Nello zainetto di Wouter Slotboom, 34 anni, c’è un apparecchio nero, appena più grande di un pacchetto di sigarette, con un’antenna. Ho incontrato Wouter in un bar qualsiasi del centro di Amsterdam. È una bella giornata e quasi tutti i tavolini sono occupati. C’è chi chiacchiera, chi lavora con il portatile e chi gioca con lo smartphone.

Wouter estrae il proprio portatile dallo zainetto e mette il dispositivo nero sul tavolo, nascondendolo sotto al menu. Chiediamo alla cameriera due caffè e la password del Wi-Fi. Intanto Wouter accende computer e apparecchio, lancia alcuni programmi e presto lo schermo inizia a riempirsi di righe verdi di testo. Poco alla volta si capisce che l’apparecchio di Wouter si sta collegando con i portatili, gli smartphone e i tablet dei clienti del bar.

Sullo schermo iniziano a comparire frasi come “iPhone Joris” e “MacBook di Simone”. L’antenna dell’apparecchio sta intercettando i segnali inviati dai portatili, dagli smartphone e dai tablet attorno a noi.

VEDI ANCHE: I consigli di un hacker per rendere sicura una conversazione privata via smartphone – Video

Sullo schermo inizia a comparire più testo. Riusciamo a vedere a quali reti Wi-Fi erano collegati in precedenza i dispositivi. A volte i nomi delle reti si compongono principalmente di numeri e lettere casuali, complicando una loro precisa localizzazione ma spesso e volentieri queste reti Wi-Fi rivelano il posto in cui si trovano.

Apprendiamo che Joris è passato prima da McDonald’s, ha probabilmente trascorso le vacanze in Spagna (molte reti con nomi in spagnolo) ed è stato sui kart (era collegato a una rete di un centro molto conosciuto per guidare i kart). Martin, un altro cliente del bar, si è registrato alla rete dell’aeroporto di Heathrow e a quella della compagnia aerea americana Southwest Airlines. Ad Amsterdam alloggia probabilmente all’ostello White Tulip. È stato anche in un coffee shop chiamato The Bulldog.

Sessione 1: far collegare tutti alla nostra finta rete

La cameriera ci serve il caffè e ci fornisce la password del Wi-Fi. Una volta che Slotboom si è collegato, può fornire a tutti i clienti una connessione internet e reindirizzare tutto il traffico internet attraverso il suo piccolo apparecchio.

La maggior parte degli smartphone, dei portatili e dei tablet cercano e si connettono automaticamente a reti Wi-Fi, preferendo di solito una rete con cui hanno già stabilito una connessione. Se, per esempio, siete già stati collegati alla rete T-Mobile sul treno, il vostro dispositivo cercherà una rete T-Mobile presente nell’area in cui vi trovate adesso.

L’apparecchio di Slotboom è capace di registrare tali ricerche e di presentarsi come una rete Wi-Fi fidata. D’un tratto vedo apparire sull’elenco dei network disponibili del mio iPhone il nome della mia rete di casa, come anche quella del mio ufficio oltre a una lista di bar, hall degli hotel, treni e altri luoghi pubblici che ho visitato. Il mio telefono si connette automaticamente a uno di questi network, che dipendono tutti dall’apparecchio nero.

Slotboom può anche diffondere il nome di una finta rete, facendo credere ai clienti di collegarsi in realtà alla rete del locale in cui si trovano. Per esempio, se un locale ha un Wi-Fi composto da lettere e numeri casuali (Fritzbox xyz123), Slotboom è capace di fornire il nome del network (Starbucks). Egli dice che le persone preferiscono collegarsi a questo.

Vediamo che sempre più clienti si collegano alla nostra finta rete. Il canto delle sirene del piccolo apparecchio nero sembra irresistibile. Abbiamo già 20 tra portatili e smartphone connessi alla finta rete. Se volesse adesso Slotboom potrebbe rovinare del tutto le vite delle persone collegate: può recuperare le loro password, rubare le loro identità e svuotare i loro conti in banca. Più tardi mi mostrerà come. Gli ho dato il permesso di hackerarmi per dimostrare di cosa è capace, anche se si sarebbe potuto fare con chiunque altro fosse dotato di uno smartphone in cerca di una rete o di un portatile collegato a una rete Wi-Fi pubblica.

