Hackerare una gru da cantiere è DAVVERO troppo facile

I ricercatori di Trend Micro sono riusciti a prendere il controllo delle gru radiocomandate di un cantiere, dimostrando che i macchinari industriali sono persino più insicuri dei dispositivi IoT.

|
23 gennaio 2019, 9:35am

Gru in un cantiere. Immagine: Unsplash/Nikola Johnny Mirkovic

Il settore dell’industria ha abbracciato da decenni i benefici del wireless per poter controllare a distanza e senza fili macchinari pesanti e altri dispositivi. Insieme ai benefici, però, hanno introdotto anche innumerevoli vulnerabilità di cui percepiamo la gravità soltanto ora.

Con molta probabilità, infatti, proprio in questo istante, in un cantiere vicino casa vostra, un malintenzionato potrebbe prendere illegalmente il controllo di una gru a distanza e impartire comandi a proprio piacimento — senza lasciare alcuna traccia.

Tutto quello che avviene fra trasmettitore e ricevitore dipende dalla qualità dei protocolli di comunicazione implementati

Questo è quanto emerge da un recente studio di un team di ricercatori dell’azienda Trend Micro in cui sono stati analizzati i dispositivi per il controllo remoto dei macchinari industriali prodotti da 17 diversi venditori — Forbes ne ha parlato in esclusiva lo scorso 15 gennaio.

Un sistema di comando a radiofrequenza è costituito da due parti: un modulo trasmettitore e uno ricevitore. Il primo trasmette i comandi in una determinata frequenza radio al secondo, che li deve poi interpretare nel modo corretto.

Tutto quello che avviene in mezzo, fra trasmettitore e ricevitore, dipende però dalla qualità dei protocolli di comunicazione implementati. E nel caso dei dispositivi analizzati nello studio, questi non sono stati sviluppati tenendo a mente la cybersecurity.

I CINQUE ATTACCHI AI RADIOCOMANDI

I ricercatori di Trend Micro, infatti, sono riusciti ad eseguire cinque diversi tipi di attacchi sia in laboratorio che direttamente in situazioni reali.

È stato possibile catturare, copiare e inviare di nuovo un comando già prodotto dal trasmettitore (replay attack); inviare il segnale di stop d’emergenza bloccando di fatto il macchinario (e-stop abuse); modificare i comandi inviati dopo aver analizzato il protocollo RF (command injection); clonare direttamente il trasmettitore e sostituirsi al comando (malicious repairing); e perfino modificare il firmware dei controllori, in modo da avere il controllo persistente e da remoto su di essi.

Per eseguire questi attacchi basta trovarsi a un raggio di 300 metri dall’obiettivo o — nel caso si disponga di antenne più performanti e amplificatori — si può arrivare anche a qualche chilometro di distanza.

“In realtà, se si guardano le specifiche di questi protocolli — anche se non si possono chiamare propriamente protocolli poiché c’è poco di standardizzato —, i cantieri sono soltanto uno dei settori interessati,” hanno spiegato a Motherboard due ricercatori italiani che fanno parte del team che ha prodotto lo studio, Marco Balduzzi e Federico Maggi.

“Se ci si focalizza sui radiocomandi, le applicazioni sono ovunque: nelle miniere, nella movimentazione di carichi, nei porti, nella logistica in aree molto estese,” spiegano i due ricercatori, “e se poi togli di mezzo il fattore radiocomando — ovvero che ci sia una persona a premere il tasto — allora il discorso del collegamento radio tra due macchine industriali è ancora più esteso: basti pensare che esistono aziende che offrono come servizio la costruzione di link radio per far comunicare una rete di valvole di un impianto idraulico per riportare i livelli di pressione a chilometri di distanza.”

Le vulnerabilità che permettono di eseguire questi attacchi sono disarmanti — e hanno colto di sorpresa persino alcuni dei ricercatori.

Analizzando i protocolli di due venditori è emerso infatti che non vengono utilizzati sistemi per differenziare i pacchetti di dati trasmessi (cosiddetti rolling code); in questo modo, catturando un singolo comando, è possibile copiarlo e inviarlo nuovamente senza che il ricevitore noti la differenza. Allo stesso tempo, non sono previsti sistemi di crittografia sufficientemente sicuri da impedire una facile analisi dei dati trasmessi rendendo così più facile modificare e creare nuovi comandi.

Sono riusciti facilmente ad avviare e far spostare la gru dopo che era stata messa in stato di stop con il trasmettitore spento.

I rolling code, ad esempio, si trovano persino su prodotti come telecomandi per i garage e chiavi per le auto, semplici oggetti di consumo che sembrano offrire maggiore sicurezza rispetto ai prodotti industriali.

