Ecco come la “città intelligente” può diventare “stupida”

Contenuti

Il concetto di “smart city” abbraccia una vasta combinazione di soluzioni e tecnologie all’avanguardia di vario genere, in grado di assicurare la massima comodità ed efficacia nel ricevere determinati servizi, garantire la sicurezza dei cittadini, consumi sostenibili delle risorse a disposizione della comunità, etc. Con il presente articolo desideriamo richiamare l’attenzione su un fattore di vitale importanza, che spesso, tuttavia, viene perso di vista dai sostenitori dell’idea di “città intelligente”: si tratta della sicurezza degli elementi stessi della “smart city”. Le infrastrutture di cui sono provviste le cosiddette “città intelligenti”, in genere, si sviluppano più velocemente degli strumenti adibiti alla loro protezione; questo lascia ampio spazio alle potenziali attività che possono essere condotte sia da ricercatori particolarmente curiosi, sia, purtroppo, da eventuali cyber criminali.

“Che disgrazia l’intelligenza!”

Al giorno d’oggi, i parchi e le strade delle nostre città abbondano di terminali utilizzati per il pagamento dei parcheggi, di speciali punti adibiti al noleggio delle bici, di apposite stazioni per la ricarica rapida dei dispositivi mobile. Aeroporti e stazioni ferroviarie, da parte loro, offrono speciali postazioni per poter effettuare in maniera autonoma il pagamento dei biglietti, oppure per ottenere informazioni di viaggio. Nei cinema vengono collocati, sempre più di frequente, appositi terminali per procedere all’acquisto dei biglietti per i vari spettacoli cinematografici in programma. Nelle cliniche e nelle sedi degli enti pubblici, i visitatori trovano spesso, ad attenderli, speciali dispositivi per regolare elettronicamente le eventuali code. Vengono attualmente dotati di terminali di pagamento persino i bagni pubblici, sebbene soluzioni del genere non siano, per il momento, troppo frequenti.

Ecco come la "città intelligente" può diventare "stupida"

Esempi di terminali utilizzati per il pagamento dei biglietti per il cinema

Tuttavia, quanto più complesso risulta il dispositivo, tanto maggiori saranno le probabilità che esso possa presentare delle vulnerabilità, così come carenze ed errori a livello di configurazione. Di fatto, l’eventualità che i vari dispositivi installati nella “smart city” possano un giorno divenire bersaglio di cybercriminali senza scrupoli è ben lungi dall’essere nulla. Gli scenari ipotizzabili riguardo all’utilizzo di tali dispositivi da parte di cyber criminali, per i propri loschi fini, derivano dalle stesse peculiarità che caratterizzano le macchine in questione.

  • Molti di questi dispositivi si trovano in luoghi pubblici.
  • Risultano accessibili in modalità 24/7, ovvero 24 ore su 24, 7 giorni su 7.
  • Essi dispongono della stessa identica configurazione, per quel che riguarda ogni singolo tipo di dispositivo.
  • Godono di un alto grado di fiducia da parte dell’utente.
  • Elaborano i dati degli utenti: informazioni di natura personale e finanziaria.
  • Sono connessi tra loro, e possono disporre di output verso altre reti locali.
  • Sono dotati, in genere, di accesso ad Internet.

Di tanto in tanto, leggiamo notizie riguardo a spettacolari azioni di hackeraggio nei confronti dell’ennesimo cartello stradale elettronico, sul quale, al posto dell’abituale scritta relativa, ad esempio, ai lavori di riparazione del manto stradale, compare, magari, un sinistro “avvertimento” del tipo “Zombies ahead”. Altre volte, poi, vengono diffuse notizie riguardo all’individuazione di determinate vulnerabilità nei sistemi che regolano il funzionamento dei semafori e l’eventuale congestione del traffico. Si tratta, indubbiamente, di “scoperte” di particolare rilevanza, ma gli elementi attualmente esistenti, nell’ambito delle infrastrutture che caratterizzano le “smart city”, non si limitano di certo ai semafori e ai pannelli stradali.

Abbiamo pertanto deciso di esaminare in dettaglio alcuni degli elementi che contraddistinguono, attualmente, le nostre “città intelligenti”:

  • I terminali touch screen utilizzati per il pagamento di determinati servizi (biglietti, parcheggi, etc.);
  • I terminali di infotainment (informazione ed intrattenimento) installati nei taxi;
  • I terminali adibiti a dispensare informazioni di viaggio negli aeroporti e nelle stazioni ferroviarie;
  • Gli elementi utilizzati nell’ambito delle infrastrutture stradali (autovelox e router “stradali”).

