Skip to main content

DISPONIBILI GLI ULTIMI NUMERI DELLE NOSTRE RIVISTE.

 

ultima rivista formiche
ultima rivista airpress

Hacking Tools tascabili. E i modelli di sicurezza devono essere riscritti

Di Ken Terranova

La dicotomia tra mondo fisico e informatico, nonché la suddivisione analitica tra rischio fisico e informatico, deve essere riscritta nella dimensione della Pubblica Sicurezza, così come nella Sicurezza Privata ed è necessario fare un salto di consapevolezza collettiva con estrema velocità. L’articolo di Ken Terranova, del Center for Cyber Security and International Relations Studies, Università di Firenze

Era la prima metà degli anni ‘80 e in Italia viaggiavamo a cavallo tra due fasi importantissime della storia della Pubblica Sicurezza: da una parte la fine degli Anni di Piombo, periodo che, anche grazie al Generale Dalla Chiesa, avrebbe visto ridisegnare le tecniche di contrasto al terrorismo; dall’altro lato, eravamo invece nel bel mezzo della Seconda Guerra di Mafia che avrebbe ridisegnato gli equilibri interni a cosa nostra dando spazio ai corleonesi e alla loro postura molto più aggressiva.

Nello stesso momento, oltreoceano, due giovani informatici e imprenditori stavano dando vita alle due più importanti aziende tecnologiche del secolo, Apple e Microsoft, nonché ai due tra i primi home computer basati su interfaccia grafica. Da quel periodo le due discipline, Pubblica Sicurezza e Informatica, hanno preso strade separate e solo nell’ultimo periodo tali discipline hanno iniziato a toccarsi in maniera sempre più profonda. Infatti, siamo agli albori di un nuovo modello di Sicurezza Urbana e, tralasciando tutti gli ausili che l’informatica ha dato al settore della Polizia Giudiziaria negli ultimi 20 anni e concentrandosi solo sulla Pubblica Sicurezza, stiamo iniziando ad apprezzare adesso i vantaggi che l’informatica può dare alla Polizia di Prevenzione.

Sale operative ultratecnologiche, sistemi di videosorveglianza intelligenti, software di polizia predittiva come X-Law e intelligenze artificiali rappresentano, ad oggi, la nuova frontiera della Sicurezza Urbana e, più in generale, della Pubblica Sicurezza. Questo sviluppo ci terrà occupati per molto tempo e molto probabilmente non sarà eterogeneo ma, a livello di Ente Locale, premierà le realtà più lungimiranti che saranno capaci di restare al passo con i tempi, penalizzando e rendendo ancora più insicure quelle realtà che non saranno in grado di intellegere questo cambiamento. Tuttavia, la vision sulla realizzazione di questo modello di Sicurezza Urbana dovrebbe essere dettata dalle Amministrazioni Centrali, lasciando agli Enti Locali la scelta sulla mission, ovvero su come mettere in pratica questo modello.

Mettendo da parte l’ausilio che l’informatica ha dato alla Pubblica Sicurezza, concentriamoci sul fulcro di questo contributo, ovvero il rischio informatico per la Pubblica Sicurezza.

La lampadina che si accende a questo punto a ogni analista di sicurezza, pubblica e privata, riguarda alcuni determinati rischi che spesso vengono insegnati anche nelle migliori realtà accademiche.

In primo luogo, il rischio relativo all’attacco alle infrastrutture critiche, spesso minacciato in questi tempi di guerra ibrida in Europa e altrettanto spesso messo in atto con vari attacchi che in Italia hanno portato solo a qualche piccolo disagio nei trasporti ma che, potenzialmente, possono mettere in crisi la Pubblica Sicurezza, basti pensare all’eventualità di un blackout contemporaneo di elettricità e comunicazioni.

