Conferenza Black Hat: attacchi ad aerei, treni e automobili

Durante la conferenza Black Hat abbiamo assistito a dimostrazioni su come hackerare auto e satelliti; si è parlato anche di Cryptolocker e dei problema nella sicurezza degli apparecchi medicali.

BH

LAS VEGAS – Ogni anno, nel mese di agosto, si assiste a una sorta di pellegrinaggio della comunità mondiale di hacker ed esperti della sicurezza alla città di Las Vegas (Nevada) per una sorta di campo estivo che vede la confererenze Black Hat, DEF CON e B-Sides come eventi di maggiore rilevanza. La conferenza Black Hat è da sempre rivolta principalmente al settore della sicurezza, ma si sta spostando progressivamente verso le necessità dei consumatori; per questo vengono programmati sempre più interventi riguardanti gli attacchi alla domotica, alle infrastrutture critiche, ai dispositivi mobili e gli altri dispositivi connessi a Internet.

Prima di tutto, però, specifichiamo una cosa: non c’è stato nessun intervento sulla possibilità di hackerare i treni.

Roel Schouwenberg, ricercatore di Kaspersky Lab, in un report su Securelist ha parlato della conferenza Black Hat nell’era post-PC. Mike Mimoso di Threatpost è giunto alle stesse conclusioni: “Gli obiettivi degli hacker sono vari, dai firmware alle chiavette USB, passando per router domestici e automobili. I cybercriminali sono sempre alla ricerca di exploit per rubare i dati e compromettere la privacy”.

Da un lato, come partecipante alla conferenza, si tratta di una notizia importante in quanto nel futuro assisteremo a meno interventi (o forse in egual numero, chi lo sa) circa eventuali bug individuati in misteriose piattaforme usate dalle aziende e ci occuperemo di più di vulnerabilità presenti negli oggetti della vita di tutti i giorni. Dall’altro lato, però, il cambio di direzione della conferenza Black Hat è un sintomo allarmante:le vulnerabilità nel campo della sicurezza diventano ogni giorno una minaccia più concreta alla nostra vita quotidiana.

L’intervento principe

Foto scattata durante la conferenza Black Hat 2014

L’intervento di apertura di quest’anno è stato condotto da Dan Geer, un luminare del settore ammirato da tutti. A differenza di quanto è accaduto l’anno scorso con il Direttore Generale della NSA il Generale Keith Alexander, non c’erano guardie del corpo, disturbatori o persone pronte a lanciare uova marce. Per i quasi 60 minuti dell’intervento, la gente si è raccolta in un silenzio che trasudava interesse; Dan Geer, Chief Information Security Officer di In-Q-Tel (l’azienda in venture capital della CIA) ha dettato i dieci comandamenti della sicurezza informatica.

Geer, tra la altre cose, ha dichiarato che il governo statunitense, per minare il potere del mercato nero delle vulnerabilità, dovrebbero offrire dieci volte tanto il prezzo indicato per uno specifico bug, acquistarlo e creare una sorta di bacheca pubblica per consentire alle aziende di risolvere le proprie vulnerabilità e” lasciare a zero l’inventario delle armi cibernetiche”. Oltre alla comodità, alla maggiore sicurezza e libertà, si prenderebbero due piccioni con una fava: uno, sappiamo bene che nella religione e nel campo dei software non esiste fedeltà al prodotto  e, in secondo luogo, un provider di servizi Internet (ISP) in questo modo potrà scegliere di caricare i contenuti che desidera, anche illegali (assumendosi la responsabilità delle proprie azioni), oppure stare della parte della Net Neutrality e svolgere la propria regolare attività.

“Bisogna fare una scelta”, ha affermato Geer, “Gli ISP non possono tenere i piedi in due scarpe”.

Hackerare gli essere umani e gli ospedali

Concentrandoci su aspetti della vita concreta,  come discusso durante la tavola rotonda sulla sicurezza degli apparecchi medicali, potremmo dire che alcune vulnerabilità si trovano all’interno del nostro corpo. Ma più preoccupanti e anche più pericolose sono quelle insite nelle apparecchiature negli ospedali piuttosto che nei corpi dei pazienti.

È solo questione di tempo prima che un attacco “in the wild” colpisca uno o più dispositivi di questo tipo. La buona notizia è che questi dispositivi sono estremamente sicuri. Ad esempio, una microinfusore di insulina esegue meglio la funzione di controllare e regolare il livello di insulina nel sangue che un ragazzino con un misuratore della glicemia e una fornitura di siringhe di insulina.

Le vulnerabilità si riscontrano quando questi dispositivi comunicano tra loro e con dispositivi esterni tenuti sotto controllo da pazienti o dottori. Dobbiamo essere chiari su questo punto, la probabilità che un killer utilizzi un computer per liberare una scarica elettrica letale a una persona con un pacemaker è davvero molto bassa. Non vogliamo essere cinici, ma esistono tanti altri modi più semplici di ammazzare una persona.

