Qualche anno fa, durante un lungo viaggio in treno, ho avuto modo di parlare con una ragazza, dottorata in matematica, che lavorava per una banca come esperta di sicurezza informatica, in particolare per quanto rigurarda le carte di credito.
L’argomento mi incuriosiva molto, per cui è stato piacevole chiacchierare per qualche ora con questa ragazza.
Ciò che mi stupì immediatamente fu la sua rassegnazione al fatto che le carte di credito sono molto facilmente craccabili. All’epoca si stava cominciando a diffondere la possibilità di fare acquisti tramite la rete, e molte delle persone che conoscevo erano estremamente reticenti a inserire i propri dati su un sito web, per paura che la propria carta di credito potesse venir utilizzata a loro insaputa.
La ragazza che incontrai in treno mi spiegò come fosse molto più facile copiare una carta di credito tramite la lettura per mezzo del bancomat o di una macchinetta, piuttosto che intrufolarsi nei sistemi informatici dei negozi online.
Il crimine informatico, che sia una forma di truffa come il phishing, o che sia la clonazione di carte di credito tramite speciali lettori di schede, è diventato ormai il nuovo sistema per svaligiare le banche, senza bisogno di ostaggi o armi da fuoco.
Circa un anno fa si è raggiunto l’apice in tal senso, quando un gruppo di quattro persone, poco più che ragazzi, hanno messo a punto il crimine che l’FBI considera il più spettacolare di questi ultimi anni, sfruttando le loro capacità informatiche e una debolezza nella sede di Atlanta della banca internazionale RBS.
Tutto è cominciato con un ragazzo di 28 anni di origini Moldave che ha scoperto una vulnerabilità nella rete informatica di un’azienda di gestione delle carte di credito WorldPay e, intuendo il valore di tale scoperta, ha deciso di passare l’informazione a un altro hacker residente in Estonia.
Quest’ultimo, dopo aver analizzato la situazione e testato la vulnerabilità, ha coinvolto anche un hacker russo, che è stato il personaggio attivo nel crimine.
Infatti, dopo essere entrato nella rete informatica dell’azienda, l’hacker con base in Russia è riuscito a ottenere i numeri PIN delle carte di debito utilizzate da diverse aziende per pagare i salari dei propri dipendenti, utilizzando la tecnica del reverse engeneering. Inoltre ha aumentato la quantità massima di denaro che era possibile ritirare da queste carte.
Ma non è finita qui! Un quarto criminale, chiamato Hacker 3 poiché non è ancora stato identificato, ha organizzato un network di ladri “di cassa” sparsi per tutto il mondo: grazie a 44 carte di credito contraffatte sono riusciti a ritirare 9 milioni di dollari in ben 2100 postazioni bancomat sparse in 280 città in 3 continenti.
Mentre i ladruncoli erano al lavoro nelle varie città, l’estone ha supervisionato il tutto, prendendo il controllo del sistema informatico del WorldPay e coprendo le tracce dei ritiri di denaro fatti con le tessere contraffatte.
I singoli “cassieri” che si sono occupati del lavoro manuale potevano tenersi dal 30 al 50% del denaro che hanno ritirato, mentre tutto il resto è stato raccolto e suddiviso tra i 4 hackers.
Questa così ingegnosa rapina ha fatto si che diversi paesi, tra cui Stati Uniti, Cina, Estonia e Paesi Bassi si siano riuniti per rafforzare il sistema di difesa informatico e perseguitare i responsabili con una task force specializzata in questo genere di crimini.
È stata la prova definitiva della necessità di una collaborazione internazionale per chiarire la legislazione in ambito informatico, poiché il fatto che ciascun paese abbia una legislazione diversa e che, generalmente, i singoli governi non vedano con buon occhio la possibilità di estradare un proprio cittadino, seppur criminale, rende molto difficile punire gli hacker informatici. Proprio per questa ragione i crimini informatici tendono ad essere organizzati da più paesi diversi, così da rendere più complicato il procedimento processuale.
L’Unione Europea si rende perfettamente conto di questo problema, ed è per questo che oltre a riunire le forze dei singoli paesi ha anche investito più di 3,5 milioni di euro nel progetto STREAM per la gestione dei dati e di conseguenza anche relazionato alla sicurezza informatica.
Nell’ambito di questo progetto l’Università di Madrid ha messo a punto un nuovo sistema di protezione che consiste nel controllo in diretta del flusso di dati. Quando questo sistema sarà messo in funzione (e ciò dovrebbe accadere durante l’anno 2010) , sarà possibile sventare l’azione degli hacker nel momento stesso in cui accade, controllando le loro mosse in diretta.
