La Sicurezza dei Download di Software e Aggiornamenti dal Web, con particolare attenzione al fenomeno degli Smart Objects

L’aggiornamento dei software non è da considerarsi una pratica opzionale, gli esperti di sicurezza informatica concordano già da tempo sul fatto che l’aggiornamento continuo dei software sia uno strumento primario per innalzare la sicurezza di un sistema. Per quanto esistano apparecchiature e programmi in grado di scaricare da internet e installare  automaticamente i propri aggiornamenti software, sono molti i dispositivi o situazioni che richiedono invece l’installazione manuale dei software e aggiornamenti da parte di un operatore.
In questo scenario, è pratica frequente, sia per non addetti ai lavori che per i tecnici specializzati, quella di effettuare ricerche e scaricare dal web i software quali drivers, firmwares, e aggiornamenti, sia per apparecchiature che per sistemi operativi. Bisogna comprendere che, l’alterazione da parte di una entità malevola - chiamiamolo attaccante - di un software scaricato dal web, potrebbe avere conseguenze gravissime, tra cui: (i) la presa di controllo di una apparecchiatura da parte dell’attaccante o (ii) alterazione del comportamento della apparecchiatura, e in casi limiti, anche (iii) il sabotaggio. Con questi presupposti, è lecito chiedersi quale sia il livello di sicurezza attuale nella ricerca e download dei software attraverso i canali web, e in quali casi sia garantita l’autenticità e integrità dei software scaricati.

Il caso degli Smart Objects

La problematica descritta acquisisce una dimensione ancora maggiore con l’affermarsi dell’Internet of Things che espande, anche nelle case e nelle città, la presenza di una nuova tipologia di apparecchiature denominate Smart Objects (oggetti intelligenti).
Gli Smart Objects (SO) sono apparecchiature incorporanti dei microcomputer che controllano le loro funzioni, microcomputer spesso in grado di interagire con l’operatore umano o, attraverso la rete internet, di comunicare con altri SO e server remoti.
Esempi di Smart Objects sono i termostati intelligenti per uso domestico o industriale, i contatori intelligenti per luce e gas, sistemi per il controllo industriali (ICS), videocamere (IP Camera), dispositivi di rete come router e modem .. e ancora, serrature, automobili, strumentazione medica e dispositivi critici come i pacemaker. Recentemente, anche tradizionali elettrodomestici come televisori, lavatrici, lavapiatti stanno diventando SO (1). Gli SO, come ogni altro sistema computerizzato, possono soffrire di vulnerabilità software, realtà espressa in modo chiaro e coinciso dalla cosiddetta legge di Hypponen, “Ogni volta che un apparecchio è descritto come intelligente, esso è vulnerabile”, ma il problema della sicurezza assume con gli SO un aspetto inedito.
Mentre i normali sistemi informatici solitamente operano su dati, un SO potrebbe anche agire direttamente sull’ambiente fisico circostante. La violazione di un SO da parte di un attaccante o l’installazione di software alterato in un SO permetterebbe quindi all’attaccante di agire anche sull’ambiente fisico, danneggiando l’apparecchiatura stessa o l’ambiente circostante. Per cogliere la gravità si consideri il caso della domotica, di utensili industriali, o delle automobili... solo per citare alcuni domini.  Quella descritta non è una minaccia ipotetica, le entità interessate ad attaccare un SO possono essere molte: concorrenti commerciali, vandali, gruppi terroristi e anche entità statali. L’aggiornamento software per gli SO è quindi un problema che va studiato con attenzione, assieme alla sicurezza dei canali di distribuzione web dei loro software e aggiornamenti.

