Se qualcosa può essere connesso alla rete, allora può essere violato. Computer e dispositivi mobili in genere sono tuttora obiettivi piuttosto popolari fra gli hacker, ma cresce sempre più l’interesse dei malintenzionati per automobili, sistemi di sicurezza domestica, smart TV e impianti industriali. Questo è stato forse il messaggio più evidente fornito nel corso delle hacking conference BlackHat 2013 e DEF CON 21 di quest’estate, che ogni anno radunano diversi ricercatori e hacker per presentare le più recenti vulnerabilità e i più interessanti exploit da essi scoperti. In pratica, un’appassionante combinazione di passione, affari e servizio pubblico.
I relatori solitamente informano i rispettivi produttori sulle vulnerabilità scoperte ben prima di presentarle alle conferenze citate, per consentirne la soluzione prima che divengano di pubblico dominio e possano essere sfruttate su vasta scala da eventuali malintenzionati. Essi sono perlopiù “white-hat” hacker, ovvero hacker “etici” che mettono le proprie conoscenze e il proprio lavoro di ricerca al servizio della collettività, incoraggiando una maggiore sicurezza da parte dei produttori e delle industrie, nonché una maggiore attenzione da parte dei consumatori.
Sebbene le cinque violazioni di seguito illustrate possano risultare già conosciute agli esperti di settore, credo che risulteranno oltremodo interessanti per tutti coloro che nemmeno lontanamente possono immaginarne l’attuazione, né le possibili conseguenze.
Il controllo remoto e la violazione delle automobili
Se qualcuno viola il tuo computer o il tuo smartphone, le possibili ripercussioni vanno dalla semplice seccatura, alla compromissione della privacy e al furto d’identità. Se qualcuno viola la tua auto, beh, puoi rischiare la vita. Alcune presentazioni sulla violazione delle automobili hanno inaugurato la conferenza DEF CON 21 e, in una di queste, l’hacker australiano Zoz ha delineato i problemi di sicurezza che affliggono le auto moderne, sempre più dotate di dispositivi computerizzati e strumenti di comunicazione, affermando che la violazione delle auto sarà un fenomeno inevitabile. Secondo Zoz, infatti, un hacker malintenzionato può prendere il controllo completo di un’automobile attraverso la rete wireless e agire arbitrariamente sui vari sensori per fornire informazioni artefatte ai sistemi di controllo e di guida, ad esempio su posizione geografica, velocità e prossimità di altri veicoli od oggetti.
Le auto moderne contengono decine di piccoli computer: ABS, ESP, connessione Internet, bluetooth, sensori wireless di pressione degli pneumatici, unità telematiche, navigatori, computer di bordo, sistemi di comunicazione cellulare, Wi-Fi e satellitare, antifurto evoluti, sistemi di assistenza alla guida, controllo di prossimità, controllo dell’attenzione del guidatore e via dicendo. Tutte le auto di recente produzione fanno affidamento su un numero impressionante di sensori, centraline e minicomputer per il controllo del corretto funzionamento dei vari dispositivi installati. Veicoli con guida completamente autonoma arriveranno probabilmente fra qualche anno, ma i sistemi computerizzati sono già oggi piuttosto comuni sui veicoli in vendita e i dispositivi di guida e di sicurezza più importanti, come i sistemi di frenata, sterzo , acceleratore, strumentazione, airbag e cinture di sicurezza, sono già largamente gestiti da sistemi elettronici e informatici, non più prettamente meccanici.
I produttori di veicoli sono perfettamente al corrente delle vulnerabilità dei propri veicoli, tanto che l’agenzia militare statunitense DARPA (Defense Advanced Research Projects Agency) ha dato mandato a due ricercatori di verificare quali danni è possibile arrecare ad un veicolo e ai suoi occupanti e quali contromisure i rispettivi produttori debbano attuare per prevenirli. Così Charlie Miller, ricercatore di sicurezza di Twitter, e Chris Valasek, direttore della security intelligence di IOActive, hanno lavorato su due veicoli ibridi, una Toyota Prius e una Ford Escape. Connettendo fisicamente un computer alla porta di connessione per la diagnostica e scrivendo software appositamente confezionato, i due ricercatori sono riusciti a violare i dispositivi di guida e di sicurezza dei due veicoli, disattivando il sistema frenante, modificando i valori del tachimetro o i livelli del carburante, scombussolando i parametri dello sterzo e delle cinture di sicurezza, spegnendo il motore e giocando con altri dispositivi più innocui come clacson e luci.
