0x2 — Quando l’Internet of Things fallisce

Qui si può ascoltare la puntata:

Oggi entriamo direttamente nei sogni distopici pervasi di tecnologia. Purtroppo però vedremo che non sono solo sogni ma stanno accadendo adesso. Il mondo digitale incontra la vita reale e la frantuma.

Parleremo dell’internet degli oggetti — IoT — che si sta sviluppando velocemente: ogni giorno, un nuovo elettrodomestico connesso ad internet viene introdotto sul mercato, portachiavi, termostati, serrature, auto, tutto sta diventando intelligente. In realtà però “intelligente” vuol dire semplicemente provvisto di una connessione ad internet e di un software in grado di eseguire dei processi. La connessione però getta la nostra casa ed i nostri oggetti direttamente nel cyberspazio e la mancanza di standard di sicurezza adeguati li mette a disposizione di chiunque abbia i mezzi e la volontà di cercare di forzarli.

Ransomware nel termostato intelligente

Alla DefCon, una delle più grandi ed importanti conferenze di hacker al mondo, che si è svolta dal 4 al 7 Agosto scorsi a Las Vegas, due ricercatori che si definiscono hacker white hat (quindi hacker che non sono interessati a fare furti, per intenderci sono l’opposto degli hacker rappresentati in alcuni scadenti film hollywoodiani che svolgono il ruolo del super cattivo) hanno dimostrato di poter prendere il controllo di un termostato intelligente di cui non è stata rivelata la marca perchè l’azienda produttrice ancora non ha risposto ad una loro richiesta di soluzione del problema.

Il termostato che hanno hackerato ha uno schermo LCD sul quale si può cambiare l’immagine dello sfondo. Per far questo il dispositivo è munito di uno slot per SD. Il sistema operativo che legge i file dalla scheda di memoria presenta una falla di sicurezza per cui è possibile, mascherando del codice come un file immagine, fargli caricare del software in grado di prendere il controllo completo del termostato. Così facendo i due ricercatori hanno mostrato di essere in grado di bloccare completamente il riscaldamento di un appartamento. Questo tipo di attacco potrebbe evolversi in forme ben peggiori come quella dei ransomware, ossia, il termostato viene bloccato ed è richiesto il pagamento di un riscatto per poter tornare ad utilizzarlo.

Samsung Smart Fridge

Parlando sempre di elettrodomestici intelligenti, nell’edizione dello scorso anno della DefCon due ricercatori hanno indicato la presenza di una grave falla di sicurezza presente in un modello di Frigorifero Smart della samsung. Questo frigo disponeva dell’integrazione del calendario di google, da mostrare su di un display, che richiedeva il login da parte degli inquilini della casa tramite i propri account google. Il software del frigorifero però non convalidava i certificati di sicurezza delle comunicazioni, ciò permetteva di effettuare degli attacchi man-in-the-middle in grado quindi di raccogliere le credenziali di accesso agli account google di chiunque fosse connesso al frigorifero. Gli attacchi man-in-the-middle sono l’equivalente di un postino che apre, legge e poi richiude le lettere che si scambiano due ignari amici.

Casa Smart

Un incubo ben peggiore è accaduto ad un ingegnere tedecesco che si occupa di robotica e che nel 2009 ha costruito una casa completamente smart in cui tutti gli elettrodomestici, le luci, le casse per la musica, l’impianto di aria condizionata (Ma non i lucchetti delle porte perchè aveva ancora qualche timore) erano connessi e potevano comunicare tra di loro ed essere gestiti usando lo smartphone. Per fare questo, dal momento che i protocolli degli oggetti del IoT non sono ancora standardizzati e quindi ad esempio una lampadina di un certo produttore non può comunicare con un forno intelligente di un altro, lui aveva creato un hub centrale da cui gestire tutti i dispositivi.

Un giorno tutta la sua casa si blocca, completamente paralizzata. Non funziona più nulla. Un inferno tecnologico. Luci che non si accendono, riscaldamento che non funziona, elettrodomestici fuori controllo.

La causa di tutto questo era una lampadina fulminata che continuava ad inviare messaggi di allerta all’hub centrale per notificare la rottura e richiedere una riparazione. Tutti i messaggi inviati hanno prodotto quello che si chiama un Denial Of Service Attack, meglio noto come DoS, in cui un server centrale viene sovraccaricato e prosciugato di tutte le sue risorse a causa delle richieste da parte di un client.

Microinfusore o Pompa dell’insulina

Anche in ambito medico si stanno diffondendo sempre più dispositivi intelligenti. In questi casi, la sicurezza da garantire al paziente è di estrema importanza. Nel 2011 un ricercatore che soffre di diabete e munito di un microinfusore, o anche chiamato pompa di insulina, ha scoperto che il modello da lui utilizzato presentava una scarsa sicurezza per quanto riguarda i protocolli di comunicazione . Era possibile infatti intercettare e modificare i segnali wireless che indicano i livelli di zuccheri. Mostrando dei livelli completamente diversi dal reale è possibile indurre il paziente ad aumentare la dose di insulina, rischiando quindi di ucciderlo.

Volkswagen Hack

Sempre alla DefCon di questo anno, dei ricercatori hanno dimostrato di essere in grado di aprire la serratura di oltre 100 milioni di auto prodotte dalla Volkswagen a partire dal 1995. Hanno scoperto infatti che per aprire le vetture sono necessarie due particolari chiavi di sicurezza: una è emessa dal tasto delle chiavi dell’auto, ed è pertanto unica per ogni auto, l’altra invece è contenuta all’interno di un particolare componente presente nella macchina, questa chiave però è condivisa tra più modelli di autovetture.

I ricercatori hanno dimostrato quindi che, intercettando e clonando il segnale emesso dal tasto di apertura automatica presente sulle chiavi ed ottenendo la chiave condivisa tra più modelli attraverso un processo di ingegneria inversa, sono in grado di aprire centinaia di migliaia di auto. Logicamente questa falla ha una portata e pericolosità gigantesche ed è frutto di un’errata scelta da parte di VW sulla gestione delle chiavi di sicurezza.

Chrysler Jeep Cherokee

Sempre in fatto di sicurezza delle auto, un hack veramente sensazionale è quello ai danni della Jeep della Chrysler. Gli stessi ricercatori che erano penetrati nel sistema della Jeep Cherokee del 2014 via wireless e riuscendo a disabilitare i freni a basse velocità, quest’anno hanno deciso di spingersi oltre. Collegandosi direttamente al network interno della macchina possono controllare accelerazione e frenata e far girare le ruote: hanno praticamente in controllo la tua auto. Nella descrizione del podcast trovate i link ai video che mostrano la pericolosità di questa vulnerabilità.

La casa produttrice si è difesa affermando che questo attacco è possibile solamente avendo un pc direttamente collegato all’auto. I due ricercatori, però, volevano sollevare l’attenzione sull’approccio alla sicurezza completamente sbagliato e rischioso da parte di FIAT Chrysler. Sperare che qualcuno non riesca mai a raggiungere una vulnerabilità di un auto via wireles s è assolutamente sconsiderato. Prima o poi, un individuo sufficientemente motivato e provvisto di mezzi adeguati riuscirà a trovare un varco. E’ bene quindi iniziare ad eliminare le falle nel sistema di sicurezza finchè si è in tempo.