Il Centro nazionale per la cibersicurezza (NCSC) della Confederazione Svizzera ha annunciato oggi che l’amministrazione federale ha acquisito una piattaforma centrale per gestire dei bug bounty “allo scopo di potenziare la sicurezza dell’infrastruttura IT e ridurre i ciber-rischi in modo efficace ed economicamente vantaggioso”. L’annuncio è stato dato anche dal Dipartimento federale delle finanze.

Secondo lo schema classico dei bug bounty, gli hacker verranno invitati a testare la sicurezza dei sistemi informatici dell’amministrazione rispettando un regolamento e dei vincoli di riservatezza. Il progetto verrà gestito in collaborazione con la società lucernese Bug Bounty Switzerland SA. I dettagli delle condizioni di partecipazione non sono ancora stati resi pubblici.

Non è la prima esperienza federale del genere: per esempio, nel 2021 è stato realizzato un progetto pilota che ha scoperto dieci vulnerabilità (una delle quali era considerata critica) nei sistemi informatici del Dipartimento federale degli affari esteri e del Parlamento. Un analogo test pubblico di sicurezza è stato effettuato a giugno 2021 per verificare la sicurezza dell’app Covid Certificate di gestione dei certificati Covid. Nel 2019 un bug bounty organizzato dalla Posta svizzera per testare il sistema di voto elettronico, offrendo premi fino a 50.000 CHF, ha rivelato errori che hanno poi portato alla sospensione del progetto di e-voting.

I bug bounty possono sembrare strani ai non addetti ai lavori: vengono spesso considerati l’equivalente di pagare uno scassinatore per far valutare la sicurezza di una cassaforte. In realtà il paragone andrebbe fatto coinvolgendo un fabbro più che uno scassinatore. In ogni caso, si è visto che il sistema funziona e costa relativamente poco, tant’è vero che praticamente tutte le società informatiche più grandi del mondo offrono bug bounty, spesso molto sostanziosi.

Fonti aggiuntive: La Regione, RSI, Swissinfo, Netzwoche, Bugbounty.

Ci sono alcune frasi che riescono a riassumere un concetto complesso perfettamente, concisamente e in maniera memorabile. A volte hanno anche un altro effetto: permettono di valutare le competenze delle persone in base al modo in cui reagiscono quando le sentono per la prima volta, perché la loro brevità e il loro argomento un po’ tecnico le rende criptiche. Bisogna insomma intendersene un po’per capirle.

Ma se le si capisce, creano un guizzo di piacere intellettuale tutto speciale: quello che spesso su Internet si rappresenta graficamente con il celebre meme mind blown (quello dove qualcuno mette le mani ai lati della propria testa e mima lo scoppio della propria mente causato dalla potenza dell’idea che ha appena ricevuto).

 

Una di queste frasi è “Ogni criptovaluta ha un proprio bug bounty incorporato”. Se avete accanto a voi qualcuno che dice di conoscere bene il mondo delle criptovalute, dai bitcoin agli Ether passando per i Dogecoin e gliela sottoponete, guardate attentamente la sua reazione. Se ci pensa su un attimo e poi si lascia andare a un “a-HA!” di profonda e improvvisa comprensione, seguita da un’espressione preoccupata o rassegnata, allora quella persona sa il fatto suo sull’argomento. Se reagisce diversamente, forse è il caso di essere un po’ cauti nel fidarsi delle sue competenze. Purtroppo quello delle criptovalute è un campo nel quale ci sono molti improvvisati che sono vittima del proprio entusiasmo e della speranza di arricchirsi magicamente e in fretta.

La frase, se ve lo state chiedendo, non è opera mia: l’ha coniata, a quanto mi risulta, l’informatico finlandese Mikko Hyyponen.

Every cryptocurrency has a built-in bug bounty. https://t.co/wrja6eLZlD

— @mikko (@mikko) April 18, 2021

Se l’avete capita al volo, e quindi avete provato quel piacere di scoprire un concetto potente espresso con eleganza, complimenti: ma se invece brancolate nel buio, niente paura. Chiarisco subito.

