News

01/04/2022

Come hackerare una pompa di carburante - La guida definitiva per avere benzina gratis

Vuoi sapere come fare il pieno di carburante, che si tratti di benzina o diesel, nel modo più economico possibile? È più semplice di quanto pensi risparmiare in questo periodo di caro carburante. Puoi fare il pieno ovunque ti trovi o al tuo distributore abituale senza spendere 1 €. La procedura è semplice, basta essere un po' "smanettoni"!

In questo periodo di caro carburanti, abbiamo scoperto una falla nel sistema delle pompe per il rifornimento che vogliamo svelarvi, in segno di protesta!

Da sempre realizziamo portali web, siti internet e web app con i più alti livelli di sicurezza. Il nostro obiettivo infatti è di fornire ai nostri clienti degli strumenti che garantiscano loro la protezione dei dati e delle informazioni in essi contenuti.

Mostra il codice

Per fare questo conosciamo entrambi i lati della medaglia, la programmazione secondo gli standard di sicurezza e le diverse metodologie per violare un sito web.

Tutto è nato a partire da quanto è accaduto negli Stati Uniti, in cui un gruppo di hacker sono riusciti a trovare questa vulnerabilità nei sistemi di erogazione del carburante.

È fondamentale quindi, prima di tutto, capire esattamente quanto avvenuto nei distributori degli USA.

Per questo, abbiamo tradotto un articolo del 19 marzo di cnx-software che racconta i dettagli del caso.

I distributori di benzina possono essere poco sicuri quanto il tuo router

Qualche giorno fa, è stato manomesso il sistema di erogazione delle pompe di benzina di una stazione di servizio. Grazie all’uso di uno speciale telecomando, sono stati rubati circa 400 galloni (oltre 1500 Litri) di benzina. Non si tratta di un caso isolato e in passato sono stati svariati i trucchi per manomettere le pompe di benzina, come quello di utilizzare un sistema Linux embedded connesso ad Internet al posto di un router. È comprovato che i dispositivi connessi ad Internet, come le telecamere IP e i router, spesso non sono sicuri perché vengono lasciati con impostate le credenziali (username/password) di default.

Durante i miei viaggi degli ultimi anni, riuscivo quasi sempre a connettermi all’interfaccia web dei router usando la nota (e rischiosa) combinazione admin/admin. Nel 2016 ho però scoperto che cambiare le credenziali di default era comunque poco utile, in quanto la porta telnet del mio router era comunque accessibile dall’esterno e configurata con username e password di default.

Le pompe di benzina e i router hanno in comune molto più di quello che pensavo. Come ha riportato FOX 8, molti modelli sono dotati di credenziali si accesso standard, che non sempre vengono modificate dal gestore della stazione di servizio, così, grazie ad uno speciale telecomando, è possibile cambiare il prezzo della benzina e altri parametri. In alcune stazioni di servizio viene creato un sistema così detto “Internet of Things”, poiché tutte le pompe sono connesse al Cloud tramite portali (chiamati nello schema seguente embedded box) in grado di monitorare tutto a distanza, con l’introduzione di svariate vulnerabilità di sicurezza, come ha osservato uno studio Kaspesky del 2018.

Nello studio menzionato, “è stata rinvenuta una macchina embedded Linux con un servizio httpd responsabile della gestione di ogni componente e molto altro. Il computer era connesso ad Internet e infatti ricercando una specifica stringa di caratteri in servizi come Shodan, si poteva risalire a circa 1000 computer embedded installati in tutto il mondo.

Al tempo dello studio, Kaspersky indicava che circa il 29% delle stazioni di servizio in India e il 27% negli Stati Uniti erano connesse ad Internet.

I manuali d’uso distribuiti dai produttori delle macchine embedded includevano gli screenshot, le credenziali di default, diversi comandi e una guida passo a passo su come accedere e gestire ognuna delle interfacce, senza che fosse necessario essere degli hacker esperti per collegarsi alla dashboard. 
Kaspersky ha riportato: “abbiamo capito quanto fosse obsoleto il dispositivo, quando abbiamo scoperto che era operativo e accessibile da remoto attraverso servizi che non ci si aspetterebbe di vedere nei dispositivi moderni”.

Una volta che si ha accesso alla schermata di controllo, è possibile:

  • disattivare tutti i sistemi di rifornimento;
  • causare perdite di carburante ed eventuali vittime;
  • cambiare i prezzi della benzina;
  • manomettere i terminali di pagamento per rubare denaro;
  • alterare le targhe e le identità dei guidatori registrati;
  • bloccare le operazioni della stazione di servizio, chiedendo un riscatto;
  • eliminare il codice di controllo dei sistemi di sicurezza;
  • circolare liberamente all’interno della rete della stazione di servizio.

Ulteriori indagini sul firmware hanno rivelato password e username harcoded (ovvero inseriti direttamente nel codice, ndr) e codice che permetteva l’esecuzione di programmi da remoto.

Questi malfunzionamenti sono stati risolti quattro anni fa, ma probabilmente non tutte le macchine embedded sono state aggiornate.

Fonte: articolo tradotto da cnx-software

Arriviamo al dunque, vediamo come fare nel concreto per avere benzina gratis

Per motivi legali e per non far trovare il codice malevolo ai motori di ricerca lo abbiamo nascosto all'interno di questa pagina.

Troverete una guida passo passo per fare il pieno di benzina o diesel gratis e il codice segreto da usare per fare il rifornimento di carburante.

Fateci sapere se dal vostro benzinaio ha funzionato e se siete riusciti a farvi il pieno gratis!

Rivela il codice segreto

<article>
<1 Aprile 2022>
<p>🐟 Buon primo aprile a tutti! 🐟</p>
</1 Aprile 2022>
</article>

E buon viaggio a tutti, gratis!