Cassandra Crossing/ La sicurezza secondo Marchionne

di M. Calamari - La campagna di aggiornamento per le vetture FCA vulnerabili avviene a mezzo chiavetta USB, spedita per posta. Aprendo il campo ad una nuova vastissima superficie d'attacco

Roma – Anche stavolta l’AD di FCA viene citato non per sua personale responsabilità, ma perché il caso Jeep, già recentemente oggetto dell’attenzione di Cassandra , è il più recente e l’unico “attenzionato” dai media italiani.
Ed anche stavolta non è un problema solo di FCA (vedi i casi di General Motors e Tesla ), ma del complesso di un’industria, quella dell’ automotive , in cui la sicurezza degli utenti è gestita sì abbastanza correttamente (anche se non necessariamente bene) per gli aspetti meccanici ed elettronici, ma è invece ancora profondamente incompresa, trascurata e spesso ignorata nei processi produttivi sotto quelli informatici e telematici.

“Cosa è successo stavolta?”, sospireranno i 24 incerti lettori.
Beh, in fondo niente di particolare, visto che FCA ha fatto, per il richiamo delle auto coinvolte, esattamente quello che aveva annunciato: invece di eseguire il costosissimo richiamo di un milione di vetture, ha iniziato ad inviare una chiavetta USB in una lettera contenente le istruzioni per applicare il fix, spendendo ovviamente meno ed agevolando i suoi clenti, che non dovranno prendere appuntamenti e recarsi in officina.

Chiavetta USB

Lettera allegata

L’iniziativa sembra degna di lode: per semplicità ed economicità lo è certamente.
Ma parlando invece di sicurezza, la possiamo definire un buon caso di studio, un “buon cattivo esempio”. E spieghiamo perché.

In un caso analogo, General Motors ha reso la patch software disponibile sul proprio sito: scaricarla e copiarla su una chiavetta da almeno 4GB veniva lasciato all’utente.

FCA in questo caso ha invece inviato per posta normale, agli indirizzi registrati dei proprietari dei veicoli, una chiavetta del tipo punzonato già col software caricato. La busta, ahimè, è facilmente riconoscibile, e la chiavetta punzonata è stata fotografata ed ampiamente diffusa dai media.
Questo apre quello che si chiama una ” superficie di attacco ” integralmente nuova, perché di tipo non informatico ma “postale”: cosa impedisce di intercettare la lettera dalla cassetta di posta del vicino, cancellare la patch contenuta, sostituirvi un software malevolo e rimetterla a posto?
Cosa impedisce di sottrarne un centinaio dal camion di un corriere od un numero ancora maggiore dall’ufficio postale di spedizione e ripetere l’operazione?
Cosa impedisce di falsificare una intera campagna di richiamo?

Assolutamente nulla: la busta di FCA non è anonima, come sono invece quelle di una nuova carta di credito, quindi è ben individuabile e se necessario imitabile. Anche la chiavetta lo è.
Niente impedisce di utilizzare il sistema anche per futuri attacchi, non di massa ma mirati ad una particolare persona.

Per non aprire quindi un nuovo ” vettore di attacco “, è necessario chiudere la nuova “superficie di attacco” postale con una contromisura informatica che la neutralizzi completamente.
Ogni auto potrebbe, per esempio, essere dotata di una chiave crittografica privata diversa, e la patch potrebbe essere crittografata per tutte le chiavi esistenti in modo da essere non falsificabile e non alterabile.

Se qualcuno dei 24 lettori avesse il dubbio se si può crittografare un file per un milione di chiavi, sì, si può: basta pensare a come funziona ad esempio, la cifratura di pgp, che usa contemporaneamente sia chiavi simmetriche che asimmetriche proprio per poter cifrare per più destinatari in maniera efficiente.
Cassandra può avere una sua opinione in merito, ma non conoscendo nulla dello specifico evento e della soluzione distribuita si limita a dire che se la patch è stata distribuita in questo modo (o con uno equivalente) la nuova superficie di attacco “postale” è stata chiusa, e nessun nuovo “vettore di attacco” è stato creato.

In caso contrario, distribuendo la patch per posta, si è offerta una nuova opportunità di creare nuovi ed economici vettori di attacco, facilitando moltissimo la vita ai cracker che volessero sfruttare gli exploit di bug nel software delle autovetture di FCA.
Solo come esempi teorici, si potrebbe pensare di ottenere una copia “virtuale” delle chiavi dell’auto, o a modifiche da romanzo di spie che permettano di comandare un colpo di sterzo o l’acceleratore a tavoletta quando il GPS e la telecamera di bordo comunicano che una certa auto è su un alto viadotto o si avvicina ad un incrocio a “T”.