Il termine chiave da conoscere, qui, è bug bounty: è il nome che si dà alla ricompensa, di solito monetaria, che spetta a chi scopre un difetto in un software e lo comunica responsabilmente a chi ha sviluppato quel software. Moltissime aziende informatiche, come Microsoft, Apple o Google, offrono questi bug bounty e ci sono molti informatici che si mantengono grazie a queste ricompense, che possono essere decisamente ragguardevoli. Apple, per esempio, offre centomila dollari a chiunque scopra un modo per ottenere un accesso non autorizzato ai dati di un account iCloud sui server di Apple oppure trovi la maniera di scavalcare la schermata di blocco di un dispositivo della stessa marca. E le ricompense possono arrivare anche a un milione di dollari in alcuni casi molto particolari.

Questi bug bounty esistono e funzionano perché costituiscono un incentivo molto chiaro a ispezionare il software altrui, trovarne gli errori e segnalarli allo sviluppatore del software affinché li corregga, invece di approfittare di questi difetti per commettere qualche crimine informatico. Fanno insomma in modo che convenga essere onesti e responsabili invece di tenere per sé le vulnerabilità scoperte.

Bene. Sappiamo cos’è un bug bounty, sappiamo cos’è una criptovaluta; ma il senso complessivo di quella frase può essere ancora un po’ nebuloso e il momento “a-HA!” non è ancora arrivato. Manca ancora un passo e ci siamo.

Una criptovaluta, semplificando, è una valuta digitale basata sulla crittografia e su un registro digitale condiviso e pubblico delle transazioni (una blockchain): in parole povere, è denaro espresso tramite software e protetto tramite software. Questo vuol dire che se c’è un difetto in quel software e qualcuno lo scopre, chi lo scopre può approfittarne direttamente prelevando quel denaro e saccheggiando i conti altrui. Non c’è bisogno che l’azienda che ha sviluppato il software decida di istituire un sistema di ricompense e di seguire la sua complessa trafila burocratica per riscuotere il premio: la ricompensa è già integrata nella falla. E questo fa crollare completamente il normale incentivo del bug bounty. Allo scopritore di una falla nelle criptovalute conviene non rivelarla e usarla per continuare a depredare i conti altrui.

È per questo motivo che moltissimi operatori del settore delle criptovalute sono stati oggetto di attacchi informatici che hanno portato a saccheggi da centinaia di milioni di dollari: se c’è un singolo difetto in uno dei vari componenti software di una criptovaluta, quel difetto ha effetto su tutti i conti espressi in quella valuta, quei conti sono tutti accessibili online e quindi il furto può essere ripetuto su vastissima scala in pochissimo tempo. 

In altre parole, ogni criptovaluta ha un proprio bug bounty incorporato.

È arrivato il vostro momento “a-HA!”? Ottimo. Allora divertitevi a proporre questa frase ai vostri conoscenti o colleghi presi dalla febbre delle criptovalute: farete bella figura e distinguerete gli intenditori dagli improvvisati.

---

2022/05/06 9:30. Esiste anche il bug bounty inverso: un lettore mi segnala via Twitter il caso di un errore nel software e nelle procedure di JUNO, una comunità basata sulla blockchain, che ha fatto finire circa 36 milioni di dollari in un indirizzo della blockchain che è irraggiungibile per chiunque (persino per i gestori). Per recuperarli sarà necessaria una drastica ristrutturazione dell’intera blockchain. 

Ultimo aggiornamento: 2022/01/28 2:40.

Se avete un computer Apple, aggiornatelo appena possibile alla versione più recente di macOS, la 12.2. Un informatico, Ryan Pickren, ha infatti scoperto una serie di falle davvero notevoli nella sicurezza dei computer di questa marca, che permettevano di prendere il controllo di tutti gli account aperti della vittima e, ciliegina sulla torta, anche della sua webcam. 

La buona notizia è che l’aggiornamento a macOS 12.2 chiude queste falle e Pickren è un hacker buono, ossia uno di quelli che invece di tenere per sé un potere del genere o rivenderlo a qualche banda di criminali informatici contatta le aziende e segnala le vulnerabilità, tenendole segrete fino al momento in cui sono disponibili delle correzioni. Per questa sua scelta responsabile Apple lo ha ricompensato con 100.500 dollari, come previsto dal programma di bug bounty dell’azienda, che prevede premi variabili a seconda della gravità della falla segnalata responsabilmente.

