Due giovani hacker italiani hanno scoperto qualche mese fa un bug sui ticket NFC usati dal Gruppo Trasporti Torinesi che avrebbe consentito di fare corse gratuite per tutta la vita. Matteo Beccaro (18 anni) e Matteo Collura (19 anni) quest'anno si sono diplomati rispettivamente a Chivasso e Savona.
Devono aver fatto davvero un buon lavoro gli insegnanti dei due sperimentali in Informatica, perché questi due ragazzi oggi al DEFCON di Las Vegas sveleranno alla community hacker come sono riusciti a violare uno smart ticket (abbonamento e multi corsa) comunemente usato a Torino per tram, autobus e metropolitana.
Ticket NFC
Il primo dettaglio fondamentale è che Matteo & Matteo hanno rispettato le buone regole di cortesia dell'etica hacker, avvertendo l'azienda del problema riscontrato. "Altrimenti non l'avremmo divulgata", hanno spiegato nell'intervista a Tom's Hardware i due ragazzi. Oggi il bug pare essere stato risolto sui tram e sugli autobus, quindi svelarne i dettagli non è un pericolo. "Sulla metropolitana però non abbiamo ancora provato", hanno aggiunto.
In pratica tempo fa hanno deciso di studiare a fondo il funzionamento dei chip NXP Mifare Ultralight, una linea NFC ampiamente usata nel settore del trasporto pubblico e di massa. In molti paesi alcune società dei trasporti hanno deciso di implementare le "obliterazioni" wireless. I Mifare sono ottimi candidati poiché costano poco.
Mifare Ultralight
Il problema è che nel 2012 un gruppo di esperti di sicurezza di Intrepidus Group ha scoperto una scadente implementazione del sistema software che avrebbe potuto consentire di azzerare la "memoria" dei biglietti multi corsa. Con uno smartphone dotato di chip NFC e una specifica applicazione sarebbe stato possibile trasformare i biglietti da 5 o 15 corse in biglietti a vita. Una volta risolto il bug, però, le società di trasporto pubblico di tutto il mondo sono ritornate a dormire sonni tranquilli.
###old2473###old
Abbiamo provato a cercare quella vulnerabilità su questi biglietti per vedere se erano affetti dal problema. Erano a posto quindi ci siamo messi a cercare altro e ne abbiamo trovata un'altra", hanno sottolineato Beccaro e Collura. "Abbiamo trovato due bug e siamo riusciti a sfruttarne uno solo per mancanza di attrezzature. Il bug principale sfrutta comunque una cattiva implementazione del sistema di obliterazione".
Ops
In verità la vulnerabilità software si risolve come sempre con un banale fix, ma di fronte a un eventuale attacco man in the middle si può fare ben poco poiché il Mifare Ultralight è privo di cifratura. "Usando un emulatore NFC, uno smarpthone Android o un proxmark, un hacker potrebbe intercettare la comunicazione tra la macchina di stampa e il chip...", si legge nel white paper dei due giovani.
"Non ne siamo sicuri ma pare che in altre parti d'Italia qualche società di trasporti stia usando questo chip", hanno ricordato i due hacker. "La cosa importante è che il problema riguarda il lato software, fermo restando la consapevolezza dei limiti del prodotto".
Bisogna riconoscere che il carnet dalle corse illimitate è durato davvero poco. E come prevedibile la scoperta si deve a due neo diplomati con una sana etica hacker, più che a una mega società specializzata in sicurezza. Questa è l'Italia emergente, che spesso non ha visibilità. Beh, loro fra poche ore saliranno sul palco del DEFCON di Las Vegas per raccontare una storia che merita (come loro) di stare sotto i riflettori.