VEDI ANCHE: Hacker e governi possono spiarti dalla fotocamera del tuo cellulare. Ecco come proteggerti – video

Tutto, sono davvero poche le eccezioni, può essere decifrato.

Che le reti Wi-Fi pubbliche non siano sicure non è proprio una notizia, lo è il fatto che non venga ricordato mai abbastanza. Attualmente ci sono, nel mondo, più di 1,43 miliardi di utenti di smartphone e, solo negli Usa, sono più di 150 milioni i proprietari di smartphone. Oltre 92 milioni di adulti americani possiedono un tablet e più di 155 milioni possiedono un portatile. Ogni anno cresce in tutto il mondo la domanda di portatili e tablet. Si stima che nel 2013 siano stati venduti in tutto il mondo 206 milioni di tablet e 180 milioni di portatili. Probabilmente chiunque possiede un dispositivo portatile si è collegato una volta con un rete Wi-Fi pubblica: bevendo un caffè, sul treno o in albergo.

Una persona lavora a un computer durante il decimo forum internazionale sulla sicurezza informatica a Lille, il 23 gennaio 2018. / AFP PHOTO / Philippe HUGUEN (Photo credit should read PHILIPPE HUGUEN/AFP/Getty Images)

La buona notizia è che alcuni network sono più protetti rispetto ad altri; alcuni servizi di e-mail e di social media impiegano metodi di cifratura più sicuri di quelli dei loro concorrenti. Ma, passate una giornata in giro con Wouter Slotboom e scoprirete che quasi ogni cosa o persona collegata a una rete Wi-Fi può essere hackerata. Uno studio eseguito da Risk Based Security, società di consulenza sulle minacce alla sicurezza informatica, stima che nel 2013 in tutto il mondo siano stati esposti oltre 822 milioni di dati, tra cui numeri di carte di credito, date di nascita, informazioni sanitarie, numeri di telefono, numeri di previdenza sociale, indirizzi, username, e-mail, nomi e password. Il 65% di questi dati proveniva dagli Usa. La società di sicurezza informatica Kaspersky Lab stima che nel 2013 siano stati vittime di tentativi di phishing — o pharming – 37,3 milioni di utenti in tutto il mondo e 4,5 milioni di americani, cioè furti di dettagli di pagamenti effettuati da computer, smartphone o utenti di siti internet hackerati.

Sempre più notizie mostrano come le frodi che riguardano l’identità digitale siano un problema in continua crescita. Al momento, hacker e cybercriminali hanno a loro disposizione molti trucchi diversi. Ma la diffusione di reti Wi-Fi aperte e non protette rende loro tutto molto più semplice. Il Centro di Cybersicurezza Nazionale olandese, una divisione del Ministero della Sicurezza e della Giustizia, non ha diffuso invano il seguente consiglio: “Non è consigliabile l’impiego di reti Wi-Fi aperte in luoghi pubblici. Se si usano queste reti, è meglio evitare attività lavorative o finanziarie”.

Slotboom si definisce un “hacker etico”, o uno dei bravi ragazzi; un appassionato di tecnologia che vuole svelare i pericoli potenziali della rete e della tecnologia. Fornisce consulenza a persone e aziende su come proteggere meglio se stessi e le proprie informazioni. Di solito, come fatto adesso, esegue la dimostrazione di come sia semplice provocare danni. Perché, davvero, è un gioco da ragazzi: l’apparecchio costa poco e il software per intercettare il traffico è molto semplice da usare e prontamente disponibile per il download. “Tutto quello che ti serve sono 70 euro, un quoziente intellettivo medio e un po’ di pazienza”, dice. Eviterò di approfondire gli aspetti più tecnici, quali l’equipaggiamento, il software e le app necessarie per hackerare la gente in giro per la città.

Sessione 2: ricerca di nomi, password e orientamento sessuale

Uno studio condotto da Risk Based Security, società di consulenza per le informazioni sulle minacce online stima che più di 822 milioni di dati sono stati esposti a possibili attacchi hacker in tutto il mondo nel 2013, inclusi numeri di carte di credito, date di nascita, informazioni mediche, numeri di telefono, numeri di previdenza sociale, indirizzi, nomi utente, e-mail, nomi e le password. Justin Sullivan/Getty Images

Armati dello zainetto di Slotboom, ci spostiamo in una caffetteria nota per i bellissimi fiori disegnati nella schiuma dei cappuccini, e come un punto di ritrovo di lavoratori freelance che usano il portatile. Il locale è pieno di persone concentrate sui propri schermi.