“Gli obiettivi degli hacker sono vari, dai firmware alle chiavette USB, passando per router domestici e automobili. I cybercriminali sono sempre alla ricerca di exploit per rubare i dati e compromettere la privacy”.

Chi si occupa di creare le patch per gli apparecchi medicali? Chi ha il compito di installare le patch? Chi paga per tutto ciò? Purtroppo le risposte a queste domande portano a un intreccio confuso di responsabilità tra le case produttrici dei dispositivi, gli ospedali e gli stessi pazienti. E quando parliamo di apparecchi medicali, non facciamo riferimento solo a pacemaker e a microinfusori di insulina. Parliamo anche di macchinari per risonanze magnetiche, elettrocardiogrammi, radiografie, oltre ai tablet utilizzati dai medici e ai computer dell’ospedale (sui quali spesso è ancora installato Windows XP) che contengono dati sensibili dei pazienti.

Durante la tavola rotonda si è arrivati alla conclusione che la manipolazione delle cartelle cliniche (in maniera accidentale o intenzionale) potrebbe portare alla somministrazione di dosi sbagliate di medicinali ed è questo il rischio più serio che corrono i pazienti.

Almeno chiudiamo questo argomento con una nota positiva: il fatto che si parli di queste tematiche è già un buon segno, vuol dire che qualcosa si sta muovendo.

Yahoo ha intenzione di criptare tutte le email

Yahoo, spesso criticata per non aver critpato i messaggi delle caselle di posta degli utenti o per altre tematiche relative alla sicurezza, ha annunciato una serie di cambiamenti in questo campo che entreranno in vigore già nei prossimi mesi o l’anno prossimo. Una delle novità più importanti è la decisione di criptare tutte le webmail con un sistema end-to-end, una mossa che avvicina Yahoo agli standard di Google.

Per saperne di più, potete leggere un articolo dedicato su questo blog o su Threatpost.

Hackerare le auto in remoto

Sarebbe stato più gradevole parlare di un intervento di due ricercatori impegnati ad hackerare una macchinina telecomandata. Purtroppo, dovrò parlarvi di due ricercatori che stanno imparando a controllare i comandi di una vera automobile.

Su questo blog, l’argomento ci interessa già da parecchio tempo (da poco più di un anno oramai) e molto probabilmente ne parleremo anche in futuro. Il nostro interesse dipende dal fatto che le auto moderne sono connesse sempre di più a Internet. Al momento, non è facile hackerare un’auto, sono necessarie delle conoscenze tecniche di protocolli specifici utilizzati solamente per le automobili.

Tuttavia, presto ogni auto avrà un proprio sistema operativo, il proprio market delle applicazioni e, perché no, anche un browser ad hoc per navigare su Internet. Tutte funzionalità che i cybercriminali sanno perfettamente come sfruttare per i loro scopi. Inoltre, così come accade per gli apparecchi medicali, non sarà facile produrre e installare le patch per le automobili. Pensiamo a problemi concreti: il cliente dovrà portare l’auto in concessionaria per farsi installare le patch? Dopo il richiamo, quante persone davvero si faranno installare le patch? Le case automobilistiche escogiteranno qualche meccanismo automatico di aggiornamento in remoto? In questo caso, che succede se ci sono problemi di funzionamento in seguito all’aggiornamento, o peggio, un cybercriminale riesce a infiltrarsi?

La buona notizia è che Charlie Miller di Twitter e Chris Valasek di IOActive hanno sviluppato un sistema, simile a un antivirus, in grado di individuare se qualcuno sta cercando di manipolare le comunicazioni tra i sensori e i computer installati nelle automobili e bloccare il traffico generato dall’intruso.

USB: brutta cosa  

Foto scattata durante la conferenza Black Hat 2014

Karsten Nohl (nell’immagine) ha sviluppato un exploit che sfrutta un dato di fatto: praticamente tutti i computer aziendali e degli utenti riconoscono e accettano memorie USB. Nohl, ricercatore capo di Security Research Labs, ha chiamato l’exploit  BadUSB: in sostanza, ha sovrascritto il firmware presente in questi dispositivi per poi far eseguire una serie di operazioni dannose, tra cui iniettare codici malware nei dispositivi e reindirizzare il traffico.

“Una chiavetta USB funziona in questo modo e nessuno ha fatto qualcosa di sbagliato”, ha dichiarato Nohl. “Non c’è una soluzione; finché useremo le USB, avremo dispositivi che prendono le sembianze di altri dispositivi. È un problema strutturale di sicurezza”.

Proprio per l’estrema diffusione delle chiavette USB, miliardi di dispositivi sono potenzialmente vulnerabili. Nohl, inoltre, è preoccupato che l’estrema diffusione del bug possa seminare il panico e il sospetto in quanto “non esiste uno strumento per rimuovere il firmware dannoso o per sovrascrivere. Le probabilità d’infezione sono maggiori e risulta essere più difficile porvi rimedio”.