I terminali della “città intelligente”

Dal punto di vista strettamente tecnico, quasi tutti i terminali adibiti al pagamento e alla fornitura di determinati servizi, indipendentemente dalla loro specifica funzione, altro non sono se non dei normali PC, provvisti, tuttavia, di un apposito sistema di touch screen. Ciò che li contraddistingue, di fatto, è la presenza, in essi, della modalità “chiosco” – un ambiente grafico interattivo che, in pratica, “sbarra” l’accesso, per l’utente, alle abituali funzioni del sistema operativo, lasciando a disposizione dell’utilizzatore soltanto un set limitato di funzionalità, ovvero quelle necessarie per svolgere le specifiche attività alle quali è destinato il terminale. Tutto questo, però, solo in teoria. Come ha dimostrato la ricerca da noi effettuata “sul campo”, nella maggior parte di tali terminali risulta in effetti assente una protezione sicura ed affidabile per ciò che riguarda l’eventuale uscita dell’utente dalla modalità “chiosco” e, di conseguenza, il possibile ottenimento dell’accesso alle normali funzionalità del sistema operativo.

Ecco come la "città intelligente" può diventare "stupida"

Uscita dalla modalità “chiosco”

Tecniche utilizzate per uscire dalla modalità “chiosco”

Esistono vari tipi di vulnerabilità, alle quali risulta sottoposto un elevato numero di terminali. Di conseguenza, le tecniche di attacco esistenti mirano proprio allo sfruttamento di tali vulnerabilità.

La sequenza delle azioni necessarie per uscire dall’applicazione a schermo intero viene illustrata nello schema qui di seguito riportato.

Ecco come la "città intelligente" può diventare "stupida"

Metodologia di analisi del livello di protezione dei terminali di accesso pubblico

Tap-fuzzing

La tecnica denominata “tap-fuzzing” si riassume, in pratica, nel tentativo di uscire dall’applicazione a schermo intero a seguito di una procedura di elaborazione non corretta, ottenuta interagendo con l’applicazione “full screen”. L’hacker, in sostanza, preme con le proprie dita agli angoli dello schermo, per far apparire il menu contestuale, attraverso una pressione prolungata su vari elementi dello schermo. Se riesce ad individuare dei “punti deboli”, l’hacker cerca di richiamare uno dei menu standard del sistema operativo, tra quelli che risultano a disposizione (stampa, help, proprietà dell’oggetto, etc.), e raggiungere, poi, la tastiera su schermo. Successivamente, l’hacker otterrà l’accesso alla riga di comando; in tal modo, il malintenzionato potrà fare, con il sistema, tutto ciò che desidera: esplorare il contenuto dell’hard disk del terminale, alla ricerca di dati particolarmente “preziosi”; accedere alla Rete; installare le più disparate applicazioni, incluso quelle maligne.

Data-fuzzing

La tecnica denominata “data fuzzing”, se sfruttata con successo, porta ugualmente alla comparsa, sullo schermo, di elementi standard del sistema operativo, di fatto “nascosti”; le modalità sono tuttavia differenti. Per cercare di uscire dall’applicazione a schermo intero l’hacker inserisce dati di vario genere negli appositi campi disponibili, allo scopo di provocare il funzionamento non corretto del “chiosco”. Tale metodo può avere “buon esito” se, ad esempio, lo sviluppatore dell’applicazione full screen non è stato in grado di impostare correttamente il filtro preposto a verificare i dati introdotti dall’utente (lunghezza della stringa, presenza di caratteri speciali, etc.). Di conseguenza, un utente malintenzionato può immettere dati non corretti e generare, in tal modo, una sorta di eccezione, che l’applicazione non è poi in grado di gestire: l’errore produce l’apertura di un’apposita finestra da parte del sistema operativo, attraverso la quale il problema viene notificato all’utente.

Non appena si riesce a richiamare un elemento dell’interfaccia standard del sistema operativo, si può tranquillamente passare al pannello di controllo, ad esempio attraverso le sezioni di aiuto. Il pannello di controllo, nella circostanza, costituirà il punto di partenza per poter lanciare la tastiera virtuale.

