Come trasformare un autolavaggio in una trappola mortale? Notizie da Black Hat 2017

Chiunque può prendere il controllo del sistema di lavaggio. Semplicemente inserendo la password "12345". Un ottimo esempio di tutto quello che non si dovrebbe fare in ambito sicurezza

Si è appena conclusa a Las Vegas l’edizione 2017 della conferenza Black Hat e numerosi sono gli spunti riflessione: l’unica certezza è che nulla è realmente inattaccabile. Una delle presentazioni più interessati è stata quella del popolare hacker Billy Rios, fondatore dell’azienda Whitescope, che assieme a Jonathan Butts ha dimostrato come poter trasformare un macchinario per il lavaggio delle automobili in una trappola mortale. Davvero sconcertante, non credete?

Il report di Rios e Butts

Chiunque, in qualunque posto del pianeta potrebbe hackerare il sistema di controllo di un impianto per il lavaggio delle vetture causando seri danni ai veicoli, ai proprietari delle auto ed agli operatori stessi. Gli esperti hanno condotto la loro ricerca sugli impianti Laserwash prodotti dall’azienda americana PDQ.

I sistemi Laserwash possono essere gestiti in remoto attraverso una interfaccia web, il sistema di controllo è basato su sistema operativo Windows CE installato su un computer con processore ARM-compatibile.

Un momento, ho appena scritto Windows CE: vi dice nulla?

Come sapete, Microsoft non fornisce più gli aggiornamenti di sicurezza per questo sistema operativo: ciò significa che gli hacker possono sfruttare le vulnerabilità note per eseguire in remoto codice malevolo sul sistema obiettivo e comprometterlo completamente.

Ma i problemi non sono solo causati dall’utilizzo di un sistema non più supportato da Microsoft: come spesso accade la configurazione errata di dispositivi connessi alla rete può aprire le porte agli attaccanti.

Porte che dovrebbero restare chiuse

Ciò accade in situazioni come quelle riscontrate dagli esperti Rios e Butts: nel corso della loro indagine sui sistemi di lavaggio industriale ne hanno individuato uno che esponeva in rete la console di amministrazione, protetta dalla password di default “12345”. Una volta effettuato l’acceso alla console, un attaccante poteva prendere il completo controllo di tutti i processi interni al lavaggio.

“Gli impianti di lavaggio delle automobili sono governati da sistemi di controllo industriali e quindi sono affetti dai medesimi problemi” ha detto Rios . “Abbiamo scritto un codice malevolo per far sì che l’impianto possa essere usato per attaccare fisicamente gli utenti. Il sistema colpirà chiunque sia presente nell’impianto di lavaggio. Pensiamo che questo sia il primo exploit in grado di causare questo genere di attacco”.

I due esperti hanno mostrato ai presenti alla conferenza come sono riusciti a by-passare i sensori di sicurezza sulle porte dell’autolavaggio aut,o in modo da riuscire ad incastrare il veicolo nell’impianto. Potenzialmente un attaccante potrebbe fare molto peggio: ad esempio potrebbe bloccare il veicolo in fase di lavaggio e colpire lo stesso violentemente con le spazzole del braccio robotizzato, distruggendo la vettura e ferendo gli occupanti.

“Siamo riusciti a controllare l’intero impianto di autolavaggio riuscendo a disabilitare tutti i sistemi di sicurezza in essere.”, ha continuato Rios. “Si potrebbero usare i rulli per il lavaggio per colpire violentemente l’auto e schiacciarla: tutto ciò in assenza di supporti di sicurezza meccanici”.

Il report a PDQ

Gli esperti hanno riportato i risultati della loro ricerca aPDQ nel febbraio 2015, ma non hanno ricevuto una risposta dalla società sino a quando non è stato annunciato il loro talk alla conferenza. Solo allora il produttore ha candidamente ammesso di non essere in grado di prevenire gli attacchi. PDQ ha quindi avvisato i suoi clienti e li ha invitati a modificare la password predefinita ed a proteggere gli impianti di autolavaggio da accessi indesiderati dalla rete, ad esempio filtrando il traffico in ingresso.

Il CERT americano ICS-CERT ha pubblicato un rapporto sulla vulnerabilità presente in diversi modelli di sistemi di autolavaggio LaserWash, Laser Jet e ProTouch PDQ.

A seguire l’elenco delle raccomandazioni per i gestori degli impianti di autolavaggio affetti:

  • Assicurarsi sempre che qualsiasi apparecchiatura PDQ non sia accessibile da Internet. Dovrebbe essere almeno protetta da un firewall.
  • Ogni volta che viene installato un dispositivo o un router, modificare sempre la password predefinita scegliendone una robusta.
  • Disabilitare l’impostazione port forwarding per evitare di esporre accidentalmente i sistemi dietro il firewall ad un attaccante esterno.
  • Non condividere le password e non lasciarle in mostra in un luogo accessibile da utenti non autorizzati.

Riassumendo: ogni volta che si espone in rete un dispositivo è buona norma valutarne i rischi a cui si espongono, oggetti di uso comune ed impianti che utilizziamo ogni giorno come un autolavaggio potrebbero essere usati contro di noi. Con conseguenze imprevedibili.