Confidiamo che in tempi stretti tutto il settore automotive inizi a gestire correttamente e competentemente questo tipo di problemi.
Sennò meglio la bicicletta, ma di quelle vecchie, senza aggeggi informatici.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
L’archivio di Cassandra/ Scuola formazione e pensiero

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • bubba scrive:
    hanno morsicato la mela
    papple ancora nella bufera! e che buferahttp://researchcenter.paloaltonetworks.com/2015/09/malware-xcodeghost-infects-39-ios-apps-including-wechat-affecting-hundreds-of-millions-of-users/
    • hhhh scrive:
      Re: hanno morsicato la mela
      - Scritto da: bubba
      papple ancora nella bufera! e che bufera
      http://researchcenter.paloaltonetworks.com/2015/09Ma come?Le pecore giuravano che stando nel recinto si stava al sicuro!Non avevano pensato a cosa succede quando IL LUPO ENTRA NEL RECINTO? (rotfl)(rotfl)(rotfl)oggi sono il re delle analogie. ;)
      • bubba scrive:
        Re: hanno morsicato la mela
        - Scritto da: hhhh
        - Scritto da: bubba

        papple ancora nella bufera! e che bufera


        http://researchcenter.paloaltonetworks.com/2015/09

        Ma come?
        Le pecore giuravano che stando nel recinto si
        stava al
        sicuro!

        Non avevano pensato a cosa succede quando IL LUPO
        ENTRA NEL RECINTO?
        (rotfl)(rotfl)(rotfl)pensare va contro i Termini di Servizio (TOS). (poi certo c'e' qualche eccezione) :)
  • DerAdler82 scrive:
    Disqus is gone
    Google da anni - lo diciamo in tanti - sta ripercorrendo, se possibile in modo ancora più arrogante e subdolo, gli stessi passi e errori che M$ commise all'apice del suo monopolio globale negli anni '90.Questa della Russia è una decisione ampiamente condivisibile, permessa dalla relativa autonomia che ancora gode, risultato forse anche delle sue scelte di politica interna ed internazionale non dettata dai soliti "padroni del mondo". Ma siamo tornati al vecchio sistema di commentering?Disqus è durato solo 9 mesi? LOL -----------------------------------------------------------Modificato dall' autore il 20 settembre 2015 19.15----------------------------------------------------------------------------------------------------------------------Modificato dall' autore il 20 settembre 2015 19.17-----------------------------------------------------------
  • Enjoy with Us scrive:
    Google ha ragione da vendere!
    Possono le autorità leggere la corrispondenza tradizionale senza un mandato del giudice? No! E allora come possono solo anche ipotizzare di farlo con le mail... che è privacy di serie B?
  • Ipo scrive:
    Ma si...
    Google, paladina dei diritti degli utonti: solo loro possono accedere ai dati!Cosa vogliono le autorità?AcXXXXX gratuito?Tze!
  • rgb scrive:
    bibbia
    tu lo dici, quindi: è bibbia
  • rgb scrive:
    bibbia
    tu lo dici, quindi: è bibbia
  • rico scrive:
    SEC
    Alla Securities and Exchange Commission manderò la mia intera casella di SPAM, che non ho mai cancellato:Vediamo se si divertono tanto a leggere le mail degli altri senza mandato :-D
  • xx tt scrive:
    Quarto Emendamento
    E' perfino strano che non siano riusciti a togliere questi residui di civiltà con una riforma costituzionale ad hoc
  • fuffaro scrive:
    Non c'è da stupirsi
    In USA sei colpevole fino a prova contraria.Tutti sono criminali finchè non si prova di non esserlo.
    • anverone99 scrive:
      Re: Non c'è da stupirsi
      - Scritto da: fuffaro
      In USA sei colpevole fino a prova contraria.
      Tutti sono criminali finchè non si prova di non
      esserlo.Veramente nei paesi anglosassoni e' vero il contrario.
      • hhhh scrive:
        Re: Non c'è da stupirsi
        - Scritto da: anverone99
        Veramente nei paesi anglosassoni e' vero il
        contrario.Intercettare tutti = presunzione di colpevolezza.E anche gli agenti che sparano e uccidono quotidianamente persone indifese nemmeno fossero in guerra (e anche in guerra non si fa, ci sono regole precise) dimostrano che è esattamente così.
        • Get Real scrive:
          Re: Non c'è da stupirsi
          Anche in Italia è così, e da un pezzo: tutte le nostre transazioni, tutti i nostri conti in banca sono monitorati. Siamo tutti evasori, tutti criminali. E non ci sono prove contrarie, restiamo sotto sorveglianza, a vita.Consolati: questa è la tendenza in tutto il mondo. La "privacy" è stata solo il risultato di una carenza tecnologica. Una volta non era possibile intercettare tutta la popolazione e per di più elaborare i dati in tempo utile.Ora si, quindi la privacy è morta.Siamo, e saremo sempre dei criminali per i nostri padroni. E di conseguenza ci tratteranno.
          • hhhh scrive:
            Re: Non c'è da stupirsi
            - Scritto da: Get Real
            Siamo, e saremo sempre dei criminali per i nostri
            padroni. E di conseguenza ci
            tratteranno.solo se saremo degli sfigati rassegnati.p.s.se ti fischiano le orecchie non è un caso.
          • Get Real scrive:
            Re: Non c'è da stupirsi
            - Scritto da: hhhh
            solo se saremo degli sfigati rassegnati.

