IoT: hackeriamo un autolavaggio!

 

No, in questo articolo NON spiegheremo come hackerare un autolavaggio… ma si potrebbe!

Più volte abbiamo parlato di IoT e sicurezza, cose che sembrano viaggiare su due binari completamente diversi e ben distanti. Ormai tutto è diventato smart, connesso e pingabile; di contro, quasi nessuno sembra badare alla sicurezza, anzi, sembra proprio che nessun produttore abbia la più pallida idea di quanto i device che producono siano esposti alle minacce, non gli interessa e non ci provano nemmeno, pare.

L’ultimo esempio coinvolge il PDQ LaserWash, un sistema di autolavaggio completamente automatizzato, privo di spazzole, che spruzza acqua e lucida l’auto tramite un braccio meccanico che ruota intorno al veicolo. Il tutto non supervisionato da un umano visto che questo sistema nasce con a bordo un webserver a cui clienti ed impiegati si collegano per configurare il macchinario.

Tanto per iniziare: un webserver con la password più sicura del mondo: 12345 e, nel dubbio, il macchinario è carrozzato con Windows CE (che persino Microsoft schifa). Si segnala anche una vulnerabilità nell’implementazione del processo di autenticazione, che permette di bypassare il login. Per citare un collega “siamo in una bote de fero”, piena d’acqua però.

Probabilmente siamo davanti ad uno dei primi esempi nei quali un macchinario connesso ad Internet e non configurato adeguatamente, potrebbe seriamente fare del male ad un essere umano, su larga scala s’intende.

Con la collaborazione di un autolavaggio che utilizza il PDQ LaserWash, i ricercatori Billy Rios e Jonathan Butts, hanno effettuato dei test; dopo essere entrati nel sistema, tramite uno script hanno manipolato il macchinario in modo da movimentare le porte dell’autolavaggio, controllare il braccio meccanico e disabilitare i sensori infrarossi di sicurezza. Tutte cose che sembrano piuttosto banali sulla carta ma che potrebbero avere impatti molto seri nella realtà, basti pensare ad un braccio meccanico che urta il parabrezza ed inonda i passeggeri di acqua rendendone difficile l’uscita o dei portelloni che si chiudono ripetutamente su un auto in transito!

La ciliegina sulla torta? Il problema era noto dal 2015 e ad oggi, nel 2017, non è stato ancora risolto; i test di cui abbiamo parlato sono stati effettuati recente e presentati in questi giorni alla Black Hat Security Conference di Las Vegas.

Speriamo ci risparmino la spugna IoT-izzata…

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un'opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l'ho scritto io.

Tags: , ,