Ma come è possibile che delle falle di un sistema operativo (in questo caso macOS) permettano di prendere il controllo degli account della vittima? A prima vista sembrerebbero due cose molto distinte. Pickren ha spiegato i dettagli della sua tecnica di attacco.

Il primo passo è molto banale: convincere la vittima a visitare con Safari, il browser standard di Apple, un sito che fa da trappola. Il sito non contiene virus o altro: ospita semplicemente un documento innocuo, per esempio un’immagine di un tenerissimo cucciolo o il classico buongiornissimo caffé, collegato tramite un link (URI) speciale, icloud-sharing:, che viene usato normalmente da Safari per i documenti condivisi tramite iCloud.

In pratica la vittima, quando visita il sito-trappola, riceve un invito a scaricare un documento condiviso innocuo. Se accetta, come è probabile se il documento ha un nome allettante, Safari scarica il documento stesso. La vittima apre il documento, vede che è una foto non pericolosa e non ci pensa più.

Fin qui niente di speciale. Ma la falla di macOS scoperta da Ryan Pickren ha un effetto molto insolito: siccome il documento è stato scaricato usando la funzione di condivisione di Apple, il creatore del documento condiviso può cambiare a proprio piacimento il contenuto della copia scaricata sul computer della vittima. In altre parole: la foto del cucciolo puccioso viene sostituita per esempio da un programma eseguibile, che a questo punto l’aggressore può attivare sul Mac della vittima quando vuole.

L’astuzia non è finita. Normalmente macOS non consente di eseguire programmi non approvati (grazie a Gatekeeper). Ma Pickren ha scoperto un modo per eludere questi controlli. Il programma ostile iniettato nel Mac della vittima può quindi agire indisturbato, senza che la vittima riceva richieste di approvazione, ed eseguire per esempio del JavaScript che può fingere di provenire da Twitter, Google, Zoom, PayPal, Gmail, Facebook o qualunque altro sito (è possibile impostarne l’origin a piacimento) e può fare tutto quello che può fare la vittima nel proprio account presso questi servizi: pubblicare messaggi, cambiare impostazioni, cancellare contenuti e anche attivare la webcam.

Questa falla, comunque, è stata ora corretta, insieme a un’altra molto grave che permetteva di prendere il controllo dei Mac e di sorvegliarne le attività (creando una backdoor).

Morale della storia: non fidatevi delle offerte di scaricare documenti condivisi da siti che non conoscete, neanche se i documenti sembrano innocui, e aggiornate il vostro macOS appena possibile, naturalmente dopo aver creato una copia di sicurezza dei vostri dati.

A proposito di aggiornamenti Apple: ce ne sono anche per gli Apple Watch, per i media player della stessa marca, per i suoi altoparlanti smart (che finalmente introducono il riconoscimento vocale multiutente in italiano),  per gli iPhone e per gli iPad. Smartphone e tablet passano alla versione 15.3 e risolvono una falla che permetteva ai siti ostili di scoprire quali altri siti avevate visitato e di ottenere altri dati personali. Anche qui, conviene aggiornarsi al più presto. Le istruzioni per farlo sono come sempre sul sito di Apple.

Un bug bounty è una ricompensa che viene offerta da un’azienda o da un ente a chi trova e segnala in modo responsabile una falla o un difetto informatico in un prodotto di quell’azienda o ente. Questi premi servono per incoraggiare gli informatici a cercare queste falle, con il risultato di migliorare la sicurezza del software per tutti gli utenti.

Ovviamente l’informatico che scopre una vulnerabilità è tenuto a non rivelarla a nessuno a parte l’azienda o ente che offre il bug bounty, in modo che sia possibile correggerla prima che diventi nota e venga sfruttata.

Le Poste Svizzere offrono da pochi giorni uno di questi bug bounty, con ricompense da 50 fino a 10.000 franchi. Non è la prima volta che lo fa, ma in questo caso l’iniziativa è aperta a tutti, mentre in passato era accessibile soltanto su invito.

Va notato, in particolare, che le Poste Svizzere offrono un safe harbor, ossia un’immunità da conseguenze legali per chi effettua test e indagini sui sistemi informatici seguendo le regole di un bug bounty. Senza questa tutela giuridica, infatti, una violazione di un sistema informatico sarebbe considerata un reato.

Per maggiori informazioni si può consultare la pagina apposita del sito delle Poste Svizzere, che porta a yeswehack.com/programs/swiss-post, dove è riportato il regolamento del bug bounty e c’è anche una hall of fame.

Le Poste spiegano di aver già trovato 500 vulnerabilità e di aver pagato circa 250.000 franchi in ricompense da quando è stato lanciato il programma, che ha dimostrato di essere efficacissimo, come racconta in dettaglio Sandro Nafzger, responsabile del programma.

A chi non conosce il settore può sembrare strano, e persino immorale, che un’azienda paghi profumatamente degli hacker per penetrare nei suoi sistemi e mostrarne le falle. Ma i bug bounty costano molto, molto meno di un test tradizionale svolto da professionisti e funzionano. Come conseguenza non trascurabile, tengono i talenti informatici al riparo dalle tentazioni del crimine organizzato. 

Secondo i dati pubblicati di recente dalla società di sicurezza Digital Shadows, infatti, le bande specializzate in reati informatici pagano cifre notevoli a chi vende loro accessi a sistemi aziendali. Un semplice initial access broker, ossia una persona che trova una falla in un sistema ma non la sfrutta e invece la rivende ad altri, diventando l’equivalente informatico di una persona che scassina una cassaforte e poi se ne va, lasciando ad altri il compito di vuotarla e riciclare il bottino, può guadagnare in media dai 7000 ai 9000 dollari. E questo genere di attacco è aumentato fortemente per via del lavoro da remoto di molte persone durante questa pandemia.

Il bug bounty è una ricompensa offerta da un’azienda per chi trova e segnala responsabilmente una falla o un difetto informatico in un prodotto: ogni tanto le cifre in gioco sono davvero ragguardevoli e questo stimola molti informatici a cercare queste falle e quindi migliorare il software per tutti noi.

Lo sa bene Bhavuk Jain, uno sviluppatore che ha trovato una falla importante in un prodotto Apple e dice di aver ricevuto dalla multinazionale della mela un bug bounty di ben centomila dollari.

La falla riguardava il servizio Accedi con Apple (Sign in with Apple), che consente di usare l’account Apple per accedere ad altri account di altre aziende, come Facebook, Dropbox, Spotify o Google, senza dare a queste altre aziende il proprio indirizzo di mail. Ma la falla scoperta da Jain permetteva a un aggressore di prendere il controllo di questi accessi, in alcuni casi abbastanza frequenti, e quindi rubare gli account agli utenti.

Jain ha segnalato il problema ad Apple in maniera riservata ad aprile scorso, e l’azienda l’ha corretto. Non risulta che la falla sia stata sfruttata da aggressori, per cui stavolta la stalla è stata chiusa ancora prima che i buoi si rendessero conto che era aperta.


Fonti: Gizmodo; Ars Technica.

Cose da fare quando sei chiuso in casa: guadagnare 75.000 dollari, e farlo legalmente. È quello che è riuscito a fare un ricercatore di sicurezza, Ryan Pickren, che ha scoperto una serie di falle tecniche che consentivano di prendere il controllo da remoto della telecamera degli iPhone, degli iPad e dei laptop Apple.

In Safari, il browser di Apple, c’erano infatti ben sette vulnerabilità (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 e CVE-2020-9787). Concatenandone tre in modo astuto e corretto, permettevano a un sito ostile di accedere alla telecamera e al microfono della vittima, due delle risorse che Apple protegge maggiormente per ovvie ragioni.

