L'hacker in tasca

Il video dell’orrore più spaventoso dell’anno l’ha pubblicato lo scorso mese il sito di tecnologia Wired America. Mostra due hacker esperti di sicurezza che prendono controllo a distanza di una Jeep guidata da un giornalista, ed è come un film del terrore in cui un’auto viene posseduta da spiriti malvagi. Gli hacker sono seduti sul divano di casa con dei computer portatili, il giornalista guida la jeep bianca sull’autostrada. Prima mandano degli avvertimenti, e attivano l’aria condizionata. Poi inviano sullo schermo del navigatore dell’auto una loro foto, e già così è abbastanza inquietante. Alzano la radio al massimo, e il giornalista non riesce ad abbassarla. Attivano i tergicristalli, e infine fermano il motore. Il giornalista resta fermo a lato dell’autostrada, impotente. In seguito, in una situazione meno pericolosa, i due hacker mostrano che sono in grado anche di muovere il volante a distanza, mettere e togliere la sicura dagli sportelli, e infine di disabilitare i freni, e qui il film dell’orrore diventa un thriller, in cui l’auto della spia viene sabotata e i freni staccati – di solito la spia finisce in un burrone, nel caso di Wired la Jeep è entrata in un piccolo fossato.

Dopo la dimostrazione di Wired, a fine luglio Fiat Chrysler ha richiamato 1 milione e 400 mila Jeep Cherokee per risolvere il problema di sicurezza. I due hacker, che hanno lavorato anni per riuscire a prendere possesso a distanza della macchina usando il suo sistema di entertainment connesso a internet, dicono di aver testato solo un modello, ma che potenzialmente centinaia di migliaia di altre automobili potrebbero essere vulnerabili. La conferma è arrivata giovedì sul Wall Street Journal, che ha raccontato come un gruppo di esperti di sicurezza sia riuscito a violare quella che probabilmente è l’auto più avanzata del mondo, la Model S di Tesla, completamente elettrica e connessa. I ricercatori hanno trovato sei diversi modi per hackerare la Tesla, e uno di questi consente di bloccare i freni della macchina. Al contrario della Jeep, è necessario che gli hacker abbiano accesso fisico all’automobile, ma la capacità di manovrare l’auto a distanza potrebbe arrivare presto.

Pochi giorni dopo l’hackeraggio della Jeep (che non è il primo, ma il più completo e il più documentato) è toccato a un fucile. Uno da precisione, da cecchino, un’arma con un sistema di mira automatico che costa 13 mila dollari. Gli hacker, anche in questo caso in una dimostrazione di sicurezza, hanno violato il mirino intelligente e collegato a internet del fucile, e hanno preso controllo dell’arma fino a decidere su quale obiettivo puntare (l’unica cosa che non potevano fare era premere il grilletto). Il cecchino mirava a un bersaglio e il fucile hackerato sparava su un altro.

Poco tempo fa è stata la volta di un macchinario medico, un infusore di medicine, per esempio di insulina per i pazienti diabetici, collegato a internet e usato da migliaia di ospedali in America. L’infusore è studiato per evitare gli errori medici: prima di somministrare il farmaco la macchina controlla nel database dell’ospedale che la dose decisa dal personale medico sia quella giusta per il paziente. Ma degli hacker hanno dimostrato di poter violare la macchina per cambiare le dosi consigliate. Possono aumentare l’insulina o eliminarne completamente il flusso, fino a uccidere il paziente.
E’ l’internet delle cose, bellezza, internet of things. Prendi un oggetto qualsiasi e ci metti dentro un chip e una connessione a internet. Lo rendi più utile, controllabile, intelligente. Crei automobili che si guidano da sole, armi che mirano da sole, dispositivi medici che sanno cosa è meglio per il paziente. Ma anche spazzolini da denti smart che migliorano l’igiene orale, forchette smart che ti aiutano con la dieta, case smart che d’inverno accendono il riscaldamento prima che torni a casa dal lavoro. E’ una delle più promettenti industrie del mondo, e una delle innovazioni che cambierà le nostre vite. E’ stato un processo lento, che dai supercalcolatori che occupavano una stanza ha portato i computer prima nelle nostre tasche, con smartphone e tablet, poi ai nostri polsi, con gli smartwatch, infine praticamente ovunque. Non c’è oggetto che non può essere reso smart, ma non c’è oggetto smart che non possa essere hackerato. E’ una minaccia da cui gli esperti ci mettono in guardia da anni: se è connesso a internet, è violabile, e gli esperti di sicurezza ci stanno dimostrando che la nostra promessa di vita fatta di dispositivi connessi e intelligenti rischia di trasformarsi in un incubo.