La sicurezza dei protocolli alla base del World Wide Web

Ma per quale motivo la ricerca e il download di software e aggiornamenti dal web può risultare insicuro? Il primo fattore di rischio è la capacità effettiva dell’operatore umano, nella ricerca e navigazione sul web, di distinguere i siti di supporto ufficiali delle compagnie produttrici da siti falsi, appositamente preparati da attaccanti al fine di distribuire con l’inganno i software malevoli. Generalmente un operatore esperto è in grado di distinguere i siti web delle compagnie, o i siti con alta reputazione, dai siti inaffidabili e malevoli. Il secondo fattore, quello più insidioso, è legato alla natura stessa della rete internet e del protocollo HTTP (HyperText Transfer Protocol, protocollo alla base del World Wide Web), protocollo utilizzato da tutti i web browser - e.g., programmi quali Google Chrome e Mozilla Firefox - per scaricare dai server web le pagine e i loro contenuti. Il protocollo HTTP, la cui prima versione nasce nel 1989, non era stato progettato per proteggere la riservatezza e l’integrità dei dati trasferiti, o per verificare con certezza l’identità del mittente di tali dati. Solo nel 1994, al fine di creare canali web sicuri, fu introdotto il protocollo HTTPS - dove S sta per Secure - che sopperì alle precedenti carenze incapsulando il protocollo HTTP in un canale SSL/TLS, che utilizza tecnologie crittografiche per garantire finalmente l’autenticazione del mittente, la riservatezza e integrità dei dati trasmessi. L’adozione del protocollo HTTPS su una connessione web rese quindi difficilissima l’alterazione, da parte di un attaccante, dei dati trasmessi tra il web browser (il programma usato per navigare nel web) e i server web. Purtroppo, ancora oggi, l’adozione del protocollo HTTPS da parte dei server web delle compagnie non è totale e vi sono molti server web che continuano a fornire tutti o parte dei contenuti utilizzando il solo protocollo HTTP. Concretamente, al fine di modificare i dati trasmessi tra un server web e il browser web di un operatore, un attaccante può far transitare la comunicazione su un dispositivo da lui controllato. L’attaccante ha a disposizione diversi metodi per inserirsi nella comunicazione, ad esempio: (i) la creazione di punti di accesso Wireless fraudolenti, (ii) la deviazione del traffico internet inviando messaggi fraudolenti nel sistema di routing BGP di Internet2, o ancora (iii) il controllo di un dispositivo di rete, vulnerabile, ad esempio un router, presente nel percorso tra il PC dell’operatore e il server web. Questi metodi sono stati già stati utilizzati in passato e sono trattati nella letteratura tecnico scientifica, l’intromissione di un attaccante nella comunicazione non è quindi un teatro ipotetico. Nel caso di intromissione di un attaccante nella comunicazione, il protocollo HTTPS garantirebbe comunque autenticazione del mittente, la riservatezza e integrità dei dati scambiati con il server web. Al contrario, il protocollo HTTP presterebbe completamente il fianco all’attaccante permettendogli l’alterazione dei dati scambiati, ad esempio delle pagine web, senza alcuna possibilità per il web browser di accorgersi delle modifiche fraudolente. Da questo emerge che l’onere della sicurezza delle comunicazioni (e il trasferimento di software) via web, tra il sito di una compagnia e i suoi clienti, ricade soprattutto sulla sensibilità della compagnia stessa alle problematiche della sicurezza informatica. Una compagnia responsabile dovrebbe premunirsi ed adottare il solo protocollo web HTTPS e abbandonare completamente il protocollo HTTP.

La sensibilità delle compagnie produttrici al problema

Lo studio portato avanti dal Machine Learning Lab (MLL) dell’università di Trieste, nell’ articolo “Back To The Basics: Security of Software Downloads for Smart Objects”, pubblicato a fine novembre 2018, ha voluto proprio misurare l’attenzione sulla sicurezza informatica, di 163 grandi compagnie produttrici, operanti nel campo dell’informatica, della strumentazione industriale e telecomunicazioni, misurando la sicurezza dei loro canali web ufficiali di distribuzione di software e aggiornamenti per i loro prodotti. Complessivamente, lo studio ha rilevato le caratteristiche di 200 diverse aree di download per le 163 compagnie oggetto di indagine. Nel dettaglio i ricercatori del MLL hanno sistematicamente effettuato ricerche di software, e aggiornamenti software, per una varietà di dispositivi industriali e consumer, usando il motore di ricerca di Google. I ricercatori del MLL hanno adottato il comportamento di operatori esperti e prudenti, limitandosi nella ricerca, e download, ai soli siti ufficiali delle compagnie produttrici. La lista dei produttori e dei prodotti, oggetti di indagine, è stata ricavata sia da ricerche sui negozi online (Amazon), considerando i prodotti più in vista, sia dalla lista3 delle compagnie produttrici con maggiori entrate nel campo dell’elettronica e telecomunicazioni. Riportiamo nella tabella 1 una sintesi dei risultati emersi dall’indagine, evidenziando le percentuali di siti - le aree di download nello specifico - considerati sicuri, parzialmente sicuri, e totalmente insicuri:         

I siti sicuri sono quelli dove la connessione all’area di download e lo scaricamento dei software può essere effettuata solo con il protocollo HTTPS.
I siti parzialmente sicuri sono quelli in cui la compagnia permette di connettersi all’area di download sia con il protocollo HTTP che HTTPS, o in cui o la pagina o i software siano scaricati con HTTP. Il fatto che la prima connessione al sito avvenga con HTTP o con HTTPS dipende ad esempio dal link ottenuto dal motore di ricerca.
I siti insicuri sono quelli per cui la compagnie forniscono solo connessione con protocollo HTTP, per tutti i contenuti delle aree di download.
I casi in cui il livello di sicurezza è sconosciuto , sono quelli in cui non si sono trovati sui siti delle compagnie i software e gli aggiornamenti o questi vengono forniti con canali non web - e.g., contatto diretto con il supporto.

