Daniele Antonioli è Professore di Eurecom, un’Università e Centro di ricerca su scienze digitali in Francia. Bluetooth sotto attacco a quanto pare con un bug che nei suoi meccanismi di sicurezza mette a rischio moltissimi dispositivi. Che sta succedendo?
Eh sì, direi miliardi di dispositivi, perché questa falla di sicurezza, o bug, che colpisce il Bluetooth alle sue fondamenta, ovvero nel suo standard. Il Bluetooth è una tecnologia che è specificata in una serie di documenti, che appunto sono il Bluetooth standard, e ho trovato una serie di vulnerabilità in questo documento, e quindi queste vulnerabilità poi si applicano a tutti i dispositivi, inclusi i nostri smartphone, i nostri smartwatch, i nostri laptop, e le nostre cuffie gli smartspeaker, ma non solo questi dispositivi, diciamo più lato consumer, ma anche dispositivi poi industriali, dispositivi medici e quindi è un problema molto grave.
Questo bug se dovessi fare un sommario è una combinazione di quattro vulnerabilità, di cui due sono nuove, perché questo poi è un lavoro di ricerca, e queste vulnerabilità permettono di forzare una chiave di sicurezza debole per tutte le connessioni Bluetooth, e questa chiave poi viene calcolata diciamo dall’attaccante, da chi fa questo attacco, e in più viene fatta riutilizzare dai dispositivi vittima nel tempo. A livello tecnico diciamo che questa vulnerabilità rompe due proprietà di sicurezza, che si chiamano forward secrecy e future secrecy, che sono proprietà di sicurezza utilizzate per esempio nelle nostre conversazioni su whatsapp, o su signal.
Cosa succede esattamente quando si utilizza questo bug per fare un attacco, cioè quali sono le conseguenze sui dispositivi e sui loro utilizzatori?
L’attaccante fa due tipi di attacco: il primo si chiama l’attacco man in the middle, dove l’attaccante si posiziona al centro di una connessione sicura tra due dispositivi, come per esempio il mio smartphone e il mio laptop, e il mio smartphone e il mio laptop possono scambiarsi dati sensibili, come delle password, dei pin dei numeri di carta di credito, e l’attaccante può osservare questi dati e prenderli. Inoltre l’attaccante essendo in mezzo può addirittura modificare i messaggi che passano nella connessione e può inserirne di altri, quindi questo è il primo tipo di attacco. Il secondo attacco. che spesso non viene menzionato nelle negli articoli più divulgativi e però è altrettanto importante, è un attacco di impersonation, dove l’attaccante fondamentalmente fa credere alla vittima di connettersi con un dispositivo trusted, quindi una vittima crede di connettere il suo smartphone al suo laptop, e invece in realtà si sta connettendo a un dispositivo in possesso dell’attaccante, e non si rende conto, quindi la vittima, non so, manda un file con del contenuto sensibile e questo file non va a finire nel suo laptop, ma va a finire nel dispositivo del dell’attaccante. Le conseguenze degli attacchi sono molto serie perché l’attaccante può praticamente fare qualsiasi tipo di azione che fa un dispositivo trusted: può non so per esempio intercettare delle telefonate dove una persona parla di cose private e tutto questo lo fa mentre la vittima poi non si rende conto che questa cosa succede.
Tutto questo si inserisce nell’ambito di quella che si chiama Cyber Physical Security che forse non è stata dovutamente attenzionata ed è invece un grande pericolo per tutti…
Sì, sicuramente perché i dispositivi moderni di Cyber Physical utilizzano le connessioni wireless, incluso il Bluetooth o per esempio anche il wifi. Per esempio noi nel 2022 abbiamo fatto uno studio sulle macchine e le macchine sono dei sistemi Cyber Physical e includono il Bluetooth e noi abbiamo trovato un sacco di problemi simili a quelli di bluffs, trovati con questi ultimi attacchi, quindi sicuramente c’è un impatto per i sistemi Cyber Physical.
Come possiamo difenderci dai bluffs?
Per le difese l’utente può fare direi poco, perché una cosa che si potrebbe fare da utenti è disabilitare il Bluetooth, però questa non è una soluzione ottimale. Ci sono per esempio dei dispositivi che non funzionano bene se il Bluetooth non è attivato, faccio un esempio: un IPhone. Un IPhone se uno vuole disattivare il Bluetooth, l’IPhone poi lo riattiva dopo un periodo di tempo. La difesa migliore è quella che viene fatta nello standard. quindi ci dovrebbe essere un update dello standard, nel mio lavoro ho proposto degli update nello standard Bluetooth, che vanno a correggere questi problemi alla radice, le falle, le quattro falle di cui parlavo prima, e i relativi attacchi. quindi li correggiamo alle fondamenta, si dice by design. Il problema è che cambiare lo standard Bluetooth è una cosa molto complessa, perché io lavoro sulla ricerca del Bluetooth oramai dal 2019, e per esperienza so che è molto difficile fare questi cambi. In passato ci siamo riusciti a fare dei cambi, quando abbiamo trovato vulnerabilità critiche simili. però è un ecosistema complesso con un sacco di aziende e l’ultima cosa che loro vogliono è cambiare lo standard. Quindi io ho proposto sia queste difese che richiedono una modifica dello standard, anche se minimale e non so se lo standard verrà cambiato, magari verrà cambiato, ma verranno solo prese delle parti di queste mie difese, e sapendo già questa cosa ho anche proposto delle mitigation, delle mitigazioni, che sono a livello diciamo ‘implementativo’, e che un vendor può prendere e implementare, per esempio Google, Apple e Microsoft so che stanno lavorando su delle difese simili a quelle che ho proposto io, però ovviamente poi le mitigazioni sono mitigazioni, non risolvono il problema alla radice, e miticano gli attacchi e soprattutto possono poi aggiungere minacce ulteriori.
A questo punto ci rendiamo conto che maggiore è la penetrazione digitale, più alti sono di conseguenza i rischi di attacchi evidentemente, ci vuole una cultura della difesa che sia generalizzata e che sia condivisa da tutti. Forse addirittura si dovrebbe cominciare nelle scuole?
Sì sì, sono d’accordo. Non è la prima volta che parlo di una patente della Cyber Security. Penso che ci vorrebbe una cosa come la patente della macchina però per la Cyber Security, per educare diciamo il cittadino medio alle basi della Cyber Security, perché il cittadino medio poi si trova tutti i giorni a utilizzare questi servizi, come per esempio a navigare su Internet o utilizzare delle tecnologie wireless, ma non sa minimamente cosa succede. Penso che se questa ‘patente’, se lo vogliamo chiamare così, della Cyber Security venga fatta in modo giusto, l’esperienza per il cittadino potrebbe essere anche divertente, perché sono anche cose poi interessanti da spiegare, però vanno spiegate in un certo modo, magari non troppo in maniera tecnica, come l’esame della patente della macchina.