Quando la tecnologia diventa troppo amica, viene da chiedersi se il progresso, la possibilità di lavorare liberi da fili e in totale libertà vale la pena e a cosa si dovrebbe rinunciare per essere certi di detenere realmente le nostre informazioni e i nostri dati in maniera privata.
Chi ci assicura che certi criminali non lancino attacchi verso dispositivi medicali quali "pompe per l'insulina" o "pacemaker cardiaci" ?
Un tale scenario era già stato trattato da un articolo pubblicato da Toms Hardware anche nel 2016 (link) con un articolo dal titolo "Hacker attacca il suo pacemaker ma a fin di bene"
Ma ad oggi tale vulnerabilità non è stata risolta, in commercio esistono dispositivi con chip non aggiornati e quindi invece di continaure a parlare sempre di vulnerabilità remota, mi occuperò di una vulnerabilità che è detta di prossimità...
Tale falla interessa i chip Texas Instruments che funzionano attraverso la tecnologia Bluetooth Low Energy, in passato ed era il 2008 tale vulnerabilità era stata individuata di ricercatori "Armis" i quali hanno denominato questa falla di sicurezza rinvenibile in dipositivi BLE e vari access point BleedingBit. Ebbene siamo nel 2019 e tale falla permane in determinati chip.
Ma è un qualcosa di molto esteso che copre circa il 75% del mercato, infatti questi chip sono utilizzati in vari dispositivi medicali (pompe per l’insulina e
anche pacemaker come detto sopra) e in dispositivi con svariata tecnologia come le serrature “smart” e
attre aplicazioni presenti in molti access point prodotti da Cisco, Meraki e Aruba.
Singolare la dichiarazione resa da Marie Moe in un intervento pubblico tenuto durante il Chaos Communication Congress ad Amburgo la quale sosteneva che non temeva di essere uccisa da remoto ma aveva una fondata paura e timore dei vari "bugs".
Marie ha avuto bisogno di far ritarare il proprio pacemaker a causa di
un problema nella configurazione che le ha quasi causato un collasso
mentre saliva le scale della metropolitana."
Quindi nel campo medico se da un lato alcuni medici "pretendono di accedere ai dati" presenti dentro al peacemaker senza alcuna "password" bisogna chiarire che i problemi di questi pacemaker iniziano ben prima della sicurezza e quindi più che a folli guadagni bisognerebbe prestare massima attenzione alla realizzazione e sopratutto ad un collaudo che dovrebbe passare una serie di hard test di nuova concezione anche con l'ausilio di hacker esperti .
Ma è possibile hackerare attualmente questi dispositivi ?
Si. Invando all'access point una serie di
pacchetti confezionati ad arte che contengono il codice che vuole
eseguire. Nel secondo passaggio, viene iniettato un pacchetto alterato con uno
specifico bit, che provoca un buffer overflow e riavviando l’esecuzione del codice
caricato in precedenza. Tale procedura è funzionale ad installare una backdoor sul dispositivo.
Esiste pure un altra tecnica che è molto più efficace , ovvero far eseguire un “push” del firmware attraverso una password predefinita. Sebbene tale vulnerabilità sembra impossibile da attuare in molti dispositivi la password predefinita regna sovrana e pertanto fare un certo e proprio upload di un firmware customizzato può far compiere qualsiasi operazione sia ai pacemaker che alle pompe insuliniche si potrebbe addirittura uccidere la gente attraverso una tecnologia del genere, bisognerebbe trovare poi un tecnico o meglio un perito con gli "attributi" in grado di far un reverse engineering nei vari device, quindi una uccisione passerebbe o potrebbe passare per un malfunzionamento. Quindi siamo in un epoca dove la tecnolgia con i suoi innumerevoli bug ci renderanno sempre più indifesi e vulnerabili in nome della bella comodità. Quindi prendiamo coscienza e consapevolezza che la nostra vita merita rispetto e in tali ambiti e applicazioni, sebbene la tecnologia rimanga di massa, l'immissione nel mercato deve o dovrebbe seguire step rafforzati con un benchmark e una serie di stress test atti a scongiurare i pericoli che il futuro lega all'obsolescenza di tutte le applicazioni pratiche di ogni principio teorico.