Sicurezza

AssetProtection. Hacker assassino: La nuova frontiera del cybercrime

di Alberto Buzzoli, Socio ANSSAIF – Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria |

Un hacker è soltanto un ladro o può diventare un assassino? Può provocare la morte di un bersaglio prescelto? A quanto pare sì, ecco come

Quando William Gibson, diventato poi esponente di spicco del filone cyberpunk (siamo nei primi anni ’80), scrisse i suoi racconti, oltre a costruire scenari oscuri in stile underground, manifestò chiaramente un certo interesse per l’interazione della tecnologia con il corpo umano, sino a disegnare fantastici scenari di cyberspazio. Gibson aveva però anche individuato – e alcuni passaggi narrativi lo dimostrano – come la macchina potesse divenire uno strumento pericoloso e lesivo per la salute e l’incolumità fisica delle persone.

 La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Il sottogenere letterario del cyberpunk era ascritto, e lo è tuttora – almeno stando alla classificazione editoriale – all’interno del più ampio genere della fantascienza. Ma gli scenari che si configurano ai giorni nostri, a distanza di un trentennio, e gli eventi di cronaca che insistono sempre più sul tema delle violazioni in ambito di tecnologia dell’informazione e della comunicazione ricongiungono giorno dopo giorno quella che sembrava solamente fantasia artistica con la realtà.

Se parliamo di hacker, oramai siamo quasi assuefatti al tema. Sappiamo che sono in grado di infettare qualsiasi dispositivo (PC, device mobili, da poco persino le smart TV) per sottrarre informazioni sensibili oppure innescare meccanismi di arresto di servizi e sistemi, in alcuni casi anche critici, provocando danni di natura economica, legale e correlati alla reputazione di organizzazioni e singoli individui.

Specie in questi mesi, prima con la proposta del decreto antiterrorismo e l’ipotesi di utilizzare i Trojan di Stato,  poi con la vicenda della tecnologia RCS sfuggita di mano ad Hacking Team, poi ancora con la pubblicazione di documentazione riservata (anche del nostro governo) su WikiLeaks, e tanto per finire con le ultimissime supposizioni diffuse dalla stampa che individuerebbero nell’incidente dichiarato da Hacking Team una strategia di uscita della stessa società per aver perso il controllo della propria tecnologia dopo averne ricavato interessanti profitti, ne abbiamo veramente viste di tutti i colori.

Ma è sufficiente un’ulteriore riflessione per perdere di vista ancor di più il divario tra realtà e finzione. Un hacker è solo un ladro o può diventare un assassino? E non mi riferisco ai casi – comunque gravissimi – di suicidio per video, fotografie o documenti trafugati e divulgati in rete che hanno provocato un’umiliazione insopportabile alla vittima. Mi riferisco piuttosto alla possibilità, attraverso l’intrusione e la violazione della tecnologia, di provocare la morte di un bersaglio scelto.

E’ recente la pubblicazione sulla testata Wired Usa di un test che lascia senza parole. Una coppia di hacker – non due qualunque, un ingegnere per la sicurezza di Twitter ed il responsabile sicurezza veicoli presso IoActive – hanno preso il controllo (da remoto) di una jeep che viaggiava in autostrada, sfruttando una vulnerabilità del sistema di connessione installato a bordo. Ma non è la prima volta che si parla di sicurezza per le connected car. In passato, il tema è stato oggetto di discussione per altri noti brand automobilistici, come Toyota, Ford e BMW.

In termini di marketing, la possibilità di raccogliere informazioni sulla vettura ed i suoi passeggeri, generando una profilazione dettagliata, è estremamente appetitosa. Ma la sostanza non cambia: potendo accedere al sistema centrale è possibile anche governare acceleratore, freno, cambio (se automatico) e tutta l’elettronica di bordo. Se le intenzioni dell’attaccante sono veramente cattive, causare un incidente mortale non sarà difficile. Chissà che non vi sia già qualche offerta a buon mercato nel portale Evolution del web sommerso, quello invisibile, occulto, dove nel carrello possono finire droghe, furti, falsi documenti e persino delitti su commissione.

Barnaby Jack, hacker dal cappello bianco di 35 anni, è morto in circostanze poco chiare proprio una settimana prima di mostrare al mondo come hackerare un pacemaker, con la conseguente possibilità di attivare una scossa di 130 volt dritta al cuore, sufficiente per essere letale. In precedenza aveva già dimostrato di poter ottenere il controllo su una pompa di insulina. Seppur questo genere di intrusioni necessitino di una vicinanza fisica alla vittima di circa cento metri per agire via radio e non siano mai state diffuse notizie di incidenti di questo genere, ciò non significa che non possano essere finalizzati dei veri e propri omicidi informatici.

Non oso neanche immaginare fin dove si possa spingere una mente perversa sfruttando il controllo sugli impianti di domotica e sui dispositivi biomedici che la ricerca sta già mettendo a punto. E purtroppo non è un futuro distopico, di una realtà spiacevole ed indesiderabile, quello in cui le testate nucleari sono governate da sistemi di massima sicurezza, ma per il solo fatto di essere raggiungibili in via telematica, anche potenzialmente violabili.

Sembra quasi che la tecnologia più sia vicina al corpo dell’uomo, più incrementi la possibilità di risultare letale. Quando il rischio diventa così alto ed il possibile danno tanto più elevato del beneficio, vien quasi voglia di staccare tutti i cavi e tornare indietro, al punto in cui tutto questo poteva sembrare solo un romanzo.

Leggi le altre notizie sull’home page di Key4biz