IoT: hackeriamo un autolavaggio!

 

No, in questo articolo NON spiegheremo come hackerare un autolavaggio… ma si potrebbe!

Più volte abbiamo parlato di IoT e sicurezza, cose che sembrano viaggiare su due binari completamente diversi e ben distanti. Ormai tutto è diventato smart, connesso e pingabile; di contro, quasi nessuno sembra badare alla sicurezza, anzi, sembra proprio che nessun produttore abbia la più pallida idea di quanto i device che producono siano esposti alle minacce, non gli interessa e non ci provano nemmeno, pare.

L’ultimo esempio coinvolge il PDQ LaserWash, un sistema di autolavaggio completamente automatizzato, privo di spazzole, che spruzza acqua e lucida l’auto tramite un braccio meccanico che ruota intorno al veicolo. Il tutto non supervisionato da un umano visto che questo sistema nasce con a bordo un webserver a cui clienti ed impiegati si collegano per configurare il macchinario.

Tanto per iniziare: un webserver con la password più sicura del mondo: 12345 e, nel dubbio, il macchinario è carrozzato con Windows CE (che persino Microsoft schifa). Si segnala anche una vulnerabilità nell’implementazione del processo di autenticazione, che permette di bypassare il login. Per citare un collega “siamo in una bote de fero”, piena d’acqua però.

Probabilmente siamo davanti ad uno dei primi esempi nei quali un macchinario connesso ad Internet e non configurato adeguatamente, potrebbe seriamente fare del male ad un essere umano, su larga scala s’intende.

Con la collaborazione di un autolavaggio che utilizza il PDQ LaserWash, i ricercatori Billy Rios e Jonathan Butts, hanno effettuato dei test; dopo essere entrati nel sistema, tramite uno script hanno manipolato il macchinario in modo da movimentare le porte dell’autolavaggio, controllare il braccio meccanico e disabilitare i sensori infrarossi di sicurezza. Tutte cose che sembrano piuttosto banali sulla carta ma che potrebbero avere impatti molto seri nella realtà, basti pensare ad un braccio meccanico che urta il parabrezza ed inonda i passeggeri di acqua rendendone difficile l’uscita o dei portelloni che si chiudono ripetutamente su un auto in transito!

La ciliegina sulla torta? Il problema era noto dal 2015 e ad oggi, nel 2017, non è stato ancora risolto; i test di cui abbiamo parlato sono stati effettuati recente e presentati in questi giorni alla Black Hat Security Conference di Las Vegas.

Speriamo ci risparmino la spugna IoT-izzata…

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.

4 risposte a “IoT: hackeriamo un autolavaggio!”

  1. Avatar Kim Allamandola
    Kim Allamandola

    Personalmente penso che una certa ragionevole “sicurezza” non possa esistere in nulla sviluppato a guida manageriale. Lo scopo di chi conduce un progetto “moderno” non è fare un buon prodotto o dare un buon servizio attraverso il quale vendere bene/guadagnare, lo scopo è solo guadagnare con ogni mezzo lecito. Del resto un tempo il denaro era l’unità di misura di un qualche valore scambiabile, oggi è Il Valore in sé.

    Il manager tipo vuole tutto il prima possibile, al costo minore possibile, poiché la sua sola competenza reale riguarda dei fumosi modelli economici e si vanta che grazie a quelli si può far tutto l’ultima cosa che vuole sono sistemisti e sviluppatori scafati che contestino le sue scelte quindi prediligerà gli scribacchia-codice yes-man il cui valore sarà il numero di righe di codice scritte ogni giorno. Il cloud? Ah, già, ad un certo vasto livello è solo il nuovo framework/libreria di turno in cui lo scribacchia-codice di turno può con poche righe realizzare un servizio (che in effetti han realizzati altri) e venderlo per suo.

    A livelli più alti i “fornitori di servizi” son ben contenti: s’è capito che il modello di sviluppo proprietario non è sostenibile, allora prima han provato a trasformare l’hw in scatole chiuse e non riuscendoci subito (es. palladium) c’han riprovato con la scusa della “sicurezza” (dal “secure boot” alle rom Android senza privilegi perché sennò qualcuno potrebbe usarli male) e nel contempo han portato l’hw da qualcosa di fisicamente gestibile a masse di roba incollata, incastrata nella plastica che non riesci quasi a smontare senza rompere; a livello software è analogo: non possiamo sviluppare a codice chiuso? Ok, no problem, diciamo al cliente che ci pensiamo noi, teniamo i suoi dati sui nostri computer, leghiamolo col servizio, il software sarà pure aperto ma girerà sui nostri sistemi, non su quelli del cliente.

    Scusate per il lungo post, per me questo è il quadro odierno. Tra 10 anni ho la gran paura che non potremo più avere i nostri desktop poiché l’OS sarà diventato un fw parte del ferro e non realmente gestibile dall’utente ed il 99% dello sviluppo sarà “cloud” (ovvero sul computer di qualcun’altro), non c’è bisogno di leggi o complotti, è solo il mercato formato in massima parte da 4 gatti giganti e tante pecorelle contente della pappa pronta.

  2. Avatar sabayonino

    ..che probabilmente non si connetterà a nulla 😀
    potrai solo accenderlo (se si accenderà) e guardare 4 righe scorrere sullo schermo

  3. Avatar Kim Allamandola
    Kim Allamandola

    Che però oltre non potrà parlare con nessuno, da internet (nuovo standard SecureEthernet che richiede una scheda PCIz proprietaria con relativo fw e connessione al cellofono per identificare l’abbonato) alla stampante LAN SecureLAN o SecureUSB che aggiunge un po’ di intelligenza in ogni porta, quella sui cavi inclusi, con “protezione antimalware” rigorosamente autoaggiornata in modalità uccello pad^W^W cloud – IoT che riconosce i vecchi GNU/Linux come malware poiché non sono registrati nell’apposta whitelist mantenuta da uno dei 5 vendor ufficiali di antitutto rimasti…

  4. Avatar Guglielmo Cancelli
    Guglielmo Cancelli

    Quello che fa paura è che tutto quello che hai scritto è dannatamente verosimile!!!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *