E’ di questi giorni la notizia che la NASA, l’agenzia americana preposta all’aviazione ed allo spazio, sia stata hackerata. Le modalita’ ricordano molto quelle della serie televisiva Mr Robot, show estremamente popolare negli ultimi anni. Cerchiamo un attimo di capire esattamente che cosa e’ successo

Che la sicurezza assoluta non esista e’ un dato di fatto noto: gia’ Omero ci ha raccontato di quanto le mura di una citta’ non sono poi tanto sicure se viene lasciata una porta aperta. Proprio questo e’ infatti da sempre il problema dei sistemi informatici: la sicurezza non dipende solo dalle macchine e dal codice, spesso e volentieri dipende dalle persone. E le persone, generalmente, commettono errori. Le persone sono Hackerabili piu’ dei sistemi. Da oggi lo sanno anche alla NASA.

E’ questo cio’ che e’ successo nei mesi passati alla NASA(piu’ precisamente al Jet Propulsion Laboratory o JPL): 23 file per un peso complessivo di oltre 500 Megabyte di informazioni principalmente riservate hanno preso il largo. Ma come e’ stato possibile?

Lo stato dell’arte

Sicuramente il JPL puo’ vantare uno dei sistemi di sicurezza informatici migliori del mondo. D’altronde, se consideriamo che la maggior parte delle informazioni che girano per quegli uffici sono classificate e’ logico pensare ai server della NASA come ad una fortezza digitale.
Anche il personale, tra i piu’ tecnicamente preparati al mondo, dovrebbe essere sinonimo di sicurezza.

Eppure, per ben 10 mesi una entita’ esterna ha scaricato indisturbato o quasi non pochi file riguardanti missioni spaziali importanti.

Inutile dire che l’autore e’ adesso nel centro delle attenzioni delle agenzie federali di tutta America. Ancora nessuna identificazione, ma le autorita’ affermano di stare seguendo piu’ piste promettenti.

Hackerare la NASA: istruzioni per l’uso

Come abbiamo detto al principio, per un pirata informatico cercare errori in un sistema informatico e’ abbastanza complicato. Sistemi come quelli del JPL, infatti, vengono progettati a piu’ mani, seguono gli standard piu’ severi, passano selezioni e test in assoluto tra i piu’ complessi e strutturati che l’uomo abbia concepito. Infine, cosa non banale, sono sempre ridondanti. Se anche parte del sistema dovesse cedere, la sua totalita’ continuerebbe ad essere efficiente ed efficace. In gergo questo concetto si definisce “No Single Point of Failure”. Se anche un singolo punto del sistema dovesse fallire, comunque l’architettura rimarrebbe stabile.

Appare quindi ovvio che un singolo ragazzo, per quanto in gamba, difficilmente possa aver trovato il bug in questa architettura ed averlo sfruttato per diventare, almeno al momento, uno degli hacker piu’ gettonati del pianeta.

Quando esiste un problema, giragli attorno

Ma passiamo alla parte succosa della vicenda: come si hackera la NASA?
La risposta, in effetti, e’ molto semplice: pazienza e fiducia.
La pazienza fa attendere l’hacker, lo sottrae all’impulsivita’, gli evita di tuffarsi in delle situazioni potenzialmente pericolose solo per cercare di conseguire un risultato eccellente prima del tempo. La fiducia, invece, serve per convincersi che prima o poi qualcuno sbagliera’. E questa fiducia, per quanto possa sembrare strano, e’ sempre ben riposta nel genere umano.

Primo errore umano: il Raspberry

Un Raspberry: tanto e’ bastato per consentire l’exploit della nasa (Photo Credits: WikiMedia)

L’uomo sbaglia, mitologia e cultura ce lo insegnano da secoli se non millenni. Adamo ed Eva mangiano la mela, la madre di Achille lo tiene per un tallone, Otello crede a Iago e non a Desdemona. Ed oggi qualcuno connette un Raspberry alla rete della NASA.

Il Raspberry, per chi non lo conoscesse, e’ un minicomputer del costo di pochi dollari: da 35$ il piu’ economico a poco meno di 60$ il piu’ “caro” e performante. Molto curioso come questa scheda sia la stessa utilizzata in Mr Robot per far esplodere la farm della e-Corp. Proprio la serie aveva fatto crescere la notorieta’ tra i non addetti ai lavori di questo computerino estremamente apprezzato da chi si diverte con la programmazione.

Non sappiamo esattamente a quale scopo, ma qualcuno ha ritenuto una buona idea connetterne uno alla rete interna di JPL.

Mr Robot, la nota serie di Sam Esmail. L’exploit messo a segno alla NASA ha punti in comune con quello messo a segno dal protagonista nella serie (photo credits: Wikipedia)

Secondo errore umano: i sistemisti

I sistemisti, infatti, hanno giocato un ruolo fondamentale: non riponendo fiducia, come ha fatto l’hacker, nell’errore umano e quindi non pensando ad una contromisura. Pensando, infatti, che nessun membro interno a JPL potesse portare da casa un dispositivo con connettivita’ e collegarlo alla rete, non hanno preso tutta quella serie di precauzioni che avrebbero permesso di identificare suddetta connessione.

Il gioco e’ fatto: bye bye NASA

Sono stati rubati, in tutto, 500 Megabyte di dati, per un totale di 23 file riguardanti argomenti anche molto delicati.Tra questi il Trattato di regolazione del traffico di armi ed alcuni file della missione Mars Science Laboratory.

Ma il risultato piu’ importante e’ stato sicuramente un altro. Questo episodio ha portato alla luce ancora una volta, se necessario, che non esiste la sicurezza assoluta. Un tema che dovrebbe stare a cuore a tutti noi che, tramite Social Network, inviamo costantemente dati sensibili riguardanti noi e la nostra famiglia.

Francesco Avanzi