In seconda istanza, viene in mente all’analista tutta la vasta gamma di attacchi informatici che può portare problemi alla business continuity, dal classico attacco DDoS, che può bloccare l’accesso a siti internet istituzionali, ai più seri e complessi ransomware, che ultimamente terrorizzano Enti Locali e Pmi, finendo con i più gravi casi di spionaggio industriale, che permettono di rubare segreti aziendali da sotto il naso dei proprietari con pochi click ben piazzati.

Concludendo la lista dei classici rischi informatici, all’ultimo posto di solito si posiziona l’assenza di formazione, ovvero quell’epidemia di errori degli utenti delle organizzazioni con cui tutti i Ciso combattono quotidianamente e che, oltre a mettere a repentaglio anche il più sicuro dei perimetri informatici, può portare a danni gravi tanto quanto i rischi sopra elencati, con l’inciso che molti attacchi sono possibili proprio grazie all’assenza di formazione informatica degli utenti.

Al termine di questa breve e per niente esauriente lista di rischi informatici, possiamo osservare come la distinzione tra rischio fisico e informatico sia sostanzialmente rimasta uguale dagli anni ’80, ovvero la netta divisione tra la gestione della Pubblica Sicurezza dell’agente in strada e del funzionario dal rischio di attacco informatico perpetrato da un hacker in qualche luogo remoto, con tutti i parallelismi del caso nella Sicurezza privata. Questi due mondi, fisico e informatico, raramente si incontrano se non in via incidentale quando, ad esempio, un attacco informatico porta conseguenze di ordine pubblico o quando durante un controllo casuale delle Forze dell’Ordine in strada, casualmente, qualche ricercato per crimini informatici viene identificato e fermato. Si tratta in entrambi i casi di situazioni limite che si possono contare sulle dita di una mano.

Questa dicotomia tra mondo fisico e informatico, nonché la suddivisione analitica tra rischio fisico e informatico, deve essere riscritta nella dimensione della Pubblica Sicurezza così come nella Sicurezza Privata ed è necessario fare un salto di consapevolezza collettiva con estrema velocità.

Le motivazioni sono di due ordini: in primo luogo la facilità di utilizzo degli strumenti da hacker, come il sistema operativo per eccellenza Kali Linux che, con la sua vasta gamma di programmi da hacker preimpostati, permette potenzialmente a chiunque con un minimo di predisposizione di imparare a penetrare in un sistema informatico con lo stesso sforzo con cui un diciottenne impara a guidare un’automobile.

La seconda motivazione, forse per molti inedita, è che l’evoluzione tecnologica ha creato tools da hacker portatili e tascabili della grandezza di un portachiavi, che si possono utilizzare per aggirare e sbloccare una vasta gamma di sistemi di difesa passiva, di dispositivi e di reti senza fili. Non sono strumenti destinati a un ristretto numero di utenti ma oggetti commercializzati, acquistabili a poche centinaia di euro e disponibili nella casa di chiunque in un paio di settimane.

L’esempio più concreto è Flipper Zero, ovvero un piccolo dispositivo contenente: un modulo per intercettare ed emulare onde sotto 1GHz, un’antenna 433MHz con copertura di 50 metri, un lettore ed emulatore di Rfid a 125kHz, un lettore ed emulatore di Nfc, un modulo Bluetooth, un modulo infrarossi, un modulo Touch Memory (i-Button), Gpio (adattatore per inserire ulteriori antenne), una porta Usb (per attacchi ad altro dispositivo tramite cavo) e un lettore MicroSD, il tutto alimentato da una batteria integrata da 2000 mAh. Inoltre, è possibile assemblare il dispositivo di base con l’aggiunta di antenne Wi-Fi o di altro tipo. Il dispositivo posto in commercio è tutt’altro che finito. Una volta ricevuto a casa è possibile interfacciarsi con una folta community di hacker e sviluppatori che mette a disposizione in continuazione programmi aggiuntivi con il quale il dispositivo può essere aggiornato e potenziato, sia con database contenenti librerie di codici per forzare qualsiasi tipo di dispositivo di difesa passiva, ma anche con nuovi programmi e funzionalità in continua creazione. Il fatto di avere una community molto attiva, in particolare su un server Discord, rende piuttosto difficile inquadrare completamente le funzionalità di questo tipo di tools da hacker, essendo in continua evoluzione.