Leggendo questa notizia mi sono resa conto come la gestione di flussi considerevoli di dati sia di estrema importanza non solo in campo scientifico, ma anche nella pratica di tutti i giorni.
Il nuovo sistema di processo dei dati che viene utilizzato per l’analisi dei dati dell’acceleratore LHC, ovvero il progetto GRID, di cui ho già parlato un post passato, si espanderà presto al di fuori della comunità scientifica, poiché per organizzazioni come le banche e le compagnie di credito è ancora più importante che per il CERN poter analizzare e supervisionare il flusso di dati in real time, ed è per questo che sarà necessario sviluppare una potenza di calcolo in grado di farlo.
“Questa così ingegnosa rapina ha fatto si che diversi paesi, tra cui Stati Uniti, Cina, Estonia e Paesi Bassi si siano riuniti per rafforzare il sistema di difesa informatico e perseguitare i responsabili con una task force specializzata in questo genere di crimini.”
Meglio “perseguire” che “perseguitare”, che ne dici? ;)
“”Infatti, dopo essere entrato nella rete informatica dell’azienda, l’hacker con base in Russia è riuscito a ottenere i numeri PIN delle carte di debito utilizzate da diverse aziende per pagare i salari dei propri dipendenti, utilizzando la tecnica del reverse engeneering.””
I pin delle carte di credito delle aziende? Sicura di non aver parlato con una cacciaballe?
Dal link del sito dell’FBI linkato nell’articolo:
With the help of the three other hackers at varying times, the Russian busted into the electronic network, reverse-engineered the PIN codes from the encrypted system, and raised the limits on the amount of money that could be withdrawn from the prepaid payroll debit cards. (These cards, used by many companies, enable employees to withdrawal their salaries from an ATM.)
Ottimo articolo. Mi piacerebbe leggere più spesso articoli sulla sicurezza informatica nelle banche.
P.S. ”Infatti, dopo essere entrato nella rete informatica dell’azienda, l’hacker con base in Russia è riuscito a ottenere i numeri PIN delle carte di debito utilizzate da diverse aziende per pagare i salari dei propri dipendenti, utilizzando la tecnica del reverse engeneering.”
Caro sig. Paolo si sta parlando di carte di debito non di carte di credito. Le carte di debito hanno il PIN.
Non sono “Hacker” che fanno ste cose, ma “cracker”. la differenza è netta e non piccola.. un hacker “smonta” un sistema, ne cerca le debolezze e le sistema senza fini di lucro o interesse personale, al contrario il cracker le cerca proprio per interesse a fine di lucro
quoto Giordano,
hacker è nella sua accezione più ampia colui che ama ampliare il proprio sapere creando, smontando e sperimentando il più possibile…
Leonardo da Vinci fu un hacker ;)
La differenza tra Hacker e Cracker è nota a tutti, tuttavia il passaggio da Hacker a Cracker è oggi giorno molto frequente e repentino: ad esempio il primo personaggio della storia magari era (fino a quel momento) solo un hacker che è divenuto un cracker appena si è reso conto che l’avere scoperto una vulnerabilità poteva fruttargli davvero tanti soldi…
Non sono daccordo, il confine tra hacker e cracker non è mai stato netto, ma è sempre stato molto sottile e confuso.
Spesso dipende da chi utilizza il termine, in genere si cerca di separare due aspetti che separati non sono per non bollare tutti gli hacker come criminali di fronte all’opinione pubblica, un po come il lato chiaro e il lato oscuro della forza in Star Wars, non ci sono due forze o due hacker una volta imparata la tecnica (o per restare in tema l’uso della forza :)) dipende dalle azioni che si compiono in quel momento.
@kersal: a volte basta una semplice intrusione in una rete (lavoro quotidiano per chi si interessa di sicurezza) o anche la scrittura di un virus o worm con semplici capacita di intrusione e replicazione (senza payload in grado di fare danni) per essere marchiati come cracker.
Il confine labile tra Hacker e Cracker diventa un autostrada a doppia corsia per 9 milioni di dollari….
