Attacchi informatici: rete elettrica, mezzi di trasporto, ecco cosa rischiamo oggi

Attacchi informatici: rete elettrica, mezzi di trasporto, ecco cosa rischiamo oggi

Nel corso della RSA Conference sono emerse alcune delle minacce più temute dagli analisti, impegnati da una parte a prevenire che accadano, dall'altra a come reagire in caso di attacco. Ecco alcuni esempi pratici di quello che è già accaduto e accadrà di nuovo

di pubblicato il nel canale Sicurezza
RSA
 

Software e il fattore umano

Nel corso della conferenza vengono poi fatti esempi più tecnici, mettendo in risalto molte vulnerabilità lato software che impensieriscono non poco gli esperti di sicurezza. Per citare un esempio vengono nominati i Random Number Generators, alla base di moltissime operazioni di cifratura (BitCoin compresi).

In forte incremento vi sono attacchi proprio a questi particolari strumenti, alcuni dei quali prevedono la sostituzione dei Random Number Generators nei sistemi infettati. Cosa significa? Semplicemente che il programmatore crede di usare quelli che ha sempre usato, ma in realtà ne usa alcuni modificati che generano chiavi note ai malintenzionati. In pratica è come installare una porta blindata per difendersi dai ladri, ma è il ladro a produrre la porta e ne possiede comunque le chiavi. Si tratta solo di un esempio di quelli citati. Resta primario in tutti i casi il fattore umano, e i consigli di vecchie conoscenze suonano come mai attuali:

"L'ingegneria sociale usa l'inganno, la manipolazione e l'influenza per convincere un essere umano che ha accesso a un sistema di computer di fare qualcosa, come cliccare su un allegato in una e-mail".

Kevin Mitnick

L'attacco alla rete Ukraina e la quasi totalità dei Cryptolocker partono da un clic di troppo su un allegato email, operato con leggerezza da personale non preparato o con la guardia troppo bassa sulle questioni di sicurezza. RSA, ma anche il buonsenso, fanno capire che serve prima di tutto una rinnovata consapevolezza dei rischi che si corrono, specie se questi sono diventati molto più insidiosi rispetto al passato. La mente criminale non dorme mai, lo si è ripetuto spesso.

Che siano aziende come RSA a fornire consulenza oppure altri, a seconda dell'organizzazione in cui si opera, o anche semplicemente fra le mura di casa propria, è come mai opportuno capire che non si può prendere alla leggera nulla, quando si ha a che fare con un dispositivo elettronico.  In gioco c'è la sicurezza dei nostri dati, il nostro conto in banca o proprietà intellettuali di varia natura, oltre ovviamente a questioni nazionali di larga scala.

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Opteranium24 Febbraio 2017, 18:13 #1
Manca una parte importante, quella relativa alle automobili, sempre più connesse e "intelligenti" (o diversamente stupide), dimostratesi alla mercè degli attacchi in locale e in remoto, con conseguenze tutt'altro che banali. Su alcuni modelli si poteva disattivare i freni, tanto per dire.

Da parte mia non farò mai entrare un dispositivo (id)IoT in casa e comprerò auto il più possibile analogiche, condendo il tutto con l'uso di linux per il pc. Sarà poco ma è un inizio.
Maurozz24 Febbraio 2017, 19:47 #2

@opteranium

Non so che auto tu abbia, ma se ha meno di una decina di anni quasi certamente ha qualche decina di centraline ed altrettanti oggetti RFID. E almeno una o due centraline hanno a bordo una stack bluetooth con qualche vulnerabilita' (probabilmente ben piu' di due, anche quelle che non hanno nessuna necessita' di averlo). Da li... arrivare a comandare i freni della tua auto attraverso il sistema ABS o quello del controllo di stabilita' non e' poi cosi' complicato... sicuramente non e' impossibile.

La sicurezza deve essere gestita gia' in fase di design (da segnalare come nota positiva l'attenzione posta dal GDPR europeo su "security by design". Un costruttore di auto non puo' pensare minimamente di utilizzare una libreria scaricata in rete per un componente auto, e non puo' essere cosi' stupido da permettersi di pensare che lo stack bluetooth del vivavoce non sia elemento di sicurezza importante sia per l'auto sia per chi la guida.

MZ
SpyroTSK24 Febbraio 2017, 20:16 #3
Originariamente inviato da: Maurozz
Non so che auto tu abbia, ma se ha meno di una decina di anni quasi certamente ha qualche decina di centraline ed altrettanti oggetti RFID. E almeno una o due centraline hanno a bordo una stack bluetooth con qualche vulnerabilita' (probabilmente ben piu' di due, anche quelle che non hanno nessuna necessita' di averlo). Da li... arrivare a comandare i freni della tua auto attraverso il sistema ABS o quello del controllo di stabilita' non e' poi cosi' complicato... sicuramente non e' impossibile.

La sicurezza deve essere gestita gia' in fase di design (da segnalare come nota positiva l'attenzione posta dal GDPR europeo su "security by design". Un costruttore di auto non puo' pensare minimamente di utilizzare una libreria scaricata in rete per un componente auto, e non puo' essere cosi' stupido da permettersi di pensare che lo stack bluetooth del vivavoce non sia elemento di sicurezza importante sia per l'auto sia per chi la guida.

MZ

Il problema in realtà è che gli ingegneri che lavorano alle centraline delle auto sono come i politici, buoni a parlare ma quando devono fare qualcosa lo fanno col culo.
https://www.wired.com/2015/08/hacke...mon-car-gadget/

In pratica, TUTTE le centraline delle auto che hanno come supporto OBD2 (il 99,9%) quando devono dialogare con il dongle bluetooth/usb obd2 lo fanno in chiaro, quindi tutti i dati che vedi glieli passa come li vedi, senza criptazione o meno ed un'altro problema è che puoi leggerli e alcuni anche scriverli! (blocco freni, accelleratore, sterzo, radio ecc)

https://theksmith.com/software/hack...ap-easy-part-1/
https://theksmith.com/software/hack...ap-easy-part-2/


edit
https://forum.arduino.cc/index.php?topic=435701.0
https://en.wikipedia.org/wiki/OBD-II_PIDs
mmiat25 Febbraio 2017, 09:16 #4
Originariamente inviato da: Maurozz
Un costruttore di auto non puo' pensare minimamente di utilizzare una libreria scaricata in rete per un componente auto


mha, io direi il contrario... meglio prendere qualcosa che già esiste e correggerlo / sistemarlo / aggiornarlo invece che reinventare da zero la ruota rischiando di fare disastri. ma io sono più per l'open source e le community che per il software proprietario (che non si sa cosa contenga).
frankie25 Febbraio 2017, 11:37 #5
nessuna news riguardo a cloudfront?
Opteranium25 Febbraio 2017, 17:04 #6
Originariamente inviato da: Maurozz
Non so che auto tu abbia, ma se ha meno di una decina di anni quasi certamente ha qualche decina di centraline ed altrettanti oggetti RFID. E almeno una o due centraline hanno a bordo una stack bluetooth con qualche vulnerabilita' (probabilmente ben piu' di due, anche quelle che non hanno nessuna necessita' di averlo). Da li... arrivare a comandare i freni della tua auto attraverso il sistema ABS o quello del controllo di stabilita' non e' poi cosi' complicato... sicuramente non e' impossibile.

ho una macchina del 2003, penso che abbia l'abs o poco più. E tanto basta.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^