Passa ai contenuti principali

Attacchi informatici al cervello

Si, avete letto bene.

Nulla di particolarmente sorprendente. Come spiegato qui, degli esperti in sicurezza informatica hanno analizzato dei "neurostimolatori", dispositivi da impiantare sotto la pelle e collegare direttamente al cervello per mitigare i sintomi di alcune malattie (dolori cronici, problemi di movimento come quelli provocati dal Parkinson). Ovviamente hanno trovato il modo di modificare in modo non autorizzato la configurazione di un neurostimolatore già impiantato. Il che "could prevent the patient from speaking or moving, cause irreversible damage to their brain, or even worse, be life-threatening". L'attacco non è particolarmente sofisticato: essenzialmente è bastato ricostruire il formato dei segnali con i quali è programmato il neurostimolatore ed osservare che il protocollo ha garanzie di autenticazione e riservatezza praticamente inesistenti.

Ho scritto che questo evento non è sorprendente perché problemi di questo genere sono frequentissimi nei dispositivi elettronici, anche in quelli biomedicali. Vedi ad esempio le pompe di insulina ed i pacemaker (si, i pacemaker).

Ciò accade per molti motivi, uno dei quali è il fatto che le aziende che realizzano dispositivi biomedicali di solito sono competenti in elettronica e biomedica, ma non sono competenti in sicurezza informatica. Nessuno farebbe realizzare i dischi dei freni di un'automobile ad un'azienda specializzata in costruzioni in cemento armato. Purtroppo la società non si è ancora resa conto che un dispositivo contenente un calcolatore non è un dispositivo arricchito con qualche nuova caratteristica; è qualcosa di radicalmente diverso. Per comprendere quell'oggetto non è sufficiente essere competenti "nel dispositivo"; purtroppo è indispensabile essere competenti anche in informatica, altrimenti si ottengono dispositivi come questi. Dispositivi dai quali dipendono la vita delle persone ma che sono realizzati con tecniche del tutto inadeguate dal punto di vista informatico.

Questo evento si allaccia ad un tema a cui ho accennato brevemente al termine della lezione di "Reti di Calcolatori II e Principi di Sicurezza Informatica" di ieri. Quando uno studia i problemi di sicurezza, spesso gli attacchi gli sembrano intricati, complicati, mere possibilità teoriche di scarso interesse pratico. Questo è un approccio sbagliatissimo. Non si deve pensare in termini di "cosa so fare io", ma nei termini di "cosa può fare uno con motivazioni e competenze adeguate". Ragionando in questi termini uno sarebbe portato a concludere che realizzare il Pantheon o l'Acquedotto di Segovia è intricato, complicato, di scarso interesse pratico (nessuno di noi sarebbe in grado di realizzarli, neanche coinvolgendo altre persone....).

Questo problema è frequentissimo, al punto che gli esperti di sicurezza hanno formulato una sorta di principio apparentemente scherzoso ma profondissimo: "chiunque è in grado di progettare un protocollo di sicurezza che lui non è in grado di aggirare". Quello del neurostimolatore è un esempio da manuale. Il problema è che un protocollo di sicurezza non deve essere progettato da "chiunque". Deve essere progettato dagli esperti. I quali esperti sanno perfettamente che è meglio scegliere uno dei protocolli già esistenti e consolidati senza progettarne di nuovi, perché farne uno nuovo è troppo complicato; si cade quasi sempre nella trappola di cui sopra (si inventa un protocollo apparentemente indistruttibile, poi lo analizza un altro esperto e lui lo aggira con poco sforzo).

PS Il blog  in cui ho trovato la notizia sulla vulnerabilità dei neurostimolatori è fantastico. Ogni giorno viene analizzato un articolo scientifico, nei settori informatici più disparati. La selezione dei lavori e soprattutto la capacità di sintesi di Adrian Colyer sono davvero eccezionali.