Tutto quello che doveva fare la vittima era aver autorizzato in precedenza l’uso della telecamera e del microfono da parte di una qualsiasi app di Apple, cosa che fanno praticamente tutti, e visitare il sito ostile con Safari (cosa facilissima da ottenere con un classico messaggio “clicca qui per vincere un premio” o simile).

Pickren ha segnalato il problema con la massima discrezione ad Apple, che ha un bug bounty, ossia un programma di ricompense per chi segnala in maniera responsabile i difetti dei suoi prodotti, e l’azienda lo ha ringraziato dandogli appunto 75.000 dollari.

Niente panico: le falle più gravi sono state risolte dalle versione 13.0.5 in poi di Safari, uscita a fine gennaio, e le altre sono state messe a posto con Safari 13.1 a fine marzo. Se non avete ancora aggiornato Safari, fatelo.

Se vi interessano i dettagli tecnici delle scoperte di Pickren, li trovate qui in versione estesa e qui in sintesi.

Tesla offre da già qualche tempo (dal 2014) premi a chi scopre e comunica in modo responsabile le falle di sicurezza informatica nei suoi prodotti: le regole di questo bug bounty sono qui. Ha già erogato numerose ricompense e distribuito gli aggiornamenti correttivi alle proprie auto.

Ora ha alzato la posta: parteciperà alla gara di hacking Pwn2Own, in Canada, portandovi una Model 3 Mid Range (circa 44.000 dollari di listino) che verrà messa a disposizione di chi vorrà tentare di penetrarne le difese informatiche. Considerata la dipendenza fortissima delle Tesla dal software, la sicurezza di queste difese è un’esigenza fondamentale, e sfide come questa hanno già portato a migliorie importanti.

Tesla sarà l’unica casa automobilistica a partecipare a Pwn2Own. I premi per chi riesce a superare le difese della Model 3 variano da 35.000 dollari a 250.000. Il premio più basso è per chi riesce ad attaccare con successo il sistema di infotainment dell’auto; quello più alto andrà a chi avrà successo nel penetrare in uno dei tre sistemi chiave dell’auto, ossia il Gateway (gestore dei flussi di traffico interno di dati), l’Autopilot (sistema di guida assistita) e il VCSEC (sistema di sicurezza, allarme e antifurto).

Ci sono inoltre in palio 100.000 dollari per chi riesce a sbloccare le portiere scardinando le difese della chiave elettronica o dell’app di controllo dell’auto e per chi riesce ad avviare l’auto senza usarne la chiave.

Chi totalizzerà il punteggio più alto si porterà a casa non solo la ricompensa in denaro ma anche l’auto.


Fonti aggiuntive: Teslarati, Forbes, Electrek.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Fonte: Wikipedia.

Molte aziende offrono un bug bounty, ossia dei premi a chi riesce a trovare delle falle informatiche nei loro prodotti e le comunica correttamente alle aziende in questione. Sono poche, però, le case automobilistiche che offrono bug bounty a chi scopre falle nel software delle loro auto.

Pochi giorni fa Tesla ha aggiornato la propria policy di sicurezza per consentire formalmente ai ricercatori esterni all’azienda di andare a caccia di vulnerabilità nel firmware delle auto di questa marca: se durante le loro ricerche l’auto diventasse inservibile, Tesla provvederà a ripristinarne il software, e in ogni caso non ci saranno conseguenze legali e le garanzie del fabbricante resteranno valide.

Ci sono alcuni requisiti: i ricercatori devono preregistrarsi presso Tesla insieme all’esemplare di auto sul quale vengono effettuate le ricerche. Eventuali falle trovate dovranno essere rivelate pubblicamente rispettando le linee guida concordate con Tesla, che dovrà avere un tempo ragionevole per risolverle prima che vengano divulgate. Infine, i ricercatori non dovranno accedere ai dati di terzi e non dovranno mettere in pericolo le proprie auto.

I rapporti fra Tesla e la comunità hacker erano già piuttosto buoni: la sperimentazione era incoraggiata e comunque le auto elettriche dell’azienda erano già oggetto di forte interesse di ricerca, sia per la natura interessante del bersaglio, sia perché scoprire una falla nel software di una Tesla è un ottimo modo per conquistarsi molta attenzione mediatica. Ma c’era sempre la spada di Damocle delle leggi che riguardano l’hacking (le DMCA e CFAA statunitensi, per esempio), che esponeva i ricercatori al rischio di subire azioni legali molto costose.