Altri metodi

Un altro metodo per uscire dai “confini” del “chiosco” è poi rappresentato dalla ricerca di link esterni, che permettano di giungere sul sito di un qualsiasi search engine, per poi recarsi su ulteriori siti web. Nel corso dell’indagine condotta, è emerso che – probabilmente a causa della disattenzione, o della negligenza, dei propri sviluppatori – molte delle applicazioni a schermo intero installate sui terminali, tra quelle da noi esaminate, contenevano link destinati a condurre verso risorse web esterne, oppure su noti social network: “VKontakte”, Facebook, Google+ ed altri ancora. I link esterni in questione sono stati da noi individuati sia nell’interfaccia dei terminali utilizzati, all’interno dei cinema, per il pagamento dei biglietti, sia nei terminali specificamente adibiti al pagamento del parcheggio bici, dispositivi di cui parleremo in seguito.

Un altro possibile scenario, per quel che riguarda l’eventuale uscita dai “confini” dell’applicazione full screen, può divenire l’utilizzo di elementi standard dell’interfaccia del sistema operativo. Ad esempio, utilizzando le finestre di dialogo dell’OS Windows accessibili in alcuni terminali, un utente malintenzionato ha la possibilità di richiamare gli elementi che permettono di gestire tali finestre; tale procedura consente, di nuovo, di poter superare gli effettivi “limiti” del “chiosco” virtuale.

Ecco come la "città intelligente" può diventare "stupida"

Esempio di uscita da un’applicazione a schermo intero utilizzata per il pagamento dei biglietti cinematografici

Terminali adibiti al pagamento del noleggio di biciclette

Gli abitanti di alcuni Paesi, quali, ad esempio, Norvegia, Russia e Stati Uniti, possono trovare, lungo le strade delle proprie città, appositi terminali da utilizzare per il pagamento degli importi dovuti per il noleggio di biciclette. Nella circostanza, attraverso il display di cui sono dotati tali dispositivi, l’utente può effettuare la procedura di registrazione necessaria per poter noleggiare il veicolo a due ruote, e può ugualmente ricevere tutte le informazioni del caso.

Ecco come la "città intelligente" può diventare "stupida"

Barra di stato contenente un URL

Nell’ambito di tali sistemi di terminali è stata da noi rilevata un’importante peculiarità. Nella sezione “Mappe”, gli sviluppatori hanno utilizzato le mappe fornite dalla società Google; ora, il widget di Google è provvisto di una barra di stato, la quale contiene, tra le altre informazioni presenti, i link “Segnala un errore”, “Privacy” e “Condizioni di utilizzo”. Se l’utente “clicca” su uno qualsiasi di tali link, si apre una finestra standard di Internet Explorer e, assieme ad essa, anche l’accesso all’interfaccia del sistema operativo.

Oltre ai suddetti collegamenti ipertestuali, si trovano, sparsi qua e là nell’applicazione, ulteriori link: ad esempio, quando sulla mappa vengono visualizzati determinati luoghi, è possibile premere sul relativo pulsante “Per saperne di più”, ed aprire così, sul browser, la pagina web corrispondente.

Ecco come la "città intelligente" può diventare "stupida"

Internet Explorer apre non solo la pagina web… ma anche nuove possibilità per eventuali utenti cyber criminali

È poi risultato che non è per nulla difficile richiamare la stessa tastiera virtuale: in effetti, attraverso i link collocati sulle pagine contenenti le informazioni di base, risulta possibile passare alla relativa sezione di aiuto (Help Center), denominata “Opportunità speciali”, dove si “nasconde”, di fatto, anche la tastiera virtuale. Un simile errore di configurazione consente di avviare l’esecuzione di applicazioni che non si rivelano affatto necessarie per il funzionamento di tale dispositivo.

L’esecuzione di cmd.exe dimostra, in tutta evidenza, un ulteriore errore critico a livello di configurazione: la sessione corrente del sistema operativo viene in effetti avviata con i privilegi di amministratore; questo significa che un ipotetico hacker può liberamente lanciare, senza alcun ostacolo, l’esecuzione di qualsiasi applicazione.

Ecco come la "città intelligente" può diventare "stupida"

La sessione corrente di Windows in esecuzione con privilegi di amministratore

L’hacker può inoltre ottenere l’hash NTLM della password di amministratore. È altresì molto elevata la probabilità che la password impostata per tale dispositivo possa andar bene anche per gli altri dispositivi riconducibili a tale tipologia.

