebbe successo se il mio software, dopo aver superato l'autenticazione, avesse improvvisamente ottenuto l'accesso alle chiavi dei portafogli crittografici di tutto il mondo, proprio come ai robot aspirapolvere. Non solo avrei potuto vedere i dati, ma anche gestire i fondi di estranei in tutto il mondo. Ma vi racconterò tutto con ordine.
Ero seduto nella mia stanza e stavo cercando di imparare a usare il mio nuovo robot aspirapolvere DJI Romo, che combina la tecnologia dei droni (LiDAR, visione binoculare) e la funzione di videosorveglianza. In parole povere: volevo giocare un po', invece di pulire. E quando ho avviato il mio aspirapolvere, davanti a me sono apparsi i dati di un altro dispositivo. E poi ancora e ancora. E dopo pochi minuti vedevo già 6700 robot da tutto il mondo, ognuno con il proprio numero di serie, indirizzo IP, stato della batteria e persino una mappa degli ambienti. In altre parole, avevo accesso a migliaia di case altrui e alle loro telecamere.
In un attimo, sono diventato un osservatore invisibile in centinaia di appartamenti in Asia, Europa, Nord America e così via.
Anche se non ho hackerato questi robot appositamente, semplicemente la mia chiave di autenticazione è stata percepita dal server DJI come una chiave universale. Ora immaginate che al posto dei robot aspirapolvere in questo sistema ci fossero conti e portafogli crittografici, ciascuno con centinaia o centinaia di migliaia di dollari in diverse valute digitali!
Mi sono spaventato quando ho immaginato quanto poco tempo ci sarebbe voluto per trasferire centinaia di milioni in una direzione sconosciuta, perché i malintenzionati avrebbero potuto trasferire rapidamente ether, bitcoin o altri token a indirizzi di terze parti. Tuttavia, fortunatamente, si trattava solo di uno scenario ipotetico. In realtà, mi sono trovato di fronte a milioni di immagini di interni domestici e percorsi di spostamento di aspirapolvere, non a chiavi di conti in criptovaluta.
Ho immediatamente disattivato la mia applicazione, restituito gli accessi a DJI e scritto alla società per segnalare la vulnerabilità. Mi hanno quasi definito un criminale, anche se, in realtà, stavo solo cercando di pulire la stanza con l'aiuto del dispositivo.
Tuttavia, sembra che la società abbia imparato la lezione: quando si tratta di dati privati o risorse digitali, un solo errore può costare molto più di quanto si possa immaginare!
Dopo la storia con Romo, pensavo di aver messo un punto fermo a questa strana vicenda. Sì, è proprio quella storia clamorosa in cui ho cercato di imparare a usare il mio nuovo robot DJI Romo, che combina la tecnologia dei droni e la funzione di videosorveglianza, e ho hackerato dispositivi robotizzati in tutto il mondo. Ma il vero intrigo è iniziato più tardi, quando un mio conoscente analista di Chainalysis mi ha chiamato e mi ha chiesto se fossi sicuro che il mio caso fosse una coincidenza. Vorrei sottolineare che in precedenza ci eravamo incontrati a conferenze sulla sicurezza digitale a San Francisco e Las Vegas, dove avevamo parlato di phishing, metodi e tecniche di hacking e portafogli crittografici già violati.
Mi ha detto che i loro sistemi avevano registrato un'attività strana: tentativi sincronizzati di accedere a diverse migliaia di portafogli crittografici, accomunati da un unico elemento: l'utilizzo di servizi di terze parti con autenticazione centralizzata. Inoltre, non c'erano tracce visibili di un attacco diretto. Solo un anello debole tra l'utente e il server. Ho accettato di raccontare tutto ciò che sapevo al riguardo e la storia già nota di come ho accidentalmente violato 6700 dispositivi.
Ci siamo incontrati offline. Sul tavolo c'era un laptop con elenchi di transazioni, timbri temporali e cluster IP. Parte dei percorsi conduceva all'infrastruttura precedentemente associata al Lazarus Group, un gruppo noto per gli attacchi alle criptovalute e ai progetti DeFi. Non c'erano prove dirette. Ma le coincidenze erano troppo interessanti.
Ho capito che se la vulnerabilità di Romo non riguardasse i robot aspirapolvere, ma i portafogli crittografici, lo scenario sarebbe stato catastrofico: il sistema avrebbe registrato il movimento dei fondi. E le chiavi private sarebbero andate perse per sempre. È interessante notare che gli utenti avrebbero incolpato gli exchange, i produttori e gli sviluppatori di software. Ma la vera causa era un errore nell'architettura di accesso.
Non abbiamo dato pubblicità alle nostre azioni successive. Invece, ho trasmesso le conclusioni tecniche al team di sicurezza e in pochi giorni è stata rilasciata una patch. Mi è stato comunicato per iscritto che gli specialisti stanno già testando il prossimo sistema di sicurezza per impedire il verificarsi del fenomeno chiamato “chiave universale”.
Nel mondo digitale, un crimine raramente inizia con un'effrazione. Il più delle volte inizia con una soluzione conveniente che funziona “troppo bene per tutte le serrature”. E a volte tutto può iniziare con l'accensione del controller di un normale aspirapolvere. È proprio quello che mi è successo di recente.