Ora i ricercatori saranno ancora meno riluttanti, e questo contribuirà a migliorare la sicurezza del software delle auto. Soprattutto, si spera, ridurrà il rischio che qualcuno venda le proprie scoperte al crimine organizzato: Tesla prevede anche premi in denaro.

I primi risultati si sono già visti: dei ricercatori belgi hanno scoperto una falla grave nella sicurezza delle chiavi elettroniche delle Tesla che permetteva di acquisirne i codici e rubare le auto. Hanno informato Tesla, che ha diffuso un aggiornamento correttivo alla propria flotta, e sono stati ricompensati con 10.000 dollari.

Fonte aggiuntiva: The Register.

Il ricercatore di sicurezza informatica è uno di quei mestieri che di solito si fanno per vocazione e passione, ma ogni tanto può essere anche fonte di guadagno tutt’altro che trascurabile.

Prendete il caso di Gzob Qq (non è il suo vero nome, che è ignoto): a settembre dell’anno scorso ha scoperto una grave falla in Chrome OS, il sistema operativo usato dai computer Chromebook di Google, e l’ha segnalata a Google. L’azienda lo ha ricompensato con 100.000 dollari.

È già un bel risultato, ma poco tempo fa lo stesso ricercatore ha trovato un’altra falla in Chrome OS e si è aggiudicato altri centomila dollari di premio.

Non è l’unico caso: nel 2014 George Hotz aveva trovato una serie di falle importanti, sempre in Chrome OS, e si era aggiudicato un premio di 150.000 dollari, come racconta Naked Security.

Ricompense di questo livello richiedono competenze elevatissime e investimenti di tempo ingenti, ma esistono anche maniere relativamente più semplici di essere premiati per aver trovato una falla: per esempio, c’è il Google Play Security Reward Program, che offre mille dollari per ogni vulnerabilità scoperta in un’app Android di Google o di altri fornitori molto noti come Alibaba, Dropbox, SnapChat o Tinder.

Come mai tanta generosità? Alle aziende informatiche questi bug bounty costano meno di quanto costerebbe assumere a tempo pieno dei ricercatori di sicurezza e offrono pubblicità gratuita facendo parlare del proprio prodotto. Noi utenti, in cambio, abbiamo delle applicazioni meno insicure. Per cui se vi piace studiare la sicurezza informatica, datevi da fare: ma ricordatevi di seguire le linee guida per la gestione responsabile delle vostre scoperte.

Capita spesso di parlare dei pericoli e delle falle di Internet e dei loro danni; capita meno spesso di poter raccontare di un pericolo scampato e sventato dietro le quinte. Ma stavolta si può fare: a ottobre del 2016 un informatico, Andrey Leonov, si è accorto che in Facebook era rimasto annidato un difetto in un componente usato da molti siti per la gestione delle immagini. Il difetto, chiamato dagli addetti ai lavori ImageTragick, stava causando grave scompiglio in tutta Internet, perché era sfruttabile da chiunque semplicemente inviando a un sito un’immagine appositamente confezionata.

In pratica, qualunque sito che consentisse agli utenti il caricamento di immagini poteva essere attaccato e in molti casi scardinato, prendendone il controllo. Ovviamente Facebook, essendo un social network basato proprio sul caricamento di immagini da parte degli utenti, era un bersaglio molto esposto e molto appetibile.

Leonov avrebbe potuto sfruttare la propria scoperta per attaccare Facebook, oppure venderla sul mercato nero del crimine informatico, come purtroppo fanno in molti, ma ha scelto un’altra strada: ha tenuto segreta la scoperta, condividendola soltanto con gli addetti alla sicurezza di Facebook. Il social network ha corretto la falla nel giro di tre giorni. Gli utenti, oltre un miliardo e mezzo in tutto il mondo, non si sono accorti di nulla.