A partire dal maggio dello scorso anno, Trend Micro ha notificato le vulnerabilità ai diversi produttori coinvolti, fra cui Telecrane, Hetronic, Juuko, e Saga.

LE VOSTRE GRU SONO NOSTRE

Dopo i primi test in laboratorio, i ricercatori hanno deciso di provare subito gli attacchi in un vero cantiere, ma lì sono emerse alcune difficoltà.

“All’inizio è stata dura trovare qualcuno disposto ad accettare,” hanno spiegato i due ricercatori, “sia perché probabilmente non parlavamo la stessa lingua — non capivano cosa volessimo fare — sia perché avevano paura che si rompesse qualcosa, che cadesse il carico, etc.”

Alla fine, però, i ricercatori sono riusciti a trovare un responsabile di cantiere disposto a far testare direttamente le vulnerabilità sulla gru. E, nello sgomento di quest’ultimo, i due ricercatori sono riusciti facilmente ad avviare e far spostare la gru dopo che era stata messa in stato di stop con il trasmettitore spento.

Questo esperimento evidenzia la difficoltà più profonda che si incontra quando si parla di sicurezza informatica: riuscire a sensibilizzare le persone comuni sui rischi prodotti dai nostri dispositivi connessi. Il responsabile del cantiere hackerato ha visto un risvolto positivo — la possibilità di pilotare la gru direttamente con un computer —, “ma non si è reso conto del fattore rischio, che invece interessava a noi,” hanno sottolineato i due ricercatori.

E questa stessa mancanza di percezione del rischio è in parte alla base delle vulnerabilità presenti su questi radiocomandi. I protocolli sono proprietari, sviluppati da ciascuna azienda, senza seguire alcuno standard che garantisca un corretto livello di sicurezza. E una volta che i ricercatori hanno segnalato le vulnerabilità nel rispetto delle procedure di responsible disclosure, le aziende hanno avuto le reazioni più disparate, secondo quanto raccontato dai due ricercatori.

Sfruttando gli attacchi studiati dai ricercatori, sarebbe possibile tenere sotto assedio un intero cantiere o fabbrica.

Ci sono state aziende che li hanno ignorati fino all’ultimo, altre che hanno effettivamente risolto il problema e c’è stato persino chi ha candidamente affermato di non capirne nulla, chiedendo aiuto al team di Trend Micro.

Ma ci sono state anche aziende che hanno dichiarato che il problema non le riguarda, poiché quei dispositivi sono a fine vita e non saranno più in vendita.

E il ciclo di vita di questi dispositivi è un’altra questione centrale quanto a sicurezza: “Lì si vede il problema di quale sia una durata ragionevole per la vita di questi dispositivi — abbiamo trovato dei radiocomandi che erano installati da 20 anni, era difficile leggerne i tasti,” hanno spiegato i due ricercatori.

“Se da un lato è facile ed economico rilasciare un aggiornamento di sicurezza, dall’altro è molto più difficile far sì che il firmware arrivi dove deve, ossia sui microcontrollori di questi dispositivi,” hanno specificato i due ricercatori. I meccanismi di aggiornamento infatti non sono a volte facilmente accessibili — non esistono aggiornamenti over-the-air — e in alcuni casi è persino necessario cambiare del tutto l’hardware. Ma se i radiocomandi vengono usati per 15 o 20 anni nessuno starà lì a sostituirli.

“Il trend vede questi dispositivi collegati sempre più spesso ad altri dispositivi — la cosiddetta industria 4.0 — sia attraverso rete fisica cablata che wireless, e questo produce seri problemi,” hanno aggiunto i ricercatori.

Nel loro studio vengono delineati alcuni scenari di possibili attacchi. Si va dal classico sabotaggio in cui alcuni macchinari causano degli incidenti — che possono coinvolgere sia i materiali che le persone — a furti, nei casi in cui siano presenti sistemi altamente automatizzati, come nel settore della logistica.

Ma potremmo essere di fronte anche a scenari più preoccupanti come vere e proprie estorsioni: sfruttando gli attacchi studiati dai ricercatori, sarebbe possibile tenere sotto assedio un intero cantiere o fabbrica. Pensate alla possibilità di inviare un segnale di stop di emergenza persistente: avremmo un DoS nel mondo fisico.

Sulla possibilità che possano già essersi verificati attacchi reali di questo tipo, però, i due ricercatori sono più titubanti: “il rischio c’è, ma dire se siano avvenuti è difficile, soprattutto perché questi radiocomandi non sono considerati computer quindi nessuno tiene i log dei comandi trasmessi per poi fare un’analisi in caso di incidenti: se anche ci fosse stata una cosa del genere, non sarebbe rintracciabile.”