Nel caso specifico, per di più, l’eventuale malintenzionato può carpire non soltanto l’hash NTLM – che deve essere peraltro sottoposto, in seguito, ad un apposito attacco brute-force, per poter ricavare la password – ma anche, ed in maniera immediata, la password di amministratore, visto che, nella circostanza, le password possono essere estratte direttamente dalla memoria, ed in chiaro.

Il malfattore di turno, inoltre, può ottenere il dump dell’applicazione, il quale raccoglie, di fatto, tutte le informazioni relative agli utenti che desiderano andare in bici: nome, cognome, indirizzo e-mail e numero di telefono degli stessi. Tra l’altro, non è escluso che il database contenente tali informazioni sia custodito nei paraggi, da qualche parte. Tale database risulterà poi di notevole valore, sul mercato nero del cybercrimine, in quanto in esso sono contenuti indirizzi di posta elettronica e numeri di telefono già verificati. Se, invece, un simile database non risulta presente, l’utente malintenzionato può installare un proprio keylogger, che intercetterà tutti i dati via via inseriti dagli utenti, per poi trasmettere gli stessi ad un server remoto.

Considerando una delle caratteristiche peculiari di questi dispositivi, ovvero l’operatività 24 ore su 24, 7 giorni su 7, è ad esempio possibile allestire, su di essi, un pool adibito al mining di criptovaluta, o utilizzare gli stessi per azioni di hackeraggio che richiedano una presenza in Rete ininterrotta da parte della workstation infetta.

Cybercriminali particolarmente scaltri e audaci potrebbero addirittura implementare uno scenario di attacco decisamente temibile, con il preciso scopo di carpire i dati sensibili di cui si avvalgono i clienti per effettuare i pagamenti: è in effetti possibile lasciare sulla finestra principale dell’applicazione adibita a parcometro un apposito campo dannoso per l’inserimento delle credenziali relative alla carta di credito; con una buona dose di probabilità, l’utente, tratto in inganno, andrà ad inserire queste ultime nel campo fasullo, assieme al proprio nome, numero di telefono e indirizzo di posta elettronica.

I terminali situati presso le sedi di enti pubblici

I terminali ubicati presso varie istituzioni pubbliche possono ugualmente divenire facile preda di utenti cyber criminali. Abbiamo ad esempio individuato un terminale il cui compito consiste nello stampare ricevute e scontrini, in base agli specifici dati inseriti dall’utente. Dopo che quest’ultimo ha compilato tutti i campi presenti, ha introdotto le proprie credenziali e premuto sull’apposito pulsante “Crea”, il terminale apre, per alcuni secondi, una finestra di stampa standard, all’interno della quale si trovano tutti i parametri necessari per poter effettuare la stampa, così come i relativi strumenti di gestione. In seguito viene premuto, in maniera automatica, il pulsante “Stampa”.

Ecco come la "città intelligente" può diventare "stupida"

Dettagli del processo di stampa di uno dei terminali

A questo punto, l’eventuale malintenzionato ha a propria disposizione alcuni secondi per riuscire a premere il pulsante “Cambia” (stampante), ed ottenere quindi la possibilità di giungere alla sezione di aiuto. Da lì, poi, si può passare al pannello di controllo, per lanciare, infine, la visualizzazione della tastiera su schermo. In tal modo, l’hacker ottiene, in pratica, la disponibilità di tutti gli strumenti necessari per l’inserimento di dati (nello specifico, tastiera e cursore del mouse), e può quindi far uso del computer per i propri scopi malevoli, quali, ad esempio, avviare l’esecuzione di codice nocivo, ottenere informazioni sui file stampati, venire a conoscenza della password di amministratore su tale dispositivo, etc.

I dispositivi pubblici installati negli aeroporti

I terminali utilizzati per le procedure di check-in dei passeggeri – dispositivi che, al giorno d’oggi, si possono trovare in qualsiasi aeroporto – presentano, più o meno, gli stessi problemi di sicurezza da noi descritti in precedenza e, con ogni probabilità, possono essere attaccati con successo da eventuali cyber criminali. La differenza esistente, se paragonati agli altri dispositivi simili, consiste nel fatto che alcuni terminali installati negli aeroporti operano con una tipologia di informazioni ben più “preziose”, rispetto a quelle normalmente gestite attraverso i terminali situati in altri luoghi.