Ê andata davvero bene, perché il difetto del componente usato da Facebook era noto pubblicamente da alcuni mesi e se un malintenzionato si fosse accorto, prima di Leonov, che il difetto era presente anche in Facebook avrebbe potuto prendere il controllo dei server del social network (i computer che ospitano i dati caricati e pubblicati dagli utenti) e manipolarli o cancellarli in massa. Sarebbe stato un disastro.

L’informatico ha mantenuto il riserbo sulla vicenda fino a pochi giorni fa, quando ne ha pubblicato i dettagli rivelando anche un ulteriore lieto fine molto particolare: una ricompensa di 40.000 dollari, datagli da Facebook una settimana dopo la risoluzione del problema per aver gestito in modo responsabile la scoperta della vulnerabilità, usando gli appositi canali di comunicazione.

Il social network di Zuckerberg non è l’unico sito che offre ricompense in denaro per chi segnala in modo sicuro e responsabile i difetti e le vulnerabilità (i cosiddetti bug bounty): lo fanno quasi tutti i principali siti e servizi di Internet, come Google, Apple e Microsoft. Ma ci sono molte aziende che preferiscono ignorare le segnalazioni e far finta di niente, mettendo così a rischio la sicurezza degli utenti. Di solito questo significa che dopo un lasso di tempo ragionevole la falla verrà resa pubblica oppure venduta ai criminali: in entrambi i casi le conseguenze saranno pesanti. E tutta questa guerra avviene quasi ogni giorno dietro le quinte di Internet.


Fonti aggiuntive: Graham Cluley.

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori ed è stato aggiornato estesamente dopo la pubblicazione iniziale del 2016/09/20. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/09/21 21:55.

In breve

Sono a corto di tempo, per cui scrivo giusto due righe per evitare che si diffondano bufale: sì, gli esperti di Keen Security Lab hanno pubblicato un video nel quale sembrano mostrare un attacco informatico nel quale prendono il controllo da remoto di una Tesla Model S, per esempio aprendone le portiere e il bagagliaio, comandandone gli schermi del cruscotto e riuscendo addirittura a far frenare l’auto di colpo mentre è in movimento.

Spettacolare, certo, ma non è un vero e proprio “hackeraggio da remoto”: serve infatti comunque la collaborazione attiva del conducente, che deve connettere l’auto a una specifica rete Wi-Fi (cosa che non succede mentre si è in giro), per cui non si tratta di una tecnica che consente di prendere facilmente il controllo a distanza di un’auto Tesla qualsiasi.

Molte testate giornalistiche che stanno raccontando la scoperta omettono di precisare questo particolare, forse per incompetenza o forse per pompare la notizia: fra quelle che ho visto fin qui fa felice eccezione The Verge.

Tecnicamente è un risultato notevole, comunque, rispetto agli attacchi precedenti che richiedevano lo smontaggio del cruscotto, e sottolinea il problema di fondo di tutte le auto interconnesse: il rischio che la connessione sia sfruttabile per sabotarle. Questa vulnerabilità è già stata risolta con un aggiornamento software (versione 7.1 release 2.36.31) diffuso automaticamente a tutte le Tesla.

Spero di potervi raccontare tutti i dettagli nelle prossime ore.

In dettaglio

L’articolo originale di Keen Security Lab (che fa parte del colosso cinese Tencent) è decisamente reticente: la cosa più interessante che dice è che l’attacco compromette il CAN bus, il sistema che controlla molti dei componenti essenziali dell’auto.

Altri articoli, per esempio su Ars Technica e il già citato The Verge, spiegano qualche dettaglio in più: l’attacco realizzato da Keen sfrutta un bug nel browser della Tesla. Questo bug richiede che l’auto sia connessa a un hotspot Wi-Fi ostile e che contemporaneamente il conducente effettui la ricerca della stazione di ricarica più vicina tramite il pannello di comando centrale dell’auto.

The Verge pubblica una conferma inviata da Tesla, che dice appunto che “Il problema dimostrato viene innescato soltanto quando viene usato il browser web e inoltre richiede che l’auto sia fisicamente vicina a un hotspot Wi-Fi ostile e sia connessa ad esso” e aggiunge che i ricercatori di Keen, avendo agito responsabilmente (contattando Tesla senza pubblicare i dettagli della vulnerabilità), riceveranno una ricompensa secondo i parametri del programma bug bounty (ricompensa per i bug scovati) introdotto da Tesla per incoraggiare questo tipo di ricerca.

