2 Commenti

Dal bidet al pacemaker

Un autunno vulnerabile

di

thumbnail

09

ott

2013

Le minacce alla sicurezza di apparecchi che stanno in rete senza chiamarsi computer, sono grandi. Ma l’attenzione è bassa.

La notizia di una videocamera IP, normalmente utilizzata per sorvegliare il riposo di un bambino, abusata per insultare una neonata, ha fatto velocemente il giro del mondo. Le vulnerabilità di questi oggetti sono rinomate e numerose; la notizia è interessante per il fatto di evidenziare quanto poco sia percepita la presenza del fattore ciber nel mondo reale.

Ci sono articoli in quantità che riguardano le vulnerabilità delle auto. Alcuni, come Forbes, indulgono nell’allarmismo. Altri invece si danno un tono decisamente accademico, come quelli pubblicati da AutoSec. Un
produttore piuttosto noto è riuscito nella notevole impresa di pubblicare un comunicato stampa – talmente ben fatto che meriterebbe uno studio da parte dei futuri esperti di comunicazione – e contemporaneamente essere additato come un candidato al sicuro ciberdisastro per la scarsa attenzione alla sicurezza informatica dei propri veicoli:

Il protocollo di autenticazione nelle interfacce di programmazione REST di Tesla è bacato. Peggio, è bacato in un modo privo di senso. Tesla ha ignorato la gran parte delle convenzioni riguardanti l’autenticazione delle API per seguire le proprie. Parlo continuamente dei problemi di OAuth (uno standard usato per esempio da Twitter di interfaccia di programmazione REST per l’autenticazione dei consumatori), ma questo ambito è di quelli che ne invocano a gran voce l’adozione.

Lo stesso tema si pone per gli strumenti informatici utilizzati per la cura della salute delle persone. In questo campo sono stati oggetti di prove tanto i microinfusori di insulina quanto i pacemaker. Un errore classico è quello relativo alle password hard coded, predefinite e non modificabili, tipico degli SCADA. I sistemi medicali non sono da meno, tanto che la FDA ha dovuto occuparsene esplicitamente.

Si potrebbe continuare parlando dei problemi legati a strumenti considerati piuttosto sicuri (come i bancomat). Parlare di telefoni IP, smartphone, stampanti e altri oggetti assimilabili ad un computer potrebbe sembrare scontato. Che cosa succede però se Bluetooth viene utilizzato per
controllare l’accesso ad un bidet? O se l’hacking riguarda le famose lampadine connesse?

Succede che le domande sono almeno tre: quanto tempo dovrà passare affinché si impari dagli errori già fatti? come possono i consumatori pretendere che certi errori vengano prontamente corretti? ha senso riproporre l’eterno dilemma relativo alla diffusione di queste informazioni cercando di bloccare la pubblicazione di queste informazioni, sempre che non siano classificabili come ricerche scientifiche?




Francesco Armando (@quasidot) ha iniziato a curiosare nel mondo dell’informatica ai tempi del glorioso Commodore 64 e da allora non è riuscito a smettere. Ha un debole per i temi della privacy, della disponibilità e della sicurezza. Pare lavorare presso un vendor europeo specializzato nella network security e si diletta a provare servizi online più o meno improbabili. Il suo blog è testimone di queste divagazioni quasi ragionevoli.

Letto 4.418 volte | Tag: , , , , , , ,

2 commenti

  1. Un autunno vulnerabile | quasi.

    [...] By Francesco Armando [...]

  2. Un autunno vulnerabile | Apogeonline | quasi.

    [...] Un autunno vulnerabile | Apogeonline. [...]

Lascia il tuo commento