Blogger Widgets

17/07/19

Il nuovo target dei pirati informatici gira sulla tecnologia Smart, mania per l'Internet of Things e sopratutto "roba" wifi

Quando la tecnologia diventa troppo amica, viene da chiedersi se il progresso, la possibilità di lavorare liberi da fili e in totale libertà vale la pena e a cosa si dovrebbe rinunciare per essere certi di detenere realmente le nostre informazioni e i nostri dati in maniera privata.

Chi ci assicura che certi criminali non lancino attacchi verso dispositivi medicali quali "pompe per l'insulina" o "pacemaker cardiaci"  ? 

Un tale scenario era già stato trattato da un articolo pubblicato da Toms Hardware anche nel 2016 (link) con un articolo dal titolo "Hacker attacca il suo pacemaker ma a fin di bene"


Ma ad oggi tale vulnerabilità non è stata risolta,  in commercio esistono dispositivi con chip non aggiornati e quindi invece di continaure a parlare sempre di vulnerabilità remota, mi occuperò di una vulnerabilità che è detta di prossimità...
Tale falla interessa i chip Texas Instruments che funzionano attraverso la tecnologia Bluetooth Low Energy, in passato ed era il 2008 tale vulnerabilità era stata individuata di ricercatori "Armis" i quali hanno denominato questa falla di sicurezza rinvenibile in dipositivi BLE e vari access point BleedingBit. Ebbene siamo nel 2019 e tale falla permane in determinati chip.
Ma è un qualcosa di molto esteso che copre circa il 75% del mercato, infatti questi chip sono  utilizzati in vari dispositivi medicali (pompe per l’insulina e anche pacemaker come detto sopra) e in dispositivi con svariata tecnologia come le serrature “smart” e attre aplicazioni presenti in molti  access point prodotti da Cisco, Meraki e Aruba.

Singolare la dichiarazione resa da Marie Moe in un intervento pubblico tenuto durante il Chaos Communication Congress ad Amburgo la quale sosteneva che non temeva di essere uccisa da remoto ma aveva una fondata paura e timore dei vari "bugs".
Marie ha avuto bisogno di far ritarare il proprio pacemaker a causa di un problema nella configurazione che le ha quasi causato un collasso mentre saliva le scale della metropolitana."

Quindi nel campo medico se da un lato alcuni medici "pretendono di accedere ai dati" presenti dentro al peacemaker senza alcuna "password" bisogna chiarire che i problemi di questi pacemaker iniziano ben prima della sicurezza e quindi più che a folli guadagni bisognerebbe prestare massima attenzione alla realizzazione e sopratutto ad un collaudo che dovrebbe passare una serie di hard test di nuova concezione anche con l'ausilio di hacker esperti .


Ma è possibile hackerare attualmente questi dispositivi ?

Si. Invando all'access point una serie di pacchetti confezionati ad arte che contengono il codice che vuole eseguire. Nel secondo passaggio, viene iniettato un pacchetto alterato con uno specifico bit, che provoca un buffer overflow e riavviando l’esecuzione del codice caricato in precedenza. Tale procedura è funzionale ad installare una backdoor sul dispositivo.

Esiste pure un altra tecnica che è molto più efficace ,  ovvero far eseguire un “push” del firmware attraverso una password predefinita. Sebbene tale vulnerabilità sembra impossibile da attuare in molti dispositivi la password predefinita regna sovrana e pertanto fare un certo e proprio upload di un firmware customizzato può far compiere qualsiasi operazione sia ai pacemaker che alle pompe insuliniche si potrebbe addirittura uccidere la gente attraverso una tecnologia del genere, bisognerebbe trovare poi un tecnico o meglio un perito con gli "attributi" in grado di far un reverse engineering nei vari device, quindi una uccisione passerebbe o potrebbe passare per un malfunzionamento. Quindi siamo in un epoca dove la tecnolgia con i suoi innumerevoli bug ci renderanno sempre più indifesi e vulnerabili in nome della bella comodità. Quindi prendiamo coscienza e consapevolezza che la nostra vita merita rispetto e in tali ambiti e applicazioni, sebbene la tecnologia rimanga di massa, l'immissione nel mercato deve o dovrebbe seguire step rafforzati con un benchmark e una serie di stress test atti a scongiurare i pericoli che il futuro lega all'obsolescenza di tutte le applicazioni pratiche di ogni  principio teorico.




26/06/19

Cybersecurity Act Europeo in vigore dal 27 giugno 2019


Il testo definitivo del cosiddetto Cybersecurity Act è stato pubblicato sulla Gazzetta ufficiale dell’Unione europea L 151/15 del 7 giugno scorso: la nuova legge si chiama ufficialmente Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019.

Il provvedimento entra in vigore il 27 giugno e, in quanto Regolamento, sarà immediatamente esecutivo in tutti gli Stati membri senza necessità di interventi attuativi da parte dei legislatori nazionali.
Si è giunti finalmente alla conclusione di un iter approvativo iniziato nel 2017 con la presentazione del testo iniziale del Cybersecurity Act da parte della Commissione europea.

Lo scorso 12 marzo quando,  in seduta plenaria, il Parlamento Europeo ha definitivamente adottato con 586  voti favorevoli, 44 contrari e 36 astensioni il sistema di certificazione per la sicurezza informatica europea,  noto per l’appunto come Cybersecurity Act.

Quindi i sistemi di controllo industriali, i dispositivi medici e i nuovi veicoli a guida autonoma sono solo alcuni degli esempi per i quali sarà disponibile il nuovo schema europeo di certificazione.
Sarà quindi la Commissione a valutare, entro il 2023, se tali nuovi sistemi volontari per i vari Stati Membri debbano essere resi obbligatori.

Si tratta di un passaggio fondamentale anche per il ruolo della stessa Enisa.
Enisa, acronimo di European Union Agency for Network and Information Security, è un centro di expertise per la cybersecurity in Europa, con sede ad Atene e un distaccamento ad Heraklion, Creta.
Questa agenzia lavora con le istituzioni europee, con gli Stati membri e con il settore privato, allo scopo di garantire un livello elevato di network and information security (NIS) e di contribuire a sviluppare una cultura della sicurezza.

L'Enisa d'ora in poi sarà conosciuta come Agenzia dell’Unione Europea per la cybersecurity (EU Agency for Cybersecurity) e riceverà un mandato permanente.

Si teme che le infrastrutture per le reti 5G potrebbero avere delle “backdoor” incorporate che consentirebbero ai fornitori e alle autorità cinesi di avere un accesso non autorizzato ai dati personali e alle telecomunicazioni nell’UE.
Il timore, è che i fornitori di dispositivi di paesi terzi possano presentare un rischio per la sicurezza informatica dell’UE a causa delle leggi del loro paese che obbligano le imprese a cooperare con lo Stato grazie a una definizione molto ampia della sicurezza nazionale.


Maggiori informazioni sull’Enisa consultando questo link.

Il Cybersecurity Act è consultabile a questo link.

26/03/19

Cantiere Catenanuova-Bicocca - Il ministro Toninelli, le Autorità e Gentile di Rfi a Catenanuova 25.03.2019

Giornata storica per Catenanuova.
Cantiere Catenanuova-Bicocca - Il ministro Toninelli, le Autorità e Gentile di Rfi a Catenanuova 25.03.2019 per farvi un idea vi lascio 4 video che ho girato per tutti coloro che non sono stati presenti all'evento.