Con queste grandezze l’occasione fa l’uomo ladro…
pessimo articolo colmo di inesattezze…
1. le carte di credito sono sicure
2. i sistemi che vengono forati sono volutamente vulnerabili…
3. la storia della dottorata in matematica è l’ennesima favola, per qualche algoritmo sui numeri primi e qualche sistema di crittazione da gestire…il resto è tutta bassa manovalanza…
4. il numero di carte di credito nel mondo sono diversi milioni….se fossero cosi’ insicure non esisterebbero…
5. il sistema di controllo dei flussi dati non serve per controllare le carte di credito ma per spiare gli utenti direttamente dalle dorsali senza passare dai server come si fa oggi, quindi google e facebook perderanno un bel po’ di clienti “occulti”
6. cos’altro dire?
un’articolo che sembra uno storyware da fine anni ’90…
ma quanto scriviamo qualcosa di serio?!?!
@homero
Leggi anche le referenze per favore
referense o riferimenti?
eh si qua, c’e’ proprio aria di boccalona, pieno di imprecisioni che trasformano i pochi dati veri in una favola
“le carte di credito sono sicure”
Prego spiegare perchè. I bancomat hanno un pin segreto eppure riescono a violarli, le CC neppure quello.
“i sistemi che vengono forati sono volutamente vulnerabili…”
Rubo (o clono) la carta ad un tizio qualunque, entro in un negozio e firmo col suo nome. Se mi chiedono il documento, un pomeriggio in qualche quartiere particolare e risolvo anche questa magagna.
E’ sicurezza questa ?
Tutte le CC di credito funzionano così quindi sono tutte volutamente vulnerabili.
“scusi lei è Napoleone Bonaparte ? Me ouì, non vede la pascietta e la mano sotto la sjiacà ?”
Un motivo c’è se servizi come paypal dilagano.
“4. il numero di carte di credito nel mondo sono diversi milioni….se fossero cosi’ insicure non esisterebbero…”
Sono diffusissime perchè sono comode da usare e non scalano subito il credito e poi perchè sono emesse da società dotate di una notevole liquidità in grado affrontare certi colpi.
Mi spiegate quali sono le imprecisioni?
Perché sembra che non crediate che la notizia sia vera, ma potete verificare voi stessi che quello che ho raccontato è effettivamente accaduto.
Siete sicuramente più esperti di me in materia di sicurezza informatica, ed è proprio per questo che non mi sono addentrata nei dettagli, ma ho voluto semplicemente riportare un evento che ha colpito la mia attenzione, visto che nel giro di poche ore alcuni ragazzi sono stati in grado di intascarsi 9 milioni di dollari.
Non mi pare che le carte di credito siano molto sicure, visto ciò che è successo. Poi le banche corrono evidentemente ai ripari, visto che investono un sacco di soldi per migliorare i sistemi di protezione.
Referenze o riferimenti che siano (ho risposto di fretta e, onestamente, cercando di placare una certa alterazione) mi piacerebbe che venissero letti prima di dire che racconto favole.
Forse non ho spiegato adeguatamente nel post, la questione della ragazza in treno è solo un aneddoto (per altro realmente avvenuto) che ho solo raccontato per introdurre l’argomento.
La mia Carta di CREDITO ( Visa Carta Si ) hai un PIN al contrario di quello che dice qualcuno li sopra, che serve appunto quando dovessi aver bisogno di ritirare del contante, con delle commissioni esagerate eh .. pero’ per emergenza.
Se tutte le carte di credito fossero sicure come dite .. VISA non offrirebbe il servizio “Verified by VISA” ad esempio …
Proprio vero eh che in italia sono tutti allenatori ……
“La mia Carta di CREDITO ( Visa Carta Si ) hai un PIN al contrario di quello che dice qualcuno li sopra, che serve appunto quando dovessi aver bisogno di ritirare del contante, con delle commissioni esagerate eh .. pero’ per emergenza.”
Ma quando compri il pin viene bypassato. Sinceramente è una cosa che non quadra a livello di logica visto che non vedo molta differenza tra prelevare 10000 euro in contanti o compare una tv di pari valore.
@ homero
Stai semplicemente contrabbandando tue asserzioni per dati di fatto (uno su tutti: “1: le carte di credito sono sicure”). L’autrice ha riportato le proprie fonti, che del resto mi sembrano piuttosto autorevoli provenendo dall’FBI. Nell’ambito di una discussione civile ci si premura di documentare le proprie critiche, specialmente quando chi scrive si è premurato di documentare quel che ha scritto.
Se per te questo è di troppo disturbo, perché poi disturbarti a commentare? Fermo restando che se non ti piace quello che leggi qui, la rete ti offre milioni di alternative.
@Homero: YHBT.YHL.HAND.
@Alessio Di Domizio: non ti conviene perdere tempo con Homero, credo sia chiaro che è di tipologia trolleggiante, se attacca così Eleonora che penso faccia il suo lavoro correttamente e non si sogni nemmeno di scrivere cose tanto sbagliate come detto da Homero.