Ecco come la "città intelligente" può diventare "stupida"

Uscita dalla modalità “chiosco”, attraverso l’apertura di una finestra aggiuntiva del browser Internet

In molti aeroporti, poi, si trovano dei computer che forniscono l’accesso a pagamento ad Internet, e risultano collegati tra loro, in un’unica rete. Tali computer elaborano le informazioni personali degli utenti, che questi ultimi inseriscono per poter ottenere l’accesso alla Rete: nominativi, numeri di carte di credito, etc. Anche in questi terminali ritroviamo una sorta di modalità “chiosco”; tuttavia, a seguito di specifici errori intervenuti durante la fase di progettazione e di sviluppo degli stessi, risulta possibile uscire da tale modalità. Abbiamo rilevato, sui computer da noi esaminati, che il software del “chiosco” utilizza Flash Player per la visualizzazione di contenuti pubblicitari; in un determinato momento un hacker può far apparire il menu contestuale e, attraverso di esso, raggiungere altre funzionalità del sistema operativo.

È di particolare interesse osservare come, su questi computer, vengano applicate specifiche policy di filtraggio degli indirizzi web. Tuttavia, l’accesso alla gestione di tali policy risulta completamente “aperto”; è quindi possibile aggiungere o rimuovere, a proprio piacimento, qualsiasi sito che, a sua volta, può fornire all’hacker ampie opportunità per compromettere il dispositivo. Ad esempio, la possibilità di accedere a determinati siti web di phishing, oppure a siti preposti alla distribuzione di programmi malware, pone potenzialmente sotto minaccia questi computer. Inoltre, l’inserimento in blacklist di siti legittimi fa sì che aumentino le probabilità di imbattersi in link di phishing.

Ecco come la "città intelligente" può diventare "stupida"

Elenco degli indirizzi bloccati attraverso le policy

Abbiamo poi rilevato come le configurazioni utilizzate per la connessione al database contenente le informazioni relative agli utenti, vengano custodite in chiaro, in un apposito file di testo. Questo significa che, avendo ottenuto la possibilità di uscire dalla modalità “chiosco” su una di tali macchine, chiunque potrebbe venire a conoscere login e password degli amministratori, ed ottenere, poi, l’accesso al database dei clienti, contenente login e password utilizzati da questi ultimi, i relativi dati di pagamento, etc.

Ecco come la "città intelligente" può diventare "stupida"

Esempio di file di configurazione contenente, al suo interno, login e funzioni di hash relative alle password degli amministratori

I terminali di “infotainment” installati nei taxi

In questi ultimi anni, in molti taxi hanno fatto la loro comparsa speciali dispositivi basati sull’OS Android, montati sul poggiatesta del sedile anteriore riservato al passeggero. Grazie ad essi, il cliente che siede sul sedile posteriore dell’autovettura può visualizzare pubblicità, informazioni meteo, notizie, e a volte barzellette… non troppo divertenti. Per motivi di sicurezza, su questi terminali vengono installate apposite telecamere.

L’applicazione che fornisce i contenuti funziona, anch’essa, in modalità “chiosco”; anche qui, tuttavia, si può tranquillamente uscire, da tale modalità.

Ecco come la "città intelligente" può diventare "stupida"

L’uscita dalla modalità “chiosco” (abitualmente utilizzata dal terminale installato nel taxi) fornisce l’opportunità di caricare applicazioni esterne

Sui terminali che abbiamo avuto la possibilità di esaminare, la schermata principale presentava del testo “nascosto”. Con gli strumenti standard di cui dispone Android risulta possibile identificare il testo in questione, servendosi del menu contestuale. Tale specifica azione fa sì che venga richiamata l’opzione di ricerca sulla schermata principale; in tal modo la shell si blocca, si chiude e riavvia automaticamente il dispositivo. Durante il reboot, sarà sufficiente, per l’hacker, riuscire a raggiungere, in un determinato momento, il menu principale, per poi andare, da lì, su Root Explorer, il file manager del sistema operativo Android.