Sicurezza del Download Software

Un altro dato emerso nell’indagine del MLL, approfondendo il caso dei siti parzialmente sicuri, è che il 33.3% di aree di download software accessibili con il protocollo HTTP, attuano poi il download dei software con il protocollo HTTPS (caso denominato H->S) e che il 63.3% di aree di download accessibili in HTTPS attuano poi, surrettiziamente, i download dei software con il protocollo HTTP (caso S->H). Importante chiarire che entrambi i casi, H->S e S->H, alzano di pochissimo l’asticella della sicurezza reale, fornendo però all’operatore un falso senso di sicurezza.

Tecnicamente, ogni attaccante in grado di intervenire su un sito che fornisce tutti i contenuti solo su HTTP sarebbe ugualmente in grado di intervenire anche nei casi S->H e H->S inducendo lo scaricamento dei propri software malevoli. Proprio per il falso senso di sicurezza associato, l’incidenza del 63.3% del caso H->S risulta a nostro avviso uno dei dati più gravi rilevati dall’indagine del MLL.
La ricerca svolta dal MLL ha anche misurato l’adozione di moderne policy, ad esempio header HTTP specifici come HSTS (strict transport security), policy atte a forzare le comunicazioni dei browser web verso la versione HTTPS di un sito. Anche in questo caso il dato rilevato è imbarazzante, con una adozione di HSTS solamente da parte del 25% delle compagnie. Lo spaccato emerso da questa indagine non risulta positivo e ha evidenziato una grave mancanza di attenzione per la sicurezza informatica, con grande rischio per la propria clientela, anche da parte di grandi compagnie tecnologicamente avanzate, operanti nel campo dell’informatica e telecomunicazioni.

Regole di comportamento per la sicurezza

A fronte di questa indagine, quello che possiamo raccomandare ai lettori è di contattare e sensibilizzare le compagnie fornitrici, di software ma soprattutto di SO per uso domestico o industriale, sulle problematiche della sicurezza dei siti web, soprattutto delle aree web di download e supporto.
Consigliamo sempre ai lettori di provare a connettersi, sempre e solo, con il protocollo HTTPS alle pagine web, operazione possibile per i siti delle compagnie che forniscono anche questa possibilità. L’ultima regola di condotta è quella di verificare sempre la correttezza dell’autore nelle firme digitali dei software scaricati dal web, quando disponibili, prima di procedere alla loro installazione. Si raccomanda la lettura dell’articolo “Back To The Basics: Security of Software Downloads for Smart Objects”4, del gruppo di ricerca del Machine Learning Lab dell’Università di Trieste, che contiene molti utili riferimenti per l’approfondimento.

Fabiano Tarlao è stato ricercatore nel campo del Machine Learning e della sicurezza informatica al Dipartimento di Ingegneria ed Architettura dell’Università di Trieste. Dopo il conseguimento del Dottorato di Ricerca in Ingegneria dell’Informazione all’Università di Trieste ha pubblicato articoli sulla sicurezza nel Web e sulle applicazioni del Deep Learning per fronteggiare il tipo di truffa denominato “Phishing”. Nel campo del Machine Learning ha studiato in particolare applicazioni degli Algoritmi Genetici, conseguendo nel 2016 con il gruppo del Machine Learning Lab il secondo posto al prestigioso premio “Humies”.

1 - https://www.csoonline.com/article/3222068/hacking/465000-abbott-pacemakers-vulnerable-to-hacking-need-a-firmware-fix.html Accessed: 2018-8-18.
Russell Brandom. 2015. New vulnerability lets attackers hijack Chrysler vehicles remotely.
https://www.theverge.com/2015/7/21/9009213/chrysler-uconnect-vulnerability-car-hijack.html
Accessed: 2018-8-18.
Lorenzo Franceschi-Bicchierai. 2017. A Hackable Dishwasher Is Connecting Hospitals to the Internet of Shit.
https://motherboard.vice.com/en_us/article/pg9qkv/a-hackable-dishwasher-is-connecting-hospitals-tothe-internet-of-shit.html Accessed: 2018-8-19.

2 - Andy Greenberg, Lily Hay Newman, Emily Dreyfuss, Brian Barrett, Danny Gold, and Issie Lapowsky.
2014. Hacker Redirects Traffic From 19 Internet Providers to Steal Bitcoins. Wired (Aug. 2014).

3 - https://en.wikipedia.org/wiki/List_of_largest_manufacturing_companies_by_revenue

4 - Bartoli, A., Medvet, E., De Lorenzo, A., & Tarlao, F. (2018, November). Back To The Basics:
Security of Software Downloads for Smart Objects. In Proceedings of the 4th EAI International Conference on Smart Objects and Technologies for Social Good (pp. 71-76). ACM.4
http://machinelearning.inginf.units.it/publications/international-conference-publications/backtothebasic ssecurityofsoftwaredownloadsforsmartobjects