Slotboom accende il proprio equipaggiamento. Eseguiamo gli stessi passaggi e in un paio di minuti una ventina di dispositivi sono collegati al nostro. Vediamo di nuovo i loro indirizzi Mac e la loro cronologia e, in alcuni casi i nomi dei proprietari. Su mia richiesta, facciamo un passaggio ulteriore.

Slotboom lancia un altro programma (sempre prontamente disponibile per il download), che gli consente di estrarre ancora più informazioni dagli smartphone e dai portatili collegati. Possiamo vedere le specifiche dei modelli dei telefoni (Samsung Galaxy S4), le impostazioni linguistiche dei vari dispositivi e la versione del sistema operativo usato (iOS 7.0.5). Se un dispositivo ha un sistema operativo obsoleto, per esempio, ci sono sempre dei “bug” conosciuti, o buchi nel sistema di sicurezza che possono essere facilmente sfruttati. Con questo tipo di informazioni hai quello che ti serve per entrare nel sistema operativo e prendere il controllo del dispositivo. Un campione dei clienti della caffetteria rivela che nessuno dei dispositivi collegati possiede la versione più recente del sistema operativo installato. Per tutti questi sistemi operativi più vecchi esiste online un elenco dei bug noti.

LEGGI ANCHE: Difendere Pc e smartphone da virus e attacchi informatici: 4 regole antihacker

Adesso possiamo vedere alcuni dei traffici in rete che stanno avvenendo attorno a noi. Vediamo che da un MacBook qualcuno sta navigando sul sito Nu.nl. Possiamo vedere che molti dispositivi stanno inviando documenti tramite WeTransfer, alcuni sono collegati a Dropbox e altri sono attivi su Tumblr. Vediamo che qualcuno si è appena collegato a FourSquare e che appare anche il suo nome. Dopo aver cercato il suo nome su Google, lo riconosciamo come la persona seduta al tavolo affianco al nostro.

Le informazioni arrivano a fiotti, anche da clienti che non stanno lavorando o navigando attivamente. Molti programmi e app per e-mail si collegano continuamente con i relativi server, un passaggio necessario per scaricare le nuove e-mail. Per molti dispositivi e programmi, possiamo vedere quali informazioni vengono inviate e a quali server.

E adesso, la cosa si fa davvero personale. Vediamo che un cliente ha sullo smartphone l’app per appuntamenti gay Grindr. Vediamo anche il nome e il tipo di smartphone che sta usando (iPhone 5s). Ci fermiamo qui, ma scoprire a chi appartiene lo smartphone sarebbe una passeggiata. Vediamo anche che il telefono di qualcuno sta cercando di collegarsi in Russia, inviando anche la password, che possiamo intercettare.

Sessione 3: ottenere informazioni su lavoro, hobby e problemi relazionali

Un laptop visualizza un messaggio dopo essere stato infettato da un ransomware come parte di un attacco informatico mondiale il 27 giugno 2017 a Geldrop./ AFP PHOTO / ANP / Rob Engelaar / Netherlands OUT (Photo credit should read ROB ENGELAAR/AFP/Getty Images)

Molti tra app, programmi, siti internet e software impiegano tecnologie di cifratura che servono ad assicurare che l’informazione inviata e ricevuta da un dispositivo non sia accessibile a persone non autorizzate. Ma una volta che l’utente è collegato alla rete Wi-Fi di Slotboom, queste misure di sicurezza possono essere aggirate piuttosto facilmente con l’aiuto di un software di cifratura.

Con nostra grande sorpresa vediamo un’app che invia informazioni personali a una società che vende pubblicità online. Tra le altre cose, vediamo i dati di localizzazione, le informazioni tecniche del telefono e le informazioni sulla rete Wi-Fi. Possiamo anche vedere il nome (e cognome) di una donna che usa il sito di social bookmarking Delicious. Delicious permette agli utenti di condividere i siti internet a cui sono interessati. In principio le pagine condivise dagli utenti di Delicious sono disponibili pubblicamente ma non possiamo fare a meno di sentirci dei voyeur quando ci rendiamo conto di quanto riusciamo a sapere della donna in base a queste informazioni.