Ecco come la "città intelligente" può diventare "stupida"

Interfaccia e struttura delle directory di Android

In tal modo, un ipotetico malintenzionato è in grado di ottenere l’accesso all’OS del terminale, così come a tutte le funzionalità di cui tale sistema operativo dispone, ad esempio quella relativa alla telecamera. Così, se l’hacker, in precedenza, ha collocato sul proprio server un’applicazione malevola per Android, predisposta per tempo, quest’ultima potrà agevolmente acquisire l’accesso alla telecamera da remoto. In tal modo, il malintenzionato di turno ha l’effettiva possibilità di controllare la telecamera a distanza; pertanto, in qualsiasi momento egli avrà l’opportunità di realizzare, od ottenere, video o foto riguardo a quello che avviene all’interno del taxi.

Ecco come la "città intelligente" può diventare "stupida"

Uscire dai “confini” dell’applicazione full screen di cui è provvisto il terminale installato nel taxi rende possibile ottenere l’accesso alle funzionalità del sistema operativo

Le nostre raccomandazioni

Un attacco condotto “a buon fine” può compromettere il funzionamento del terminale ed arrecare, ai proprietari dello stesso, perdite finanziarie dirette. Inoltre, l’hacker può utilizzare il terminale “slave”, asservito ai propri voleri, per violare ulteriori dispositivi, visto che questi ultimi sono spesso collegati in rete. Le ulteriori possibilità di sfruttamento di una rete del genere sono davvero ampie: si va, in effetti, dal furto dei dati personali, inseriti dall’utente, o dal monitoraggio nocivo degli stessi (se il terminale è provvisto di telecamera o di uno scanner di documenti) – al furto di denaro (se il terminale accetta pagamenti in contanti o tramite carta di credito).

Al fine di prevenire ogni possibile attività nociva sui dispositivi pubblicamente accessibili, dotati di interfaccia touch-screen, occorre che gli sviluppatori e gli amministratori di terminali collocati in luoghi pubblici, tengano in debita considerazione le seguenti raccomandazioni:

  • L’ambiente interattivo del “chiosco” non deve in alcun modo presentare funzioni superflue, non necessarie, che consentano di richiamare il menu del sistema operativo (tasto destro del mouse, link destinati a condurre verso siti esterni, e via dicendo).
  • La stessa applicazione deve essere lanciata ricorrendo all’utilizzo di una tecnologia che preveda un ambiente di test sicuro ed affidabile, come, ad esempio, jailroot, sandbox, etc. Questo consentirà di limitare la funzionalità dell’applicazione ai “confini” dell’ambiente simulato.
  • Un ulteriore metodo di efficace protezione è poi rappresentato dall’utilizzo di un “thin client”. Anche se l’hacker sarà in grado di “far fuori” l’applicazione, grazie all’impiego di un thin client una considerevole parte delle preziose informazioni risulterà comunque custodita su un server centrale, e non sul dispositivo compromesso.
  • Avviare la sessione corrente del sistema operativo con i privilegi limitati di cui dispone l’utente ordinario; questo renderà molto più difficile poter installare nuove applicazioni.
  • Occorre creare, per ogni dispositivo, un account unico, provvisto di password univoca, per non permettere al malintenzionato in agguato, che è già riuscito a compromettere uno dei terminali, di utilizzare la password carpita per accedere ad altri dispositivi simili.

Elementi dell’infrastruttura stradale

Attualmente, le infrastrutture stradali delle nostre città si stanno gradualmente dotando di un insieme di sensori intelligenti di vario genere, di regolatori, analizzatori del traffico, etc. Tutti questi sensori raccolgono e trasmettono agli appositi data center le informazioni relative all’intensità del traffico. Nell’ambito della ricerca effettuata abbiamo ugualmente preso in considerazione gli autovelox, visto che tali dispositivi, al giorno d’oggi, sono ormai onnipresenti.

