Il business corre verso la digitalizzazione e anche l’industria ha accelerato il passo di adozione dei robot, non solo nelle catene di montaggio, ma anche in altre posizioni di supporto ai lavoratori. Il numero degli oggetti connessi a Internet negli uffici e nelle fabbriche crescerà a dismisura nei prossimi anni e lo stesso succederà agli attacchi informatici che li prenderanno di mira.
Durante il SAS, il Security and Analyst Summit di Kaspersky Lab tenutosi a Cancun, è apparso chiaro che c’è grande attenzione al tema da parte di chi si occupa di sicurezza informatica, ma anche una scarsa sensibilità dei produttori di robot, PLC e dispositivi IoT.
Una ricerca ha svelato come Cesar Cerrudo e Lucas Apa, due ricercatori della società IOActive, abbiano scoperto oltre 40 vulnerabilità in una serie di robot. Si trattava di dispositivi destinati all’utilizzo in casa, in ambienti lavorativi e in catena di montaggio prodotti da SoftBank Robotics, UBTECH Robotics, ROBOTIS, Universal Robots e Rethink Robotics a cui va aggiunta Asratec Corp, madre del software di controllo usato da altri produttori. «In realtà – puntualizza Cerrudo – “questa lista non si può ritenere completa né nella parte dei produttori coinvolti né per il numero di vulnerabilità presenti perché lo studio è stato di breve durata e non ha coinvolto tutti gli attori sul mercato. La situazione reale è sicuramente peggiore di quanto non abbiamo già constatato».
Già così, Cerruto ha mostrato in diretta dal palco come in pochi secondi sia possibile caricare nel robot un “ransomware” che ne modifica completamente il comportamento e gli fa chiedere del denaro per continuare a funzionare. «Si possono bloccare delle catene produttive – dice Cerrudo – ma anche creare situazioni di pericolo fisico per chi è a contatto con i robot. Serve più sicurezza».
La situazione non migliora andando a mettere sotto torchio dispositivi più semplici. Anche Matteo Beccaro, dell’italiana Opposing Force, ha tenuto una presentazione al SAS e ha dimostrato come lo stesso tipo di problemi esista nei sistemi SCADA, i sistemi di controllo industriali. Con meno di una settimana di lavoro, è riuscito ad hackerare un PLC di Schneider Electric in modo da estrarne la password. Il problema è che il lavoro è stato relativamente semplice per una incredibile svista del produttore che permette a chiunque di avere accesso alla memoria interna del PLC. Dato che proprio lì che le credenziali di accesso vengono memorizzate, Beccaro ha dimostrato che si può estrarle con un minimo di studio e strumenti standard: «Questo è un esempio di come in molti dispositivi SCADA non esistano neanche le minime misure di protezione contro gli attacchi informatici».
Addirittura peggiori, nonostante la lezione che la botnet Mirai dovrebbe aver impartito, sono le condizioni della sicurezza nelle telecamere IP, diffusissime nelle aziende di tutto il mondo. Vladimir Dashchenko, di Kaspersky Lab, ha condotto una ricerca su alcune di queste restando sconcertato: “Abbiamo trovato dei prodotti in cui era tutto sbagliato: il modo in cui era costruita l’elettronica, il collegamento con il cloud, l’interfaccia di connessione… non c’era niente in cui non abbiamo trovato vulnerabilità e che non potessimo usare a nostro piacimento”. Le videocamere, ormai, sono veri e propri minicomputer che possono far girare programmi malevoli. «Videocamere fatte così male – conferma Dashchenko – possono rappresentare delle minacce serissime alla sicurezza delle aziende e non solo perché non proteggono le immagini riprese».
Ma in futuro cosa succederà? «In Kaspersky Lab, – ci dice Andrey Nikishin, direttore dei Future Technologies Projects di Kaspersky Lab – gli studi sulle nuove tecnologie riguardano praticamente solo IoT perché in futuro tutto sarà IoT, dagli aerei ai lampioni».
«Purtroppo – continua Nikishin – la situazione è disperata e servirà un intervento dei legislatori per convincere i produttori a rendere sicuri i loro prodotti. Molti nostri esperti stanno collaborando alla creazione di linee guida da sottoporre a chi se ne occuperà e nel frattempo abbiamo anche preparato un sistema operativo ‘sicuro’ per IoT chiamato Kaspersky OS, ma se la legge non obbligherà chi produce IoT a crearli sicuri, nessuno se ne preoccuperà mai seriamente».
Fonte: Il Sole 24 Ore