Dall’attacco ai sistemi ICT embedded…
...all’assassinio informatico
Il titolo sembra una esagerata provocazione ma, purtroppo,
rappresenta una possibile seria conseguenza di un attacco al
software dei sistemi embedded. Con il termine di sistema em-
bedded (che è traducibile in italiano con sistema ICT incluso
o incorporato) si identificano microprocessori dedicati a esple-
tare specifiche funzionalità, integrati anche fisicamente con il
dispositivo per il quale svolgono tali funzionalità.
Tali sistemi sono realizzati e programmati ad hoc per una de-
terminata applicazione e di norma non sono riprogrammabili
dall’utente per altri scopi. Grazie alla miniaturizzazione dei cir-
cuiti elettronici, microprocessori e software sono in maniera cre-
scente inseriti nelle auto, negli aerei, negli elettrodomestici, nei
giochi, nelle macchine fotografiche e cineprese, nella domo-
tica, nelle apparecchiature mediche, negli apparati di tele-
comunicazione, in quelli di controllo dei processi industriali, nei
POS dei negozi e negli ATM delle banche, nelle smart grid per
l’energia elettrica e così via.
Soprattutto quando sono inseriti in prodotti di largo consumo,
e per i quali è particolare la cura dei costi (anche pochi cen-
tesimi di euro o di dollaro possono essere significativi), i sistemi
ICT embedded si basano su semplici piattaforme hardware
progettate anch’esse ad hoc, con sistemi operativi semplicis-
simi, senza sovrastrutture, e con programmi applicativi an-
ch’essi semplici e di dimensioni limitate.
Se prodotti in grandi quantità, questi sistemi sono realizzati su
circuiti integrati ASIC con tutto il software in firmware, per po-
terli realizzare su un singolo chip.
Dai pace-maker ai frigoriferi, dai sistemi di controllo di grandi centrali elettriche
alle automobili. La pervasività dell’elettronica apre nuove sconfinate opportunità
agli hacker di tutto il mondo.
Un ampio spettro di utilizzo
e un diverso livello di rischio
I sistemi embedded variano drasticamente in termini di
complessità architetturale, tipo di hardware e sistema ope-
rativo a seconda delle loro funzionalità e del loro campo di
utilizzo, ma la maggior parte opera in tempo reale e alcuni
possono essere interfacciati o comandati da remoto via reti
wireless.
Sui sistemi più complessi e più modulari possono essere uti-
lizzati hardware quali x86 o PowerPC, con i più generalisti
e diffusi sistemi operativi tipo Linux e Windows CE, oltre che
con linguaggi e ambienti di programmazione software quali
Java, C++, PHP.
Per i sistemi più semplici sono disponibili sul mercato architet-
ture tipiche per microcontrollori, che usano sistemi operativi re-
lativamente semplici e linguaggi di programmazione specia-
lizzati per funzionalità di controllo, robotica, ecc.
Tutti questi ambienti, soffrono o possono soffrire dei ben noti
problemi di vulnerabilità, ed essere di conseguenza oggetto
di attacchi informatici. Con la differenza che l’attacco infor-
matico a un gioco o a un elettrodomestico è un conto, ben al-
tro è la manomissione di un sistema di controllo nei contesti dei
grandi processi industriali come una raffineria, una centrale ato-
mica, un aeroporto, oppure sistemi ‘automotive’, o infine sistemi
‘personali’ di controllo medico, tipo un pace-maker o un di-
stributore sottocutaneo di insulina.
M.R.A.Bozzetti, OAI founder
88
office automation
febbraio 2012