Gli autovelox

Abbiamo trovato in maniera assolutamente casuale, attraverso il noto motore di ricerca Shodan, indirizzi IP relativi ad apparecchi autovelox. Dopo aver esaminato alcuni di questi dispositivi, siamo ricorsi all’utilizzo di una “dork” (una query appositamente effettuata sul motore di ricerca, il quale identifica, in maniera mirata, i dispositivi richiesti, oppure i siti web, sulla base di un criterio specificamente determinato) allo scopo di individuare ulteriori indirizzi IP relativi a queste speciali “telecamere”. Abbiamo notato, tra le altre cose, una certa somiglianza tra gli indirizzi IP di cui erano provvisti i dispositivi in questione; in ogni città, in pratica, essi facevano parte della medesima sottorete. Questo elemento ci ha aiutato ad individuare quei dispositivi che non erano presenti nei risultati restituiti da Shodan, ma che, in ogni caso, facevano parte di tali sottoreti, assieme agli altri autovelox. I dispositivi in causa, quindi, presentano un’architettura ben definita; con ogni probabilità, il numero delle relative sottoreti è piuttosto elevato. Successivamente, abbiamo provveduto a scansionare tali sottoreti e quelle limitrofe, attraverso determinate porte, che risultavano aperte, ed abbiamo trovato un gran numero di questi apparecchi.

Una volta individuate le porte degli autovelox aperte, abbiamo potuto verificare sul campo ciò che avevamo ipotizzato: una di esse, in effetti, operava con il protocollo RTSP (Real Time Streaming Protocol). La specifica architettura di tale protocollo consente di rendere la trasmissione sia privata (accessibile tramite login e password), sia pubblica. Abbiamo poi deciso di verificare l’effettiva presenza di password. Immaginate la nostra sorpresa quando abbiamo scoperto che non esisteva alcun tipo di password, ed il flusso video era quindi liberamente accessibile per qualsiasi utente di Internet. Tra l’altro, vengono trasmessi in chiaro, oltre al flusso video, vari altri dati aggiuntivi, ad esempio quelli correlati alle coordinate geografiche degli apparecchi autovelox.

Ecco come la "città intelligente" può diventare "stupida"

Screenshot di una trasmissione “in diretta”, proveniente dall’autovelox

Su tali dispositivi abbiamo poi individuato numerose altre porte, che risultavano aperte; esse consentivano di venire a conoscenza di molte altre informazioni di natura tecnica, particolarmente interessanti. Ci riferiamo, ad esempio, all’elenco delle sottoreti interne del sistema di telecamere di controllo predisposto per il rilevamento della velocità dei veicoli, alla composizione dell’hardware del dispositivo, e via dicendo.

Grazie alla documentazione tecnica consultata, abbiamo inoltre appreso che le telecamere possono essere riprogrammate attraverso un canale wireless. Allo stesso modo, tale documentazione ha evidenziato che gli autovelox possono rilevare le infrazioni soltanto su determinate corsie della carreggiata stradale; questo consente, in pratica, al momento opportuno, e nel luogo ritenuto più appropriato, di poter disattivare il monitoraggio riguardo ad una delle corsie. E tutto questo può essere fatto da remoto.

Mettiamoci, ora, al posto di ipotetici cyber criminali, e supponiamo che, dopo aver compiuto determinate azioni illegali, questi ultimi abbiano bisogno di nascondersi nel flusso delle auto in marcia. Per far questo, essi potrebbero tranquillamente sfruttare, in maniera indebita, le possibilità involontariamente offerte dal complesso degli apparecchi adibiti al rilevamento della velocità delle autovetture e dei mezzi pesanti. I cyber criminali potrebbero, ad esempio, disattivare la registrazione dei veicoli su alcune o su tutte le corsie, lungo l’itinerario da essi percorso, oppure monitorare gli spostamenti delle forze di polizia impegnate in un eventuale inseguimento, e così via.

Un malintenzionato, inoltre, può ottenere l’accesso al database riguardante gli autoveicoli di cui è stato denunciato il furto e, in tal modo, aggiungere o rimuovere da esso determinate vetture.

Da parte nostra, abbiamo opportunamente provveduto ad avvertire in maniera tempestiva le società che si occupano del servizio di manutenzione degli autovelox, situate in quei Paesi in cui siamo stati in grado di individuare le problematiche di sicurezza qui sopra descritte.

I router

Abbiamo infine esaminato un ulteriore elemento dell’infrastruttura stradale: si tratta, nello specifico, dei router adibiti a trasmettere le informazioni tra le varie componenti della “smart city” correlate alle infrastrutture stradali, oppure ad inviare le informazioni in questione agli appositi data center.