Questo tipo di attivismo della community è stato un punto essenziale già dalle prime fasi della creazione del dispositivo. Si tratta di un progetto nato nell’estate 2019 e inserito su un sito di raccolta fondi per progetti, Kickstarter, da parte di un collettivo di hacker russi facenti parte del Neuron Hackerspace di Mosca. L’obiettivo iniziale era di arrivare a 60 mila dollari, obiettivo raggiunto in appena 8 minuti dall’apertura della campagna. In 29 ore avevano già raccolto oltre 1 milione di dollari. La campagna si è conclusa con la raccolta di oltre 4 milioni 800 mila dollari da oltre 30 mila sostenitori.

Incrociando i dati accessibili sul numero di dispositivi ordinati e provenienza degli ordini, ad oggi è possibile stimare che in Italia vi siano tra i 1000 e i 3000 dispositivi Flipper Zero. Essendo partita la commercializzazione del prodotto solo dall’estate 2022, è possibile immaginare che i numeri saliranno. È altresì possibile supporre che gran parte di questi dispositivi sia in mano a semplici appassionati, informatici, pentester di aziende e in generale soggetti con profili di rischio criminale potenzialmente bassi o nulli. Tuttavia, rispolverando la buona e vecchia griglia del rischio, le probabilità di imbattersi in un soggetto criminale con a disposizione dispositivi di questo tipo salirà continuamente nel tempo e il danno che un soggetto criminale può fare con un dispositivo di questo tipo è potenzialmente altissimo, l’unico limite ai danni fattibili è la fantasia.

La cronaca ci racconta come nell’estate 2022, a pochi giorni dalla commercializzazione del dispositivo, l’hacker noto su Twitter come @d0tslash, leggendo il manuale tecnico, ha scoperto la frequenza per disattivare a distanza, con Flipper Zero, i cani robotici della cinese UnitreeRobotic, noti per avere anche utilizzi militari e di polizia.

Ma le possibilità di utilizzo criminale sono molte altre, basti pensare che la maggior parte di comandi, questure, caserme o carceri hanno un accesso sul retro con cancello elettronico per l’uscita dei mezzi, che diventerebbe accessibile in pochi istanti a chiunque avesse un dispositivo di questo tipo, magari con intenti di terrorismo; immaginate se in un evento pubblico, magari con un maxischermo, venisse proiettato sullo schermo un falso messaggio di allarme tale da mandare in panico la folla perché qualcuno ha avuto per pochi istanti accesso fisico alla console; oppure se in un palazzo riconosciuto come obiettivo sensibile, un malintenzionato superasse i tornelli sfruttando le funzionalità Rfid del dispositivo o, concludendo, sarebbe anche estremamente facile bloccare tutte le funzionalità Wi-Fi di un ufficio pubblico o di un’azienda al fine di creare caos, di avere un diversivo per consumare ulteriori reati o semplicemente per “divertirsi”.

Questa piccola lista di eventi verosimili, tutt’altro che esaustiva, si colloca in una nuova ottica della gestione del rischio della Pubblica Sicurezza e della Sicurezza aziendale.

Vi è un possibile primo rimedio a disposizione degli operatori e della magistratura per prevenire situazioni di questo tipo ed è l’assimilabilità di tali dispositivi agli strumenti da scasso, facendo leva sulle potenzialità dello strumento di aprire casseforti, porte elettroniche, cancelli e simili.

Infatti, non esiste una legge specifica che regoli la detenzione di attrezzi da scasso, bensì dell’uso che ne viene fatto. In particolare, l’articolo 707 c.p., un reato di sospetto cui elemento costitutivo del reato e conditio sine qua non al suo concretizzarsi è che il soggetto attivo appartenga ad una categoria ben precisa: quella del condannato per delitti o contravvenzioni determinati da motivi di lucro o contro il patrimonio. L’assimilabilità del dispositivo da hacker al 707 c.p. permetterebbe, in prima istanza, di eliminare problemi e sospetti su soggetti incensurati che venissero trovati in possesso del dispositivo per scopi di diletto o per lavoro, lasciando eventuali problemi legali ai soggetti con precedenti specifici che non si dimostrano in grado di giustificarne il possesso. In secondo luogo, si potrebbe estendere anche ai tools da hacker le fattispecie di perquisizione disciplinata da leggi speciali e in particolare la perquisizione sul posto prevista dall’art. 4 legge 152/75. Ai sensi dell’art. 4, si legittima la perquisizione in casi eccezionali di necessità ed urgenza che non consentono di ricorrere tempestivamente al Pubblico Ministero per ottenere un decreto di perquisizione; deve essere in corso un’operazione di polizia; la perquisizione deve essere finalizzata alla ricerca di armi, esplosivi e strumenti di effrazione e, in ultima istanza, si devono rinvenire delle persone la cui presenza e/o atteggiamento non appaiano giustificabili in relazione a specifiche e concrete circostanze di tempo e di luogo.

Il combinato disposto dell’art 707 c.p. e dell’art. 4 della legge 152/75 permetterebbe di intervenire sul rinvenimento di dispositivi da hacker, come quello descritto, con strumenti già disponibili nel nostro ordinamento giuridico senza sfociare in una repressione eccessivamente penalizzante.

Conclusioni 

L’Assimilabilità dei tools da hacker, come Flipper Zero, a strumenti di effrazione/attrezzi da scasso può essere solo una soluzione momentanea e giuridicamente labile in dibattimento. Non bisogna demonizzare i tools da hacker portatili, anche perché nelle giuste mani possono essere un ottimo ausilio per informatici esperti che si occupano di pentesting, tuttavia, è necessario che si dia priorità a creare un quadro giuridico preciso per regolare questo tipo di dispositivi senza un’inutile repressione che risulterebbe anacronistica rispetto allo sviluppo tecnologico che stiamo vivendo. Altrettanto prioritario risulta sorpassare la mentalità che divide la Sicurezza fisica e quella informatica in due discipline, con esperti che rimangono nel proprio ambito e solo incidentalmente incontrano l’altro.

In un mondo in cui la tecnologia è in rapidissima evoluzione, in cui le città si stanno trasformando in Smart City, piene di tecnologia a regolarne ogni funzione, non possiamo permetterci di non considerare le contaminazioni che la Sicurezza informatica sta portando all’interno della Pubblica Sicurezza e della Sicurezza aziendale. Altresì, serve formare una nuova categoria di esperti di “Sicurezza ibrida” che siano in grado di gestire i classici paradigmi della Sicurezza fisica ma che siano altresì in grado di intellegere i nuovi rischi informatici portati dall’espansione della tecnologia. In ultima istanza, la conoscenza della “Sicurezza ibrida” deve essere anche fruibile a tutti gli operatori su strada, di Pubblica Sicurezza come di Sicurezza privata, a cui devono essere forniti tutti gli strumenti per riconoscere l’insorgere di minacce informatiche ad esempio, banalmente, riconoscere i dispositivi come quelli descritti quando li vedono.

Utilizzare la tecnologia odierna con i protocolli di sicurezza fisica di 20 anni fa significa esporsi in modo incontrollato a una vasta gamma di nuovi rischi e creare grosse brecce nella sicurezza di ogni organizzazione. L’ostacolo nella Sicurezza informatica è sempre la percezione del rischio ma dove il rischio non può essere percepito facilmente è compito di chi ha nozione di quel rischio comunicarlo. In una parola, serve consapevolezza. Una nuova consapevolezza per nuovi rischi e, di conseguenza, nuovi modelli di sicurezza.

×

Iscriviti alla newsletter