Stefano, di Teslaforum.it, mi spiega che nell’uso normale una Tesla si collega a una rete Wi-Fi soltanto in due situazioni: quando è a casa del proprietario (l’auto ha il GPS e quindi “sa” sempre dove si trova e si collega al Wi-Fi del proprietario) e quando si trova presso un centro di assistenza Tesla (nel qual caso si collega al Wi-Fi del centro di assistenza). A parte queste due occasioni, mi dice Stefano, l’auto di norma resta collegata tramite la connessione cellulare 3/4G integrata (e inclusa nel prezzo) e l’unica operazione che si può fare solo via Wi-Fi è l'aggiornamento delle mappe.

In pratica, quindi, l’attacco descritto da Keen è realizzabile soltanto in condizioni decisamente insolite e richiede la collaborazione coordinata di una persona a bordo dell’auto, per cui non si può definire remoto in senso stretto e non è certo automatico o sfruttabile su vasta scala. Si tratta comunque di una vulnerabilità importante, per cui è bene che sia stata scoperta e risolta.

La parte più interessante (e preoccupante) è la compromissione del controllo dei freni: la tecnica effettivamente usata è tutta da confermare, ma un altro utente di Teslaforum.it, Div@h, sottolinea che tutti gli effetti mostrati nel video sono ottenibili comandando appositamente il pannello comandi (la MCU o Media Control Unit, in pratica l’“iPaddone” centrale), e che esiste una funzione di frenata d’emergenza attivabile tramite questa MCU, per cui non è da escludere che l’attacco non abbia realmente preso il controllo del cuore informatico dell’auto (il CAN bus, appunto) ma abbia raggiunto soltanto (si fa per dire) il pannello comandi, che in realtà è indipendente e fortemente isolato dalle funzioni centrali. Se così fosse, l’attacco sarebbe molto meno grave di quel che sembra a prima vista.

Paradossalmente, la risoluzione rapida del difetto mostra che il punto debole delle auto connesse (la connessione dati, appunto) è anche il punto di forza che consente di rimediare alle falle diffondendo immediatamente a tutte le auto un aggiornamento correttivo.


Fonti aggiuntive: The Hacker News, Electrek.

In questi giorni grazie alla vicenda di HackingTeam si parla parecchio di come gli informatici trasformano in moneta sonante le proprie scoperte di falle di sicurezza vendendole sul mercato nero a gruppi criminali o a società che lavorano per governi, ma ci sono modi meno controversi di trarre guadagno dalla bravura informatica. Esistono infatti i cosiddetti bug bounty, ossia premi dati a chi trova e segnala in modo responsabile le falle di un software o di un sito.

Un bell'esempio di questi bug bounty arriva dagli Stati Uniti, dove la compagnia aerea United ha ricompensato due informatici per aver scoperto e segnalato responsabilmente (in privato, senza discuterne pubblicamente) delle falle nella sicurezza del sito della compagnia stessa: un milione di miglia di voli gratuiti a testa, sufficienti a pagare decine di voli interni negli USA.

Incentivi di questo genere sono comuni nel settore informatico: li offrono per esempio Google, Facebook e Yahoo. Sono assai meno comuni in altri settori, come appunto quello dell'aviazione civile, che pure ne ha bisogno. Non va dimenticato, infatti, che proprio la United è stata colpita l'8 luglio scorso da un problema informatico che ha causato ritardi considerevoli a centinaia di voli: un guasto hardware, non un attacco, secondo le dichiarazioni della compagnia aerea, ma in ogni caso una dimostrazione di quanto anche il traffico aereo dipenda dai computer.

Cosa ancora più importante, offrire a chi è bravo a trovare falle informatiche una maniera legale di trarre profitto dal proprio talento significa distoglierlo dal mondo del crimine digitale, e questo aumenta la sicurezza di tutti.