Toyota ha minimizzato la dimostrazione dei due ricercatori, dichiarando che è all’opera per individuare opportune misure di sicurezza che consentano di prevenire attacchi wireless. Ma i due modelli di auto sopra citati non sono certo gli unici suscettibili a questo tipo di attacchi. Le automobili vengono costantemente disegnate e progettate nel massimo rispetto dell’incolumità di guidatore, passeggeri e pedoni, nonché sottoposte a numerosi crash-test dai produttori, da organi di controllo e da terze parti indipendenti, ma oggi non è più possibile garantire l’incolumità e la sicurezza fisica degli occupanti senza garantire un adeguato livello di sicurezza informatica.
La compromissione degli smartphone… e non solo!
Da qualche anno la comparsa degli smartphone e la loro rapida ed inarrestabile evoluzione ha creato un nuovo ed importante campo d’azione per gli hacker malintenzionati, nonostante gli sforzi degli App Store per tenere alla larga il malware, non più mediante i classici e fastidiosi virus, ma con ben più subdoli, silenti ed insidiosi software di spionaggio e intercettazione ambientale. Come ha dimostrato Kevin McNamee, trasformando uno smartphone Android in uno “spy phone” che consente di monitorare da remoto il possessore, inviando al malintenzionato svariate informazioni sulla posizione geografica o su tipo e contenuto delle comunicazioni, foto e video compresi, come un vero e proprio dispositivo di sorveglianza personale a distanza, semplicemente iniettando una piccola porzione di codice arbitrario in applicazioni popolari, ad esempio il famosissimo gioco “Angry Birds”.
Ma ad essere violati non sono solo i dispositivi mobili. Sempre più provider di servizi cellulari, infatti, con Verizon in testa, ricorrono a particolari dispositivi di estensione del servizio di telefonia e navigazione cellulare denominati “femtocell”: ebbene, questi dispositivi sono stati violati con successo da ricercatori di iSEC Partners per intercettare chiamate vocali e qualsiasi altro dato inviato su rete cellulare, come messaggi di testo, immagini e altri contenuti multimediali. Verizon ha prontamente sviluppato e diffuso un aggiornamento di sicurezza per tutti i propri dispositivi femtocell ma altri operatori potrebbero tuttora essere afflitti dalla medesima vulnerabilità.
Infine, anche un semplice caricabatterie per iPhone può essere trasformato in uno strumento di spionaggio utilizzando componenti elettronici da pochi dollari: i ricercatori Billy Lau, Yeongjin Jang e Chengyu Song hanno dimostrato come un semplice caricabatterie possa catturare password, codici di protezione, informazioni sulla posizione geografica, messaggi di posta elettronica e altri contenuti dal popolarissimo smartphone. Apple ha ringraziato pubblicamente i ricercatori, affermando di aver avviato lo sviluppo di un apposito aggiornamento che sarà incluso nel nuovo sistema operativo iOS 7 in rilascio entro la fine del 2013. Fino ad allora, meglio fare attenzione!
Le abitazioni troppo “smart”
Grazie all’adozione di sensori economici e a basso consumo, qualsiasi dispositivo della tua abitazione può essere trasformato in uno “smart device” da connettere ad Internet per poter essere controllato da computer o da smartphone in qualsiasi momento e da qualsiasi posto. Allo sviluppo e alla crescente diffusione di avanzati sistemi di domotica, in grado di monitorare, configurare e gestire frigoriferi, sistemi di condizionamento e riscaldamento, illuminazione, serramenti servoassistiti, televisori, stereo, lavatrici e lavastoviglie, si è affiancata la comparsa sul mercato di sistemi elettronici di protezione perimetrale e sorveglianza ambientale, come serrature, telecamere e sistemi antifurto, connessi permanentemente alla rete domestica e ad Internet.
