Uno dei miei “sport” preferiti quando vado alle conferenze sulla sicurezza è indovinare quali parole o frasi faranno capolino praticamente a ogni conferenza o riunione. Di solito non dobbiamo aspettare molto per scoprirlo e anche quest’anno il Black Hat non ci ha deluso: l’espressione del momento è sicuramente Smart City.
Il termine non è che sia nuovo e il concetto è abbastanza intuitivo. Una smart city è una città che dispone di tecnologie in grado di aiutare i propri cittadini a vivere più comodamente, evitando inondazioni, riducendo il traffico, automatizzando il processo di raccolta della spazzatura e così via. Meraviglioso, vero?
Ma c’è un ma. I dispositivi smart e i sistemi che consentono l’uso di tecnologie intelligenti si connettono a Internet, e possono contenere vulnerabilità extra in grado di creare problemi nella vita reale.
Molte volte, la gente fa spallucce quando sente parlare di mancata sicurezza nell’Internet delle Cose (IoT) o se la prendono con chi si occupa di queste tecnologie perché si consente a intrusi di spiare dalla webcam dei neonati o di cambiare la temperatura del termostato. Tuttavia, quando parliamo di dispositivi che si preoccupano di monitorare il livello dell’acqua di una diga, di avvisare i cittadini dell’allagamento delle strade o di monitorare il livello di radiazione di un impianto nucleare, allora il tema sicurezza si fa davvero importante.
Durante il secondo giorno di conferenze, i ricercatori di Threatcare e IBM X-Force Red hanno presentato una ricerca congiunta in cui hanno descritto le minacce zero-day presenti in quattro diverse tecnologie per smart city.
Utilizzando i motori di ricerca IoT Shodan e Censys, i ricercatori hanno riscontrato che i dispositivi smart sono molto diffusi soprattutto in città di Stati Uniti, Europa e altri paesi. Sono state riscontrate 17 vulnerabilità in totale, oltre la metà delle quali sono critiche.
La ricerca ha evidenziato altri aspetti preoccupanti: il team si è reso conto, infatti, che un paese europeo stava utilizzando un dispositivo vulnerabile per registrare le radiazioni e un paese degli Stati Uniti per controllare il traffico (i ricercatori hanno avvertito le autorità delle vulnerabilità).
L’altro aspetto a preoccupare è che non si tratta di vulnerabilità particolarmente complicate. I ricercatori hanno individuato velocemente le vulnerabilità e le case produttrici avrebbero potuto risolvere la maggior parte di esse prendendo dei provvedimenti di base.
Come potrete vedere, si tratta di minacce reali. A onor del vero, le case produttrici hanno collaborato con i ricercatori e hanno pubblicato le patch. Non possiamo garantire, tuttavia, che le città coinvolte le abbiano poi applicate prontamente.
Con lo scopo di mettere in evidenza gli scenari più catastrofici, i ricercatori hanno portato una riproduzione di una diga mostrando in azione i dispositivi analizzati nel loro studio (hanno impiegato sensori smart per controllare il livello dell’acqua della diga). Grazie all’attacco, perpetrato in meno di un minuto, i ricercatori sono riusciti a prosciugare l’acqua dalla diga e a far straripare il fiume che si trovava dall’altra parte, inondando la città vicina.
Ripetiamo: non stiamo parlando di dispositivi a caso, ma di apparecchiature impiegate nella vita reale in alcune città, che si affidano a tali dispositivi per la gestione di compiti importanti. Se dei ricercatori sono riusciti a trovare queste vulnerabilità senza fare alcuno sforzo, è solo questione di tempo prima che i cybercriminali facciano lo stesso, se non peggio.
Non vogliamo essere allarmisti, ma le amministrazioni cittadine farebbero bene a seguire i consigli di questi ricercatori. Le smart city rappresentano un business in forte crescita (parliamo di un aumento negli investimenti di 135 miliardi di dollari nei prossimi tre anni). E, a differenza della maggior parte dei dispostivi IoT in commercio, in questo caso parliamo di apparecchiature che svolgono compiti ben più importanti di ordinare una pizza o di riempire il cassettino dell’ammorbidente della lavatrice. Hanno il grande onere di salvaguardare la sicurezza dei cittadini.