Prima cerchiamo il suo nome su Google, cosa che ci permette subito di determinare che aspetto ha e dov’è seduta al momento. Vediamo che è nata in un altro stato europeo e si è trasferita in Olanda solo da poco. Attraverso Delicious scopriamo che sta visitando il sito di un corso di olandese e che ha messo tra i preferiti un sito con informazioni su un corso olandese d’integrazione.

LEGGI ANCHE: L’FBI svela come gli hacker russi hanno violato milioni di account Yahoo senza neppure bisogno delle password

In meno di 20 minuti, ecco quello che abbiamo scoperto della donna seduta a 3 metri da noi: dov’è nata, dove ha studiato, che è interessata allo yoga, che ha salvato il collegamento a un’offerta di mantra per non russare, è stata recentemente in Thailandia e in Laos e dimostra un grande interesse in siti che spiegano come salvare una relazione.

Slotboom mi mostra qualche altro trucco da hacker. Usando un’app sul suo telefono, può cambiare determinate parole su qualsiasi sito. Per esempio, ovunque è menzionata la parola “Opstelten” (il nome di un politico olandese), al suo posto sulla pagina le persone vedono la parola “Dutroux” (il nome di un serial killer in prigione). Lo abbiamo provato e funziona. Abbiamo provato un altro trucco: chiunque carichi un sito che contiene immagini vede un’immagine scelta da Slotboom. Può sembrare divertente, se vuoi fare uno scherzo, ma permette anche di caricare sul telefono di qualcuno immagini pedopornografiche, il cui possesso è un reato penale.

Password intercettata

Questa foto scattata il 3 novembre 2016 mostra un elenco di virus sullo schermo di un pc presso il Lhs (High Security Laboratory) dell’Inria (Istituto nazionale per la ricerca in informatica e automazione) a Rennes (Francia). / AFP / DAMIEN MEYER (Photo credit should read DAMIEN MEYER/AFP/Getty Images)

Andiamo in un altro bar. Come ultima cosa chiedo a Slotboom di mostrarmi cosa farebbe se volesse davvero farmi del male. Lui mi chiede di andare su Live.com (il sito di e-mail di Microsoft) e di inserire uno username e una password casuali. Qualche secondo più tardi, sul suo schermo appaiono le informazioni che ho appena digitato. “Adesso ho i dettagli del login del tuo account e-mail”, dice. “Come prima cosa cambierei la password del tuo account e comunicherei agli altri servizi che usi che ho dimenticato la password. La maggior parte delle persone usa lo stesso account e-mail per tutti i servizi. E queste nuove password saranno quindi inviate alla tua casella postale, il che significa che anch’io ne potrò disporre”. Facciamo lo stesso con Facebook: Slotboom è capace di intercettare il nome e la password che ho inserito per il login con relativa facilità.

VEDI ANCHE: Poche semplici mosse per proteggere il tuo account Twitter da attacchi hacker

Un altro trucco impiegato da Slotboom è quello di deviare il mio traffico internet. Per esempio, ogni volta che provo ad accedere alla pagina web della mia banca, lui ha dato istruzioni al suo programma di reindirizzarmi su una sua pagina: un sito clonato che sembra identico a quello fidato ma che in effetti è controllato completamente da Slotboom. Gli hacker lo definiscono Dns spoofing. Le informazioni che ho inserito sul sito sono conservate sul server di Slotboom. In 20 minuti ha ottenuto i dettagli di login, compresa la password per i miei account di Live.com, Sns Bank, Facebook e DigiD.

Non mi collegherò mai più a una rete Wi-Fi pubblica non sicura senza prendere delle misure di sicurezza.

L’articolo originale è apparso sulla piattaforma di giornalismo online olandese De Correspondent. Tutti i nomi presenti nell’articolo sono inventati, tranne quello di Wouter Slotboom, che ha trattato i dati intercettati con la massima attenzione e li ha cancellati immediatamente dopo il nostro ultimo incontro.