Questa settimana si è tenuta a Las Vegas la conferenza annuale Black Hat, uno dei più importanti eventi al mondo sulla sicurezza informatica. I partecipanti a Black Hat vengono dalla comunità hacker, e amano provocare. Quest’anno uno dei temi della conferenza era l’internet delle cose, e gli organizzatori dei workshop di Las Vegas hanno deciso che lanciare allarmi accorati era inutile: nessuno capirà il pericolo fino a che non glielo mettiamo davanti, fino a che non gli mostriamo che è possibile. Alla Black Hat di quest’anno degli esperti di informatica hanno spiegato a centinaia di persone come hackerare delle automobili alla stregua della Jeep di Wired e come violare altri oggetti di tutti giorni resi smart da una connessione internet. L’intento era provocatorio, ma l’iniziativa ha generato polemiche: non è diffondendo insicurezza che si fa sicurezza online. In un workshop parallelo gli esperti hanno mostrato come hackerare una centrale elettrica fino a portarla al collasso.

Non è necessario immaginare il caso peggiore, quello del terrorismo: criminali digitali capaci di entrare nei device e ordire dal divano di casa e senza sporcarsi le mani omicidi perfetti, in cui le automobili (o gli autobus, o le metropolitane) escono di strada “per sbaglio” o in cui la dose di farmaco somministrata si è “per sbaglio” rivelata mortale. Non è nemmeno necessario immaginare la capacità di ricatto che un dispositivo hackerato può comportare: pagami o ti distruggo la casa facendo esplodere il microonde intelligente. Non c’è bisogno di immaginare un mondo distopico per comprendere la minaccia: gli hacker hanno molta più fantasia di così. Racconta l’Economist in un articolo pubblicato lo scorso mese, per esempio, che nel 2014 i ricercatori dell’istituto di ricerca Sans Institute hanno scoperto un botnet, un programma informatico, inserito di nascosto nei videoregistratori digitali, i successori dei registratori a cassette. Il netbot non provocava danni al possessore del registratore, ma usava la potenza di calcolo dell’apparecchio per fare “mining” dei bitcoin – una procedura legale per ottenere denaro digitale. Senza che nessuno se ne accorgesse, in pratica, gli hacker facevano soldi facili alle spalle degli utenti ignari. Ci sono esempi più preoccupanti. I sensori che gestiscono le abitazioni smart sanno quando nessuno è in casa, e un topo d’appartamento particolarmente sveglio potrebbe servirsene per sapere quando entrare indisturbato. I processori degli elettrodomestici intelligenti possono essere usati per fare bitcoin, ma anche per diffondere materiale illegale, protetto da copyright o perfino pedopornografico. L’Economist ha un altro esempio interessante: anche l’ultima bambola Barbie venduta da Mattel è smart. E’ collegata a internet, e risponde a tono alle domande esattamente come fa Siri, l’assistente digitale degli iPhone: invia la domanda a un cervellone centrale, che elabora la risposta. Se un hacker violasse il sistema e Barbie iniziasse a insultare i bambini, per Mattel non sarebbe una buona pubblicità. Ci sono anche piccoli ricatti di minor portata. I due ricercatori che hanno preso possesso della Jeep potrebbero decidere di bloccare gli sportelli dei fuoristrada e far pervenire al malcapitato una richiesta di denaro, da versare su un conto in Russia, se vuole riavere la sua macchina.

Ci sono molte ragioni per entrare nel panico. L’esercito cinese, per esempio, ha vietato ai suoi soldati di indossare smartwatch come l’Apple Watch perché teme che possano essere usati per ottenere informazioni preziose. C’è anche chi, come l’esperto di tecnologia Evgenij Morozov, è convinto che l’internet delle cose potrebbe diventare uno strumento dell’autoritarismo, e aiutare governi malevoli a prendere il controllo delle abitudini e delle debolezze delle persone. I più pessimisti immaginano scenari apocalittici in cui le nostre vite saranno a disposizione degli hacker. Il ragionamento è semplice: più l’internet delle cose diventa parte del nostro stile di vita, più penetra in maniera capillare nelle nostre case e nei nostri corpi, e più saremo vulnerabili, controllabili e mercé dei criminali.

