- Comunicazione & IT Security dal 1993
- +39 349 64 18 149
Dronejacking – La nuova frontiera del Cybercrimine che minaccia la sicurezza internazionale
Dronejacking – La nuova frontiera del Cybercrimine che minaccia la sicurezza internazionale
Gli esperti di sicurezza informatica affermano che gli attacchi dronejacking (attacchi malware contro i droni) possono essere una minaccia pericolosa in un prossimo futuro.
I droni si diffondono sempre di più. Quello che era cominciato come un giocattolo per bambini e un passatempo lievemente costoso per appassionati ha letteralmente preso il volo, ci si passi la battuta. I droni stanno diventando uno strumento di lavoro importante per corrieri, forze dell’ordine, fotografi, agricoltori, giornalisti e altre categorie.
Non si può negare che i droni siano diventati molto preziosi per molti tipi di imprese ed enti pubblici. Di recente abbiamo visto un esempio di drone provvisto di una suite completa di hacking che potrebbe atterrare sul terreno di un’abitazione, impresa o infrastruttura essenziale per tentare di infiltrarsi nella rete wireless locale.
Nel 2015 durante DefCon il “proof of concept” di un hack dimostrò quanto è facile prendere il controllo di un drone giocattolo. Anche se l’assumere il controllo del drone di un ragazzino possa sembrare divertente e non un grosso problema, se guardiamo all’aumento nell’uso dei droni possiamo scorgere i potenziali problemi.
- Consegne: sia Amazon che UPS hanno annunciato dei piani per consegnare i pacchi tramite droni. Questo crea un’opportunità realistica per un criminale che desideri far soldi rapidamente. I droni di consegna verranno molto probabilmente lanciati da un sito dedicato, rendendo facile individuare gli andamenti del traffico. Chi volesse eseguire il “dronejack” di una consegna potrebbe trovare un sito con traffico regolare di droni e attendere che il bersaglio faccia la sua comparsa. Una volta decollato, il drone di consegna potrebbe essere fatto atterrare, consentendo al criminale di rubare il pacchetto. A essere onesti, tali ladri potrebbero anche far cilecca, dato che non ci sarebbe un modo facile per conoscere il contenuto del pacchetto. Nondimeno potrebbe essere comunque un’attività lucrosa.
- Riprese aeree: con l’avvento dei droni la fotografia aerea è ora molto più facile. Una rapida ricerca di “fotografia con i droni” restituisce pagine di risultati che puntano a costose apparecchiature di alta qualità, per dilettanti e professionisti. Tali apparecchiature sarebbero un bersaglio molto appetibile per il dronejack di un criminale. La messa a terra di un drone permetterebbe di rivendere le apparecchiature, facendo in un certo senso cadere i soldi dal cielo.
- Zone di non volo personali: ci sono già stati alcuni casi di persone infastidite dai droni sopra le proprie abitazioni che hanno preso delle misure attive (sparandogli, lanciandogli pietre ecc.) per risolvere il problema. Sfruttando le vulnerabilità software dei droni si potrebbe creare una barriera elettronica intorno casa che spenga o devii i droni troppo vicini. Ciò sarebbe una manna per coloro che sono morbosamente gelosi del proprio giardino, ed è vero che i droni si trovano ancora in una zona grigia per quanto riguarda regolamenti e ordinanze locali. Tale zona grigia potrebbe condurre a un dibattito acceso e a potenziali cause nei confronti di chi creasse una zona di non volo personale.
- Forze dell’ordine: sempre più si stanno volgendo ai droni per scopi di sorveglianza e di controllo della folla. In situazioni molto tese, come una protesta o la presenza di un uomo armato, un drone della polizia sarebbe un bersaglio irresistibile per chi desiderasse restare nell’ombra. Si tratta di una scena vista moltissime volte nei film d’azione. I cattivi (o gli eroi) sviluppano delle misure molto elaborate per neutralizzare i sistemi di sicurezza del loro obiettivo. Ora, invece di videocamere di sorveglianza montate sul muro, abbiamo delle videocamere fissate ai droni. E dato che manifestanti e attivisti informatici si mischiano sempre di più, le probabilità che i primi dispongano della tecnologia per abbattere la sorveglianza aumentano notevolmente.
Dronejacking – Analisi di un attacco
Svariati ricercatori hanno riscontrato molti droni consumer per le consegne con porte aperte e metodi di autenticazione deboli, che consentirebbero a una persona con la giusta apparecchiatura di inviare dei comandi al drone della vittima. Finora si è trattato di un processo abbastanza manuale ma, come abbiamo visto in passato, presto o tardi compariranno dei nuovi exploit in un formato facilmente riproducibile. La maggioranza delle vulnerabilità scoperte nei droni commerciali può essere facilmente corretta con un aggiornamento del software. Ovviamente occorre che il fabbricante rilasci una patch. Mentre è probabile che i droni di alto livello vengano corretti rapidamente, quelli economici voleranno forse a lungo prima che sia disponibile una patch. Come abbiamo visto con altre tecnologie IoT, quando un dispositivo si connette a una rete, qualcuno inizia subito a cercare dei modi per assumerne il controllo.
Questo sforzo è facilitato dalla generale corsa alla commercializzazione di dispositivi IoT, compresi i droni, che sono protetti poco o niente. Ciò che rende i droni potenzialmente facili da piratare è che sono progettati per una configurazione rapida e semplice, spesso tramite una comunicazione non cifrata e molte porte aperte. Nel 2017 prevediamo che i toolkit di exploit dei droni si faranno strada negli angoli più oscuri di Internet.
Con la diffusione di tali toolkit sarà solo una questione di tempo prima che i droni piratati facciano notizia. Anche senza un toolkit di dronejacking a portata di mano, cominceremo a vedere un aumento negli incidenti correlati ai droni.
Nel 2017 leggeremo la notizia relativa a qualcuno che si sarà stufato del drone fatto volare sopra il giardino dai ragazzi dei vicini. Ma invece di usare un fucile a pallini, per abbattere il drone si sarà servito di un software su un computer portatile dotato di antenna direzionale. Data la natura virale di Internet, quest’azione comparirà presto sulle bacheche di Facebook in tutto il mondo con argomentazioni pro e contro, causando dibattiti accesi e imitazioni satiriche.
Durante il 2017 vedremo anche più droni usati dalle forze dell’ordine per monitorare le folle. Inizialmente i manifestanti reagiranno ai droni della polizia lanciandovi contro degli oggetti, ma in seguito abbatteranno rapidamente i droni di sorveglianza con l’hacking.
In che modo reagiranno a questi casi i legislatori per prevenire Dronejacking
L’Ente Federale Statunitense per l’Aviazione (FAA) sta già tentando di applicare delle regole che governino dove e quando possano volare i droni commerciali, tuttavia ci sono ancora molti usi che devono essere affrontati e di sicuro altri a cui non abbiamo neanche pensato. Anche se l’aviazione commerciale è cresciuta lentamente nel corso del tempo, l’uso dei droni commerciali è sulla rampa di lancio e lascerà a terra i regolamenti.
Rocco Balzamà