Detto questo, non so se le carte di credito siano in effetti poco sicure o no, ma di certo credo che siano sottovalutate come potenzialità criminali, ovvero che forse ultimamente ci si sta rendendo meglio conto della potenza di Ebay ecc, ma comunque la sicurezza a riguardo può e forse deve essere implementata, nonostante tutta la truffa qui raccontata sia stata basata su una vulnerabilità nella gestione delle carte e non su un problema delle carte in se stesse.
Dai Alessio, il fatto che si sia sfruttata una vulnerabilità della rete informatica di un’azienda (“un ragazzo di 28 anni di origini Moldave […] ha scoperto una vulnerabilità nella rete informatica di un’azienda di gestione delle carte di credito WorldPay”) non significa che lo strumento carta di credito sia insicuro. La vulnerabilità avrebbe potuto benissimo dare accesso ai sistemi di trasferimento di denaro, allora i bonifici sono insicuri?
Tra l’altro il contrasto tra il periodo:
“La ragazza che incontrai in treno mi spiegò come fosse molto più facile copiare una carta di credito tramite la lettura per mezzo del bancomat o di una macchinetta, piuttosto che intrufolarsi nei sistemi informatici dei negozi online.”
e il fatto accaduto, che tratta di una vulnerabilità del sistema informatico e non della clonazione di carte, è piuttosto evidente. La dottorata in matematica sarà anche esperta, ma se l’episodio serviva ad introdurre l’argomento sarebbe stato meglio fermarsi prima di tale affermazione.
Il fatto è questo:
“dopo essere entrato nella rete informatica dell’azienda, l’hacker con base in Russia è riuscito a ottenere i numeri PIN delle carte di debito utilizzate da diverse aziende per pagare i salari dei propri dipendenti”
quindi non sono le carte ad essere poco sicure, ma i sistemi informatici. Quello che dice homero, mi spiace dirlo, è sicuramente corretto nei punti:
1) il crimine si basa su vulnerabilità informatiche e non delle carte;
3) almeno per quanto riguarda il crimine in questione, non si tratta di clonazione, il sistema utilizzato secondo la dottorata;
4) visto che per un crimine simile, o una clonazione, la banca deve risarcire il danno, è evidentemente suo interesse rendere sicure le carte.
e non ha bisogno di ulteriori evidenze se non quelle che già si trovano nel testo (dove si scrive chiaramente che la violazione è avvenuta nel sistema informatico e non sulle carte, ad esempio clonandole).
Se invece dei pin avessero rubato numeri di conto avremmo lo stesso risultato: diresti che i conti correnti non sono sicuri?
Meno difese a spada tratta e più cortesia verso chi contribuisce a generare introiti (che certo non ci spartiamo noi lettori), anche quando questi non lo sono nei vostri confronti, sarebbero gradite: il cliente ha sempre ragione, soprattutto quando ha ragione davvero… anche se è scortese :)
Giusto per chiarire: a me l’articolo piace molto, tra l’altro non mi pare insista più di tanto sulla sicurezza delle carte quanto, appunto, su quella dei sistemi informatici, ma tant’è…
Eh be ma a criticare son capaci tutti eh .. e’ l’argomentare la critica che e’ una cosa di pochi .. purtroppo …
“Questa così ingegnosa rapina ha fatto si che diversi paesi…”
hanno commesso un furto, non una rapina (niente violenza ne minaccia).
forse bisogna considerare che la sicurezza “intrinseca” delle carte di credito e dei sistemi di pagamento elettronico in generale consiste nel fatto che il cliente, in caso di contestazione o di frode, viene, in genere, sempre risarcito.
se poi i dati delle carte (PIN compresi) vengono tenuti su un server insicuro e magari esposto su internet, come spesso è accaduto in passato, beh, non è che ci voglia un genio per impossessarsi dei dati.
un’ultima considerazione, basata sulla mia esperienza personale: avendo avuto a che fare più di una volta con l’FBI, tenderei a non prendere per oro colato tutto quello che scrivono…
;-)
Se è così facile clonare è anche ora di aggiornare le carte di credito in qualcosa di piu sicuro no? Ma i governi se ne sbattono tanto loro usano le nostre tasse per campare.. Cambiamo mondo che facciamo prima!