Come abbiamo potuto rilevare, una considerevole parte di tali router non è affatto provvista di password, oppure è dotata di password deboli. Un’ulteriore vulnerabilità, peraltro piuttosto diffusa, è poi rappresentata dal fatto che il nome di rete assegnato alla maggior parte dei router corrisponde, a tutti gli effetti, allo loro collocazione geografica – strada e numero civico. Una volta ottenuto l’accesso all’interfaccia di gestione di tale router, il malintenzionato è in grado, attraverso la scansione dei range interni degli indirizzi IP, di venire a conoscere gli indirizzi di altri router e, in tal modo, raccogliere informazioni riguardo alla loro ubicazione. In seguito, utilizzando le “prospezioni” effettuate dagli appositi sensori preposti a misurare lo stato di congestione delle arterie stradali, risulta possibile raccogliere informazioni, attraverso i sensori stessi, riguardo alla densità del traffico.

Tali router consentono di registrare il traffico e trasferire i dati relativi a quest’ultimo su un eventuale server FTP che può essere allestito dai cyber criminali. Allo stesso modo, i router in causa permettono di creare dei tunnel SSH, hanno la possibilità di ottenere l’accesso al proprio firmware (tramite la creazione di una copia di backup del firmware stesso), consentono di connettersi via Telnet, e molto altro ancora.

Si tratta, in pratica, di dispositivi indispensabili nell’ambito dell’infrastruttura che caratterizza una moderna “smart city”. Tuttavia, una volta ottenuto l’accesso ad essi, i hacker possono agevolmente utilizzarli per i propri scopi. Ad esempio, se una certa banca sta trasportando grosse somme di denaro attraverso un percorso segreto, tramite il monitoraggio delle informazioni provenienti da tutti i sensori (con accesso ai router precedentemente acquisito) è di fatto possibile scoprire l’itinerario effettuato dalla colonna di autoveicoli. In seguito, utilizzando le telecamere, gli eventuali cyber criminali potrebbero addirittura monitorare gli spostamenti della stessa.

Le nostre raccomandazioni

Per assicurare un’adeguata protezione degli apparecchi autovelox, occorre effettuare, inizialmente, una verifica completa riguardo al grado di sicurezza degli stessi; si rivela inoltre necessario condurre un accurato penetration test, così come porre in forma scritta efficaci e dettagliate raccomandazioni a livello di sicurezza IT, per coloro che si occupano dell’installazione, della manutenzione e del monitoraggio di tali apparecchi. Nella documentazione tecnica che siamo riusciti ad ottenere, non si fa, in ogni caso, alcun riferimento a possibili meccanismi in grado di proteggere il dispositivo nei confronti di eventuali cyber criminali. Per quel che riguarda la protezione degli autovelox, occorre ugualmente prestare attenzione al fatto che a tali dispositivi non venga assegnato un indirizzo IP “trasparente”; tale circostanza, possibilmente, va evitata. Per poter garantire la loro sicurezza, tutte queste speciali “telecamere” non debbono in alcun modo risultare visibili da Internet.

Il problema principale, riguardo ai router “stradali”, è costituito dal fatto che non viene richiesta, obbligatoriamente, l’impostazione di una password, né al momento dell’avvio iniziale, né quando si effettuano le operazioni di settaggio e configurazione del dispositivo. Molti amministratori di router del genere si dimenticano, di fatto, di questa semplice procedura di sicurezza, oppure… sono forse troppo pigri, per provvedere in merito; tale situazione, purtroppo, consente di poter ottenere piuttosto agevolmente l’accesso al traffico esistente all’interno della rete.

Conclusioni

Le infrastrutture delle città moderne si arricchiscono, progressivamente, di nuovi dispositivi, i quali, a loro volta, comunicano con altri dispositivi ed altri sistemi. Per vivere confortevolmente, in tutta comodità e sicurezza, in un simile ambiente, è necessario comprendere bene che, al giorno d’oggi, la cosiddetta “città intelligente” è, a tutti gli effetti, un vero e proprio sistema informatico, che richiede un tipo di approccio “dedicato”, così come adeguate conoscenze e specifiche competenze riguardo alle misure di protezione da adottare.

Il presente articolo è stato redatto nel quadro del supporto fornito da Kaspersky Lab in favore dell’iniziativa globale no-profit denominata “Securing Smart Cities”, varata allo scopo di riunire gli esperti delle delicate tematiche inerenti alla cyber-sicurezza, per ciò che riguarda, nello specifico, le sofisticate tecnologie in uso nelle “smart city”. Maggiori informazioni in merito a tale importante iniziativa internazionale possono essere reperite al seguente link: securingsmartcities.org

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *