Ma è possibile attaccare sistemi
ICT embedded?
Non è facile, ma si può, e il rischio aumenta se sono basati
su piattaforme, CPU e sistemi operativi di larga diffusione, e
quindi ben conosciuti da un ampio numero di sviluppatori e ma-
nutentori. Più difficile attaccare componenti con poche fun-
zionalità, con poca memoria, sviluppati in ambienti noti solo
ad alcuni specialisti, con limitate possibilità di interfacciarsi con
l’esterno. In questi casi è anche meno complessa la verifica che
il componente sia ‘intrinsecamente’ sicuro e che non ci siano
vulnerabilità, sia a livello di middleware sia a livello del ‘pic-
colo’ programma applicativo. In parecchi casi i componenti
embedded si interfacciano in modalità wireless, il che aumenta
le vulnerabilità e la possibilità di successo di un attacco.
Già dagli Anni ’90 del secolo scorso furono testate e valutate
le possibilità di attacchi a sistemi embedded e di controllo, le
loro reali vulnerabilità e le modalità di difesa. Tra i tanti casi
vengono brevemente considerati nel seguito i sistemi elettronici
di controllo delle auto e quelli di sistemi sanitari impiantati nel
corpo umano.
Attacchi ai microprocessori
di un autoveicolo
I componenti elettronici presenti in un’automobile, superano il
35% del suo intero valore, ammontano a varie decine di mi-
crocontrollori distribuiti nelle varie parti della meccanica e della
carrozzeria dell’auto, e controllano praticamente tutti i dispo-
sitivi: dal motore ai freni, dai pneumatici al supporto alla guida
(si pensi al controllo dinamico del veicolo, al parcheggio au-
tomatico, al radar in caso di nebbia, al GPS e ai servizi te-
lematici di navigazione, controllo in tempo reale del traffico,
localizzazione, ecc.) fino all’intrattenimento dei passeggeri con
impianti audio/video hi-fi e alle interconnessioni in Internet con
smartphone, tablet, ecc.
Attacchi a microsistemi medicali
Medicina e bioingegneria hanno realizzato numerosi sistemi
e protesi impiantate nel corpo umano e basate su micropro-
cessori/microcontrollori: tipici esempi i dispensatori elettronici
di insulina e gli IDC, Implantable Cardioverter Defibrillators.
Dopo l’installazione chirurgica, questi dispositivi sono inter-
facciabili da operatori sanitari per mettere a punto e regolare
le impostazioni della terapia, eseguire diagnostiche, scaricare
o inserire dati, ecc.; per molti sistemi esiste anche la possibi-
lità di interfacciamento da remoto (telemedicina) o dalle vici-
nanze in wireless. Un attaccante può fraudolentemente pren-
dere il controllo e danneggiare il paziente in più modi: in un
caso facendo variare la quantità e la frequenza dell’infusione
di insulina, nell’altro caso o bloccando gli stimoli o alterandone
significativamente la potenza e la frequenza.
Ma allora?
A oggi non si è a conoscenza di reali attuazioni a fini cri-
minali di simili attacchi, ma più volte, in ambito universitario
e in convegni, è stata dimostrata in pratica la loro reale po-
tenzialità. Prima o poi quindi accadranno. Come prevenire
e ridurre le probabilità di incorrere in questi attacchi e quindi
di subirne i conseguenti impatti? Tre le direttrici che an-
drebbero perseguite: lato fornitori e distributori, tener conto
di questi possibili rischi e rendere maggiormente sicuri i pro-
dotti; lato utenti finali, essere a conoscenza dei possibili ri-
schi e informarsi puntualmente su come i prodotti considerati
li prevengono e/o eliminano; a livello istituzionale e degli
Enti di controllo, quali per esempio i Ministeri competenti, cer-
tificare i livelli di sicurezza che i sistemi intelligenti embededd
realmente forniscono.
febbraio 2012
office automation
89
L’Osservatorio Attacchi Informatici
è sbarcato su Linkedin.
Cerca il gruppo e iscriviti!
