Phreaking del telefono dell'ascensore
Di Jerry J. Davis | Sistemi di comunicazione | 1 aprile 2020
4 minuti di lettura
Prima dell'avvento dell'hacking informatico moderno, curiosi appassionati di phone phreak esploravano i sistemi telefonici e formavano una comunità sotterranea molto unita, che in seguito si è dissolta con la diffusione dell'informatica. Una presentazione al DEF CON del 2019 ha riacceso il dibattito, mostrando quanto sia facile violare i sistemi telefonici di emergenza degli ascensori: molti utilizzano linee POTS non protette, numeri pubblici e password predefinite di fabbrica reperibili nei manuali, consentendo agli aggressori di intercettare le conversazioni, riprogrammare i numeri di chiamata, addebitare costi aggiuntivi o disabilitare il servizio di emergenza. Semplici misure di sicurezza riducono notevolmente il rischio: sostituire le password predefinite con password complesse e difficili da usare, preferibilmente di otto cifre o più, e, laddove sia necessaria una maggiore sicurezza, convertire i telefoni da POTS a sistemi wireless che impongono liste di numeri autorizzati, in modo che solo le linee autorizzate possano connettersi.
In questa piattaforma di lettori, il tuo autore discute il predecessore dell'hacking del computer e come salvaguardare il tuo sistema.
di Jerry J. Davis
Tutti sanno che esistono hacker informatici. Ma, prima dell'hacking del computer, c'erano "phone phreaks". Di solito erano individui dispettosi e intelligenti che erano semplicemente curiosi del funzionamento interno del sistema telefonico, in particolare, quando AT&T lo deteneva come un monopolio segreto. C'erano abbastanza di questi "phreaker" per formare una società sotterranea - proprio come gli hacker di computer di oggi - ma era piccola e affiatata. Avevano persino una pubblicazione clandestina chiamata, semplicemente, 2600, dal nome del tono audio a 2600 Hz utilizzato nel "phreaking" per ottenere il controllo delle reti telefoniche.
Il phreaking telefonico generalmente è svanito con l'avvento dei personal computer, passando all'hacking del computer con cui abbiamo familiarità oggi. Tuttavia, non è sparito del tutto. Ha sperimentato una rinascita dopo che il ricercatore di sicurezza Will Caruana ha tenuto un discorso a una convention di hacking del 2019 chiamata "DEF CON 27" su quanto sia facile hackerare (o "phreak") i telefoni di emergenza, in particolare quelli che si trovano negli ascensori.
Ha dimostrato che, con la più semplice delle tecniche di hacking, è possibile accedere alla maggior parte dei telefoni degli ascensori, riprogrammare il numero in uscita, ascoltare le conversazioni e, a seconda della marca e del modello del telefono, modificare numerose altre impostazioni. I pericoli includono la programmazione di banchi di telefoni degli ascensori per comporre automaticamente 900 numeri per incorrere in enormi spese e gli hacker che ascoltano le conversazioni della società Fortune 500 per scopi di spionaggio industriale. Ancora peggio, i telefoni possono essere resi inutili per le emergenze reali.
I telefoni più a rischio sono quelli collegati a linee telefoniche standard, note come linee POTS (plain Old Telephone Service). Il motivo per cui sono particolarmente vulnerabili è perché non hanno una sicurezza integrata. Se riesci a ottenere il numero di telefono dell'ascensore, puoi chiamarlo direttamente.
Come fa un phreaker telefonico a ottenere uno di questi numeri? Sfortunatamente, può essere facile come cercare su Google. Molti numeri sono pubblicati o si possono trovare su elenchi compilati da hacker e condivisi liberamente. Un altro modo per raccogliere numeri è attraverso l'ingegneria sociale, che è il modo in cui viene eseguita la maggior parte dell'hacking informatico oggi: gli hacker inducono le persone a fornire informazioni.
Una volta che hai il numero da chiamare, hai ancora bisogno di un passcode per entrare nel telefono. Sfortunatamente, questo non è un problema, poiché molti telefoni in servizio non hanno mai avuto un codice di accesso personalizzato; usano ancora il passcode predefinito fornito dal produttore. E questi sono facilmente disponibili da. . . Indovina dove? Manuali di installazione del telefono. Disponibile gratuitamente come download PDF dai siti Web del produttore, basta una rapida ricerca su Google.
I pericoli includono la programmazione di banche di telefoni per ascensori per comporre automaticamente 900 numeri per incorrere in enormi spese o hacker che ascoltano conversazioni aziendali Fortune 500 per scopi di spionaggio industriale.
Una volta composto il telefono, il manuale di installazione è tutto ciò di cui un phone phreaker ha bisogno per entrare, cambiare la password, cambiare le impostazioni del telefono, cambiare il numero di chiamata in uscita o qualsiasi altra cosa che viene presentata dal set di funzioni del telefono. Inoltre, possono collegarsi e semplicemente ascoltare.
Quante conversazioni private si svolgono in ascensore? Molte, perché le persone comunemente presumono di essere entrate in una stanza sigillata dove nessun altro può sentire.
Come possiamo contrastare questo nefasto phreaking telefonico? Il modo più semplice ed efficace è modificare il codice di accesso predefinito del telefono ed evitare di utilizzare qualcosa di facile da indovinare, come "1234". Inoltre, assicurati di utilizzare tutte le cifre consentite dal codice di accesso, preferibilmente otto o più. Se il tuo telefono non supporta almeno un passcode di otto cifre, considera di sostituirlo con uno che lo faccia. Maggiore è il numero di cifre, minore è la probabilità che la password possa essere violata da quella che viene definita "forza bruta".
Senza l'accesso al telefono o una password predefinita, la maggior parte dei phone phreaker passerà rapidamente a un obiettivo più vulnerabile e lascerà in pace il tuo. Tuttavia, se c'è qualche ragione per cui il tuo telefono è un obiettivo specifico e richiede una maggiore sicurezza, un modo per mettere un firewall importante tra il telefono e potenziali hacker è rimuoverlo da un sistema POTS e convertirlo per utilizzare una rete wireless. Questo dovrebbe essere uno che ti permetterà di programmare in quella che è conosciuta come una "lista bianca", che blocca tutte le chiamate telefoniche in arrivo, ad eccezione dei numeri che preautorizzi durante la programmazione. In questo modo, solo una linea designata del call center può chiamare il telefono.
Sia che tu implementi entrambi questi passaggi o, per lo meno, cambi la password predefinita, questo dovrebbe rendere il tuo telefono dell'ascensore molto meno facile da frugare e consentirgli di svolgere la sua importante funzione prevista: da utilizzare solo per le reali emergenze.