Commenti

Popular Posts

"Ingegneria deve essere difficile"

Il ritaglio di giornale qui sotto ricorda uno degli eventi più non-trovo-un-aggettivo-appropriato del mio periodo di studente di Ingegneria a Pisa. Ricordo che una mattina iniziò a spargersi la voce "hanno murato la porta del dipartimento!".  Andammo subito a vedere ed arrivammo un pò prima dei giornalisti che scattarono questa foto. La porta era murata, intonacata, pitturata di bianco e sovrastata da una scritta "INGEGNERIA DEVE ESSERE DIFFICILE". Le "E" di "INGEGNERIA" erano scritte al contrario perché era una sorta di "marchio di fabbrica" della facoltà di Ingegneria di Pisa. L'aula più grande, quella in cui pressoché tutti gli studenti seguivano i corsi dei primi anni, aveva infatti alcuni bellissimi "affreschi scherzosi" che furono fatti nel corso delle proteste studentesche di qualche anno prima ed in cui la parola "Ingegneria" era appuntoi scritta in quel modo. Si era anche già sparsa la voce di cosa era

Il patch che non era un patch

Quanto segue è un patetico quanto inutile tentativo di distrarmi e non pensare alla pessima prestazione calcistica di ieri sera, decisamente non all'altezza dell'evento e dei nostri gloriosi colori. Nella lezione di "Computer Networks and Principles of Cybersecurity" di ieri, mi è stata posta la domanda " E' possibile che un patch introduca nuove vulnerabilità? ". La mia risposta è stata affermativa, ho evidenziato che un patch è un software, quindi può introdurre errori, vulnerabilità, può fare riemergere errori o vulnerabilità presenti e risolti in versioni precedenti, può correggere la specifica vulnerabilità presumibilmente risolta da quel patch solo in parte. Non è frequente, ma può accadere ed è quindi una possibilità da tenere presente. Uno dei numerosi motivi che rendono così complessa la gestione delle vulnerabilità è anche questo. Stamattina ho letto un esempio molto interessante di quanto abbiamo detto. Pochissime settimane fa Microsoft ha ril

Perché studiare Analisi Matematica???

Un mio caro amico mi ha scritto: ...sono con mia figlia che studia Analisi 1...A cosa serve, al giorno d'oggi, studiare Analisi (a parte sfoltire i ranghi degli aspiranti ingegneri)? Riporto la mia risposta di seguito, forse può "motivare" qualche altro studente. ... Per un ingegnere la matematica è fondamentale perché è un linguaggio ; ed è il linguaggio essenziale per trattare gli argomenti che dovrà affrontare come ingegnere; non sono importanti i contenuti specifici; è importante, anzi fondamentale, che riesca a capirli, ricostruirli etc. ad esempio, chi deve usare l'inglese, lo usa perché in un modo o nell'altro lo conosce; nessuno di noi ha usato esattamente le frasi o i dialoghi o le regole che ha incontrato negli esercizi di inglese o di tedesco; nella matematica è lo stesso; non sono importanti i limiti, le serie, i teoremi di cauchy o che so io; ma se uno non è in grado di capire quel linguaggio allora non sarà in grado di capire davvero quas

40 anni di Internet: Cosa non ha funzionato e perché

Leggo molti documenti tecnico-scientifici per lavoro e, in parte, per "piacere". Molti sono interessanti, alcuni molto interessanti. E' raro che trovi un documento che mi appare illuminante. Questo indicato sotto è uno dei pochi documenti in questa categoria. Sembra banale, in quanto è molto discorsivo e parla di molte cose note: IP, DNS, NAT.... In realtà è profondissimo. Una miniera di riflessioni profonde, sintetiche, focalizzate ed, appunto, illuminanti. A mio parere imperdibile per chiunque abbia un qualche interesse negli aspetti tecnici di Internet. Chi non ha la pazienza di leggerlo per intero, legga almeno gli ultimi due paragrafi. Failed Expectations (l'autore, Geoff Houston , fa parte della Internet Hall of Fame )

ChatGPT: supererebbe il mio esame di Reti di Calcolatori?

Molto probabilmente chi ha a che fare con i corsi di laurea scientifici e tecnologici, come me, ha preso atto della notizia che ChatGPT ha superato esami universitari in giurisprudenza ed economia con un pò, diciamo così, di sufficienza. Pensando "da noi non potrebbe mai succedere; figuriamoci". E' quello che ho pensato io. Poi però ho fatto a ChatGPT qualche domanda di Reti di Calcolatori. Ho quasi cambiato idea. "Quasi" perché nello scritto di Reti di Calcolatori faccio sempre esercizi. Pur non avendoli sottoposti a ChatGPT sono certo che questi esercizi non li sa risolvere. Ma alle "domande tipiche da orale" ha fornito risposte che mi hanno davvero stupefatto. Riporto qui sotto solo un esempio di "dialogo", relativo a validazione di firma digitale e certificati auto-firmati. Risposte sostanzialmente corrette e pertinenti, molto più sintetiche e focalizzate di quelle che ricevo normalmente. E più rapide. Alla fine ha riconosciuto di esser