            Va bene: spiegami come fare a impedirlo - specie visto che è già sucXXXXX - e con quali mirabolanti armi e poteri da supereroe ti opporrai con sucXXXXX ai governi di tutto il mondo. ;)A me fischiano le orecchie, ma tu devi farti vedere da uno bravo.
          • hhhh scrive:
            Re: Non c'è da stupirsi
            - Scritto da: Get Real
            Va bene: spiegami come fare a impedirloCome si è sempre fatto.Basta imparare dalla storia, e non atteggiarsi a verme rassegnato.Ah... scusa per i decibel che avrai nelle orecchie ora :D
          • Get Real scrive:
            Re: Non c'è da stupirsi
            - Scritto da: hhhh
            Come si è sempre fatto.Cioè?
            Basta imparare dalla storia, e non atteggiarsi a
            verme
            rassegnato.
            Ancora una volta: cioè?Cosa esattamente pensi di poter fare?Avanti, spiega. Stupiscimi con il tuo geniale piano, e con gli STRATOSFERICI mezzi con cui ti opporrai con SUCXXXXX ai governi di tutto il pianeta.Sto aspettando...
          • hhhh scrive:
            Re: Non c'è da stupirsi
            - Scritto da: Get Real
            Cioè?non ci arrivi, eh?vorresti delle spiegazioni?Non te le meriti.
            Sto aspettando...aspetta pure che ti imXXXXXXXX. (rotfl)(rotfl)(rotfl)
          • Get Real scrive:
            Re: Non c'è da stupirsi
            Vedo che non rispondi. È ovvio, non puoi farlo, non hai nulla da dire. Messo alle strette non sai come replicare.Ti capisco, sai, non ce l'ho con te. Come potrei? Sei solo uno dei tanti, come me, come tutti, che nulla può o potrà fare.Vuoi ribellarti, ma sai che non è possibile. L'amor proprio, e una certa dose di vanità mista a ingenuità, non ti permette di accettare la triste realtà. Ma non preoccuparti, la accetterai. Prenditela pure con me, se vuoi, non ci saranno conseguenze come se dovessi davvero tentare di opporti a chi conta davvero. Sfogati pure. Sfoga la tua rabbia impotente.
          • hhhh scrive:
            Re: Non c'è da stupirsi
            - Scritto da: Get Real
            Vedo che non rispondi.Tu non sei quello che parla sempre al futuro, con tono rassegnato e disperato?Sei mica quello che diceva che nessuno è così pazzo da sacrificare la vita per questioni morali, ma che quando ti si fa il controesempio di Snowden e Assange, sparisci nel nulla perché non sei in grado di rispondere?Io dovrei argomentare con uno così? (rotfl)(rotfl)(rotfl)(rotfl)ciao ciao (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)
          • hhhh scrive:
            Re: Non c'è da stupirsi
            - Scritto da: Get Real
            Cioè?hai già letto la risposta prima che di farla censurare.La risposta continua a valere anche se gli altri non la possono leggere: il destinatario eri tu ;)
          • hhhh scrive:
            Re: Non c'è da stupirsi
            - Scritto da: Get Real
            - Scritto da: hhhh


            Come si è sempre fatto.

            Cioè?troppo lungo da spiegare, peraltro ti ho già risposto e lo sai ;)
          • Get Real scrive:
            Re: Non c'è da stupirsi
            - Scritto da: hhhh
            - Scritto da: Get Real

            - Scritto da: hhhh




            Come si è sempre fatto.



            Cioè?

            troppo lungo da spiegare, peraltro ti ho già
            risposto e lo sai
            ;)Vedo che sei rimasto senza argomenti e non sai rispondere. Non importa, ognuno ha i suoi limiti anche se, come te, si rifiuta di riconoscerlo.Fa niente, un giorno crescerai...
          • m5s scrive:
            Re: Non c'è da stupirsi
            - Scritto da: Get Real
            - Scritto da: hhhh

            - Scritto da: Get Real


            - Scritto da: hhhh






            Come si è sempre fatto.





            Cioè?



            troppo lungo da spiegare, peraltro ti ho già

            risposto e lo sai

            ;)

            Vedo che sei rimasto senza argomenti e non sai
            rispondere. Non importa, ognuno ha i suoi limiti
            anche se, come te, si rifiuta di
            riconoscerlo.

            Fa niente, un giorno crescerai...Ti è stato dimostrato più volte in più modi iutilmente, ci consola che un giorno morirai di depressine e ti leverai dalle OO.
Chiudi i commenti