Nohl è venuto a conoscenza dell’attacco dal catalogo della NSA degli strumenti hacker.

Cryptolocker e la banda di  “gentiluomini”

Il gruppo di lavoro che è riuscito a disattivare il ransomware Cryptolocker era presente anche alla conferenza Black Hat. Durante il loro intervento, gli esperti hanno mostrato un’email arrivata a una vittima di Cryptolocker, una mamma single che non disponeva del denaro richiesto per pagare il riscatto e per riavere il suo computer funzionante, dispositivo che utilizzava per lavoro.

Storie di questo tipo hanno spinto il gruppo di esperti a lavorare duramente per eliminare la minaccia Cryptolocker. La cosa curiosa è che i cybercriminali che hanno creato questo ransomware erano molto fedeli  alla parola data. Vi abbiamo ripetuto per mesi di non pagare il riscatto per sbloccare i file perché non c’è nessuna garanzia di riavere intatti i documenti sequestrati. Per quanto riguarda Cryptolocker, i cybercriminali sono stati abbastanza onesti, se così possiamo dire. Alla fine della presentazione, il gruppo di esperti ha spiegato che questo ransomware così insidioso ed efficace era solo una delle tante forme attraverso le quali i cybercriminali riuscivano a guadagnare denaro in maniera illecita.

Computrace, un alone di mistero

Vitaly Kamluk, ricercatore di Kaspersky Lab (amico del nostro blog), assieme al co-fondatore e ricercatore Anibal Sacco, hanno presentato una serie di aggiornamenti circa una vulnerabilità di un software piuttosto popolare di cui abbiamo parlato in passato sul questo blog.

Il software, sviluppato da Absolut Software conosciuto ai più con il nome Computrace, è un prodotto antifurto adottato da compagnie di hardware e considerato legittimo dalla maggior parte dei prodotti antivirus. E perché non dovrebbe essere così? È un software legale.

In ogni caso, un alone di mistero circonda Computrace. Per ragioni che rimangono sconosciute, Computrace è attivo di default su milioni di computer nel mondo. Absolute Software ha dichiarato che così non dovrebbe essere, in quanto il software è stato progettato per essere attivato dall’utente o dall’ufficio informatico dell’azienda.  Quando Computrace è attivo, resiste anche ad operazioni come il ripristino delle impostazioni di fabbrica e formattazioni.

Inoltre, il software contiene alcune vulnerabilità (l’azienda ha minimizzato il problema ma si è comunque proposta di risolverlo) che lo rende sensibile a possibii e pericolosi attacchi man-in-the-middle.

Tutta colpa dei satelliti

Il ricercatore Reuben Santamarta di IOActive ha scoperto che quasi tutti i dispositivi coinvolti nelle comunicazioni via satellite (SATCOM) contengono vulnerabilità quali backdoor, credenziali hardcoed, protocolli non securi e sistemi di crittografia deboli.

Secondo Santamarta, queste vulnerabilità consentirebbero ai cybercriminali di compromettere i prodotti coinvolti.

SATCOM gioca un ruolo importantissimo nell’ambito delle telecomunicazioni a livello globale. Si sospetta che gli attacchi informatici potrebbero coinvolgere anche navi, strutture militari, servizi di emergenza, media e strutture industriali come oleodotti, gasdotti, impianti di trattamento delle acque e così via.

In breve

Alcuni comandi danno alle compagnie telefoniche e ai cybercriminali (visto che possono essere hackerati) la possibilità di controllare totalmente i dispositivi mobili. Un importante bug su  Android potrebbe fare in modo che un’app dannosa possa “travestirsi” da app legittima. I modem mobile a banda larga o le schede dati sono obiettivi facili per i cybercriminali.

Foto scattata durante la conferenza Black Hat 2014

Durante la conferenza Black Hat di quest’anno ci sono state molti interventi interessanti, ma non posso elencarli tutti. Se volete sapere tutto ciò di cui si è parlato alla conferenza Black Hat, Dennis Fisher e Mike Mimoso di Threatpost hanno elaborato un riassunto dettagliato della prima e della seconda giornata (podcast in inglese). Fisher e Mimoso hanno anche registrato un podcast riassuntivo (sempre in inglese) dell’intero evento, dando anche un’occhiata alla conferenza DEF CON, iniziata subito dopo la conclusione di Black Hat.

Oltre a quanto pubblicato qui e su Threatpost, potete trovare alcuni articoli interessanti nella sezione sala stampa sul sito Internet dedicato a Black Hat. Anche consultando l’hashtag #blackhat possono venir fuori risultati interessanti. E poi potete sempre cercare notizie su Google in merito.

Consigli