Anche in questo ambito, però, i dispositivi domestici connessi in rete possono generare danni e violazioni se compromessi da malintenzionati. Due diverse presentazioni, infatti, hanno illustrato come sia possibile accedere ad abitazioni private dalla porta d’ingresso semplicemente sbloccando le serrature elettroniche di ultima generazione. Ancor più terrificante la prospettiva di essere spiati a nostra insaputa e, soprattutto, per mezzo delle nostre stesse telecamere! Le telecamere di sorveglianza interna possono essere disabilitate dal malintenzionato che vuole entrare in casa, oppure possono essere trasformate in strumenti di sorveglianza da remoto, ovviamente senza che gli occupanti se ne accorgano. Un ricercatore ha dimostrato, inoltre, quanto sia facile, con un semplice computer, attivare ed intercettare il flusso video delle telecamere montate su certi giocattoli per bambini.
Infine, i ricercatori Aaron Grattafiori e Josh Yavor hanno rilevato alcune vulnerabilità nella serie 2012 delle Smart TV di Samsung che consentono di attivare e intercettare il flusso video della telecamera integrata nel televisore. Samsung ha annunciato di aver già predisposto e rilasciato un aggiornamento software per risolvere la vulnerabilità.
In ogni caso, resta valida (e consigliabile) l’abitudine di piazzare un pezzettino di nastro adesivo su qualsiasi telecamera, integrata o non, che possa furtivamente spiarci contro la nostra volontà, tanto per esserne fisicamente certi.
Gli hacker vanno sul personale
Sebbene la vicenda di Edward Snowden e NSA sia ancora presente nell’opinione pubblica e sui media, l’esistenza di un dispositivo di sorveglianza fatto in casa in grado di catturare, in maniera silente, porzioni di dati da vari dispositivi informatici ed elettronici, anche quando non sono connessi online, è alquanto preoccupante. Eppure è proprio ciò che Brendan O’Connor, laureando in legge e fondatore di una società di sicurezza, ha creato con le proprie mani: si chiama “CreepyDOL” (DOL sta per Distributed Object Locator, mentre “Creepy” significa “raccapricciante”) ed è fatto con un computer Raspberry Pi, un hub USB, due connessioni WiFi, una scheda SD e un alimentatore USB dentro ad un case di colore nero del tutto anonimo, per un costo totale di soli 57 dollari.
Computer, smartphone, cellulari, tablet e altre apparecchiature mobili agiscono come dispositivi di tracciatura e lasciano costantemente fuoriuscire dati ed informazioni. Quando entra in azione, CreepyDOL rileva tutti questi dispositivi nelle vicinanze e li utilizza per tracciare la posizione geografica e il comportamento dei rispettivi utenti, determinando chi sono, dove vanno e cosa fanno online. Per dimostrarne il funzionamento senza infrangere la legge, O’Connor ha illustrato le sue informazioni personali raccolte da uno dei suoi dispositivi: usando un motore di gaming e Open Street Maps, il ricercato ha semplicemente posizionato il cursore del mouse sopra il suo puntino sulla mappa, ottenendo informazioni come il suo nome, l’indirizzo di posta elettronica, una fotografia, il sito di incontri che aveva visitato, svariati dettagli sui suoi dispositivi e tutti i luoghi visitati in città.
In uno degli scenari prefigurati da O’Connor, un malintenzionato potrebbe piazzare un dispositivo analogo in un qualsiasi Starbucks nei pressi di un edificio governativo per pedinare un politico o un senatore e attendere che commetta qualcosa di compromettente. “Trovi qualcuno di potente e lo sfrutti” – ha detto O’Connor. Il dispositivo è notevole, soprattutto in considerazione della sua semplicità, economicità ed efficienza. È molto probabile che altri dispongano delle medesime capacità e siano in grado di sfruttare le medesime vulnerabilità di applicazioni, siti web, dispositivi e reti.
