La notizia di una videocamera IP, normalmente utilizzata per sorvegliare il riposo di un bambino, abusata per insultare una neonata, ha fatto velocemente il giro del mondo. Le vulnerabilità di questi oggetti sono rinomate e numerose; la notizia è interessante per il fatto di evidenziare quanto poco sia percepita la presenza del fattore ciber nel mondo reale.
Ci sono articoli in quantità che riguardano le vulnerabilità delle auto. Alcuni, come Forbes, indulgono nell’allarmismo. Altri invece si danno un tono decisamente accademico, come quelli pubblicati da AutoSec. Un
produttore piuttosto noto è riuscito nella notevole impresa di pubblicare un comunicato stampa – talmente ben fatto che meriterebbe uno studio da parte dei futuri esperti di comunicazione – e contemporaneamente essere additato come un candidato al sicuro ciberdisastro per la scarsa attenzione alla sicurezza informatica dei propri veicoli:
Il protocollo di autenticazione nelle interfacce di programmazione REST di Tesla è bacato. Peggio, è bacato in un modo privo di senso. Tesla ha ignorato la gran parte delle convenzioni riguardanti l’autenticazione delle API per seguire le proprie. Parlo continuamente dei problemi di OAuth (uno standard usato per esempio da Twitter di interfaccia di programmazione REST per l’autenticazione dei consumatori), ma questo ambito è di quelli che ne invocano a gran voce l’adozione.
Lo stesso tema si pone per gli strumenti informatici utilizzati per la cura della salute delle persone. In questo campo sono stati oggetti di prove tanto i microinfusori di insulina quanto i pacemaker. Un errore classico è quello relativo alle password hard coded, predefinite e non modificabili, tipico degli SCADA. I sistemi medicali non sono da meno, tanto che la FDA ha dovuto occuparsene esplicitamente.
Si potrebbe continuare parlando dei problemi legati a strumenti considerati piuttosto sicuri (come i bancomat). Parlare di telefoni IP, smartphone, stampanti e altri oggetti assimilabili ad un computer potrebbe sembrare scontato. Che cosa succede però se Bluetooth viene utilizzato per
controllare l’accesso ad un bidet? O se l’hacking riguarda le famose lampadine connesse?
Succede che le domande sono almeno tre: quanto tempo dovrà passare affinché si impari dagli errori già fatti? come possono i consumatori pretendere che certi errori vengano prontamente corretti? ha senso riproporre l’eterno dilemma relativo alla diffusione di queste informazioni cercando di bloccare la pubblicazione di queste informazioni, sempre che non siano classificabili come ricerche scientifiche?
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