Ci sono però ragioni migliori per non buttare in massa tutti i dispositivi connessi che abbiamo in casa. Il fatto, anzitutto, è che l’internet delle cose è ancora giovane, e molti produttori devono abituarsi a pensare alla sicurezza digitale. I costruttori di automobili fino a oggi sono stati ingegneri meccanici che si dovevano occupare di frizioni e carrozzeria, ma le case produttrici già si stanno attrezzando per iniziare a proteggere quei computer a quattro ruote che sono le automobili degli ultimi anni. Agli albori dell’èra digitale, quando i primi personal computer iniziarono a diffondersi nelle case, non c’era più sicurezza di quanto ce ne sia oggi con gli smartwatch. Gli antivirus, le password, i sistemi complessi di sicurezza arrivarono dopo, e arriveranno per l’internet delle cose. Spesso gli esperti di Black Hat nei loro workshop se la prendono con il “bad coding”, con il codice scritto male, con i programmi scritti ad hoc da ingegneri poco esperti, pieni di falle, vulnerabilità, e così disparati che è impossibile trovare delle soluzioni unificate ai problemi di sicurezza: anche per questo servirà tempo, e serviranno nuove conoscenze e nuove esperienze.

[**Video_box_2**]Per ora alcuni si affidano ai cacciatori di taglie. Uno dei modi più efficaci in mano alle compagnie per difendersi dagli hacker è affidarsi agli hacker stessi. Mettere una taglia sui propri errori, e chiedere agli esperti di pirateria e sicurezza di scovarli dietro ricompensa, per ora è una pratica usata soprattutto dalle grandi aziende informatiche, ma in espansione anche tra i nuovi arrivati dell’internet delle cose. Solitamente gli attacchi hacker iniziano così: i pirati trovano un bug, cioè una vulnerabilità del sistema, e lo sfruttano a proprio vantaggio. Per quanti sforzi possa fare una compagnia, è impossibile eliminare tutti i bug, e per questo le aziende offrono ricompense in denaro agli hacker che, anziché usare il bug per scopi malevoli, decida di comunicare la sua esistenza ai reparti di sicurezza delle aziende. Le taglie per i bug variano a seconda dell’errore scovato, si va dalle poche decine di dollari alle centinaia di migliaia, e alcuni cacciatori di bug sono diventati famosi, come il ricercatore Laxman Muthiyah, che lo scorso febbraio scoprì all’improvviso di avere la capacità di cancellare con un solo clic tutte le foto caricate su Facebook – miliardi di immagini persi per sempre – a causa di un errore di programmazione relativamente semplice. Muthiyah segnalò la cosa a Facebook, che lo ricompensò con 12.500 dollari.

Per chi deve assicurare la nostra sicurezza, dalla polizia ai tecnici informatici dentro alle aziende, spesso l’internet delle cose è un mondo tutto nuovo. La sicurezza digitale è da sempre un gioco all’inseguimento in cui i “buoni” sono sempre indietro. A ogni nuovo bug, a ogni nuova minaccia, gli esperti accorrono con una toppa, una soluzione, un dito infilato nella diga. La nuova generazione di oggetti smart potrebbe moltiplicare questi fenomeni, e per gli esperti di sicurezza potrebbe diventare impossibile contenere tutti i pericoli. Ma i vantaggi superano di gran lunga le minacce, e sia le compagnie sia gli stati hanno i mezzi per evitare gli scenari peggiori. Temere le potenzialità di una tecnologia è il modo migliore per perderne il controllo, chi ha paura della macchina intelligente sarà il primo bersaglio degli hacker.

• 

• Eugenio Cau

• E’ nato a Bologna, si è laureato in Storia, fa parte della redazione del Foglio a Milano. Ha vissuto un periodo in Messico, dove ha deciso di fare il giornalista. E’ un ottimista tecnologico. Per il Foglio cura Silicio, una newsletter settimanale a tema tech, e il Foglio Innovazione, un inserto mensile in cui si parla di tecnologia e progresso. Ha una passione per la Cina e vorrebbe imparare il mandarino.