Impianti industriali e infrastrutture critiche nazionali
Eppure i più preoccupanti obiettivi evidenziati nel corso della conferenza sono sul piano esattamente opposto rispetto a quello personale: le infrastrutture critiche nazionali, un argomento di cui ho già scritto approfonditamente. Impianti petroliferi, gasdotti, infrastrutture di trattamento delle acque, centrali e reti elettriche sono potenziali obiettivi di hacker malintenzionati. Quasi tutti questi impianti sono controllati e gestiti per mezzo di sistemi SCADA (Supervisory Control And Data Acquisition), molti dei quali sono obsoleti e sono stati installati tanto tempo fa, quando ancora non si parlava neanche di attacchi informatici. Successivamente, per agevolarne controllo, gestione e monitoraggio, questi sistemi critici sono stati progressivamente connessi ad Internet, utilizzando però protocolli e architetture di rete tutt’altro che sicuri, con l’aggravante che molti di questi sistemi, soprattutto in gasdotti e reti elettriche, sono fisicamente distribuiti in località remote e non agevolmente raggiungibili o presidiabili.
Numerose dimostrazioni hanno spietatamente illustrato quanto sia semplice violare questi sistemi e gli impianti industriali. I ricercatori Brian Meixell e Eric Forner hanno inscenato una finta violazione di un pozzo petrolifero, utilizzando alcune pompe e un serbatoio pieno di un liquido verdeazzurro. Poi hanno violato il sistema, attivato e disattivato le pompe, fino a far straboccare il serbatoio inviando al sistema di controllo dati appositamente artefatti. Secondo i due ricercatori, se questo fosse accaduto in un impianto petrolifero reale, la compromissione avrebbe provocato una vera e propria catastrofe ambientale.
Secondo i ricercatori Carlos Penagos e Lucas Apa, inoltre, è possibile spegnere un intero impianto industriale da una distanza di 40 miglia (più di 60 chilometri) utilizzando un radiotrasmettitore: i due hanno dimostrato come l’invio di false misurazioni all’impianto possa provocare un differente comportamento del dispositivo ricevente. Ad esempio, un malintenzionato potrebbe innescare il trabocco di un serbatoio semplicemente inviando dati artefatti riguardanti un insolito aumento di temperatura.
Le industrie e i governi sono perfettamente a conoscenza dell’alto livello di vulnerabilità dei sistemi di controllo industriale, ma la loro distribuzione in remoto e la loro obsolescenza rendono l’adeguamento particolarmente difficile e oneroso, anche perché non esistono sistemi preconfezionati per i quali sia possibile sviluppare e rilasciare aggiornamenti software, analogamente ai personal computer. Il decreto presidenziale sulla sicurezza cibernetica, intitolato “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”, sottoscritto il 24 gennaio di quest’anno e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana il 19 marzo scorso, rappresenta il primo passo ufficiale verso la definizione di un piano di sicurezza cibernetica nazionale, da realizzarsi entro la fine del 2013, e verso l’allestimento di un sistema organico all’interno del quale, sotto la guida della presidenza del Consiglio, i vari organi della sicurezza nazionale possano dare il proprio contributo. Ma siamo ancora troppo indietro sul tema.
Provate allora ad immaginare l’arresto totale dei sistemi di trasporto: treni, autostrade, segnaletica stradale, sistemi di controllo del traffico aereo, della movimentazione portuale, ferrovie e metropolitane. Oppure all’indisponibilità dei sistemi finanziari: borsa, reti interbancarie, Internet Banking, sportelli Bancomat e terminali POS. Oppure ancora all’interruzione prolungata dei servizi primari, fondamentali per il sostentamento e la sopravvivenza: energia elettrica, acqua, gas, rete fognaria, telecomunicazioni, sistema sanitario e ospedaliero. Per non parlare di industrie petrolchimiche, chimiche e impianti nucleari.
Capita la dimensione del problema?
Per maggiori approfondimenti su questo specifico argomento vi rimando alla lettura di articoli precedenti come “Saldi per incendio, uno scenario meno improbabile di quanto si creda” e “Le infrastrutture critiche, il vero campo di battaglia della sicurezza cibernetica”.
Ettore Guarnaccia