@homero:
“1. le carte di credito sono sicure”
Il meccanismo delle carte di credito è tutto fuorché sicuro, tanté che la “sicurezza” di queste è “rafforzata” da 3 numeri di controllo, guarda le statistiche di furto di CdC…
“2. i sistemi che vengono forati sono volutamente vulnerabili…”
Avrei qualche dubbio su quanto dici, comunque dimostramelo e ti do la piena ragione, perché è probabilmente una delle poche cose corrette che potresti aver detto.
“3. la storia della dottorata in matematica è l’ennesima favola, per qualche algoritmo sui numeri primi e qualche sistema di crittazione da gestire…il resto è tutta bassa manovalanza…”
Voluto tentativo di trolleggiata, sorvoliamo…
“4. il numero di carte di credito nel mondo sono diversi milioni….se fossero cosi’ insicure non esisterebbero…”
Stessa cosa si potrebbe dire dei sistemi Windows, che infatti *essendo i più sicuri* sono i *più usati*. Non diciamo scemenze, informati sui meccanismi di funzionamento delle CdC. Aggiungerei: se credi che il meccanismo della CdC sia sicuro, pensa che il bancomat (che è molto più sicuro per altro) ha un pin che viene generato (o per lo meno veniva) direttamente dal numero stesso della carta tramite un algoritmo che per altro è pubblico. W la sicurezza…
“5. il sistema di controllo dei flussi dati non serve per controllare le carte di credito ma per spiare gli utenti direttamente dalle dorsali senza passare dai server come si fa oggi, quindi google e facebook perderanno un bel po’ di clienti “occulti””
Qui dimostri semplicemente di non sapere nemmeno le basi essenziali della rete, dei sistemi e delle comunicazioni cifrate; le reti bancarie generalmente (per non dire praticamente sempre) sono protette da una connessione cifrata a 128bit (o più alta) che permette *SOLO* al client ed al server di poter dialogare tra di loro rendendo crittato il contenuto della connessione ai nodi esterni. Rendere visibile una connessione in questo senso dovrebbe significare il poter vedere in chiaro (lato server) l’intera operazione. Se proprio vogliamo fare il punto, in questo sistema sarebbe molto più a rischio se un potenziale cracker fosse già inserito, in quanto avrebbe in chiaro l’intera operazione superando di conseguenza la protezione crittografica.
Ps: credi davvero che tu venga spiato lato web considerando che al 99% stai usando un sistema Windows che per sua stessa natura apre dei servizi “speciali” che permettono il pieno accesso al tuo sistema (introdotti con le leggi antiterrorismo se proprio vogliamo fare il punto…)?
“6. cos’altro dire?
un’articolo che sembra uno storyware da fine anni ‘90…
ma quanto scriviamo qualcosa di serio?!?!”
Ma quando riponderemo in modo serio?
@Roberto
“quindi non sono le carte ad essere poco sicure, ma i sistemi informatici. Quello che dice homero, mi spiace dirlo, è sicuramente corretto nei punti:
1) il crimine si basa su vulnerabilità informatiche e non delle carte;”
Giusto, in parte…
“3) almeno per quanto riguarda il crimine in questione, non si tratta di clonazione, il sistema utilizzato secondo la dottorata;”
La clonazione intesa nell’ambito di Internet, la puoi fare avendo in mano semplicemente il numero di carta più il suo codice di controllo (facendo acquisti sul web ti chiedono di mandare la foto della tua tessera per dimostrare che ce l’hai davvero?), ergo: si tratta esattamente di clonazione
“4) visto che per un crimine simile, o una clonazione, la banca deve risarcire il danno, è evidentemente suo interesse rendere sicure le carte.”
Sebbene il discorso possa sembrare ineccepibile, faccio 2 esempi per poi ribattere:
– Banca Intesa rilasciava delle CdC “virtuali” a tempo (con un numero univoco), che permettevano una sola operazione con un fondo limitato, proprio per evitare il furto del numero;
– Paypal fa da tramite tra l’acquirente ed il venditore nascondendo il numero, che verrà girato solo in circuiti sicuri per chiudere la transazione.
Ci si dimentica che il sistema CdC è nato molto prima del boom dell’@-commerce, proprio per questo fatto il sistema a CdC non potrà mai divenire totalmente sicuro in questo ambito, gli esempi servono appunto per dimostrare che si stanno cercando degli escamotage per poter utilizzare un sistema noto e già affermato (e con già molti clienti) in attesa di crearne uno nuovo (tempo fa sul web si vociferava della possibilità di utilizzare una sorta di “credito virtuale” completamente controllato e maggiormente sicuro, più o meno quello che succede su SecondLife considerando che si possono “trasformare” i crediti virtuali in reali!).