Dalla spedizione di Colombo al moderno GPS: l’ultima frontiera dell’hacking

Il 12 ottobre del 1492, con l’aiuto della monarchia spagnola, Cristoforo Colombo salpò con le sue tre navi raggiungendo quello che credeva (e di cui fu convinto fino al giorno della sua morte) fosse l’India. In realtà, come oggi sappiamo, in seguito a calcoli geografici incorretti, il navigatore genovese raggiunse l’attuale archipelago delle Bahamas.

hacker_GPS

Il 12 ottobre del 1492, con l’aiuto della monarchia spagnola, Cristoforo Colombo salpò con le sue tre navi raggiungendo quello che credeva (e di cui fu convinto fino al giorno della sua morte) fosse l’India. In realtà, come oggi sappiamo, in seguito a calcoli geografici incorretti, il navigatore genovese raggiunse l’attuale archipelago delle Bahamas.

Hackerare il GPSOggi non è più possibile commettere errori di questo tipo; con i satelliti GPS è possibile inviare un segnale e calcolare l’esatta posizione di un oggetto sulla terra. Nato come sistema di navigazione per navi militari, il Global Positioning System – GPS diventò velocemente uno strumento mainstream per navigatori e turisti installato anche su alcuni robot semi-automatizzati. Per fare in modo che questo sistema di tracking fosse disponibile a tutti, i creatori del GPS hanno evitato qualsiasi tipo di crittografia nella versione civile del sistema satellitare; e questo ha reso il sistema GPS vulnerabile agli attacchi degli hacker.

Un paio di mesi fa, un grande yacht di lusso che stava navigando nel mar Mediterraneo ha deviato rotta dopo che un gruppo di ricercatori ha costruito un dispositivo in grado d’ingannare il ricevitore GPS della nave e prenderne il controllo mediante tecniche di spoofing.

Il progetto è stato realizzato e concepito da un gruppo di ricercatori della University of Texas di Austin. Secondo i ricercatori, grazie allo spoofing, un hacker può creare un falso segnale GPS ad uso civile, più “localizzato” e forte di quello satellitare che trasmette segnali GPS civili reali. In questo modo, è possibile compromettere i ricevitori GPS, facendo credere loro che il segnale GPS falso sia quello legittimo.

Come ci sono riusciti? In primo luogo i ricercatori si trovavano sullo yatch “milionario” (il “White Rose of Drachs”), che stava viaggiando in acque internazionali dal Principato di Monaco all’isola di Rodi in Grecia. Gli esperti portavano con sé una blue box delle dimensioni di una valigetta (un vero e proprio dispositivo di spoofing) con il quale, dopo averlo puntato in direzione delle due antenne GPS della nave, sono riusciti a confondere il sistema GPS della nave con falsi segnali, ottenendo il controllo completo della rotta di navigazione.

L’operazione è passata inosservata perché i segnali falsi non erano distinguibili da quelli veri. Ciò significa che è possibile mettere in atto un potenziale attacco senza che l’equipaggio se ne accorga.

Lo spoofing è quel processo mediante il quale un hacker crea un falso segnale GPS ad uso civile, più localizzato e forte di quello satellitare

Il modo in cui l’attacco è stato realizzato è il seguente: i ricercatori non hanno utilizzato un falso GPS per alterare direttamente la rotta della nave, ma per indurre l’equipaggio ad alterarla loro stessi. I ricercatori hanno praticato lo spoofing sul GPS, facendo credere all’equipaggio che la nave stava andando leggermente fuori rotta; l’equipaggio, per rimediare, ha ricalcolato la rotta e ha direzionato la nave verso quella che poi sarebbe diventata una rotta totalmente diversa dall’originale.

“La nave girava e tutti lo potevano percepire, ma il display di navigazione e l’equipaggio vedevano solo una linea retta” afferma Todd Humphreys, Project leader dell’operazione.

I ricercatori affermano che il loro strumento di spoofing potrebbe essere utilizzato in ben altri modi, non solo per dirottare uno yatch da 60 milioni di euro. Infatti, lo scorso anno, Humphreys era a capo di un gruppo di ricerca che stava studiando come  realizzare un simile sabotaggio su un veicolo aereo. La ricerca sembra voler dimostrare che l’intera industria dei trasporti potrebbe essere in pericolo.

“Questo esperimento è applicabile ad altri veicoli semi-automatici, come gli aerei pilotati da sistemi informatici” afferma Humphreys. “Dobbiamo assolutamente metterci all’opera e trovare velocemente un modo per proteggerci da questa minaccia”.

Infatti, alla fine del 2011, è emerso da alcuni report che l’esercito iraniano avrebbere sfruttato una vulnerabilità simile per far atterrare un drone statunitense (un aeromobile a pilotaggio remoto) all’interno dei loro confini.

Il problema che stiamo affrontando è piuttosto evidente. Rilasciare una patch per un server è piuttosto facile. Risolvere una vulnerabilità di un browser che ha colpito 100 milioni di computer è un compito arduo. Mentre applicare una patch ai miliardi di chip con  GPS integrato è praticamente impossibile. Tuttavia non sembra così complicato applicare una patch a un software per satellite GPS. Qual è quindi il problema? Il punto è che l’operazione potrebbe richiedere l’installazione di un nuovo hardware, e ciò implicare la necessità di spendere tempo e denaro nell’invio di un nuovo hardware nello spazio (ovvero, inviare nello spazio un nuovo satellite GPS di ultima generazione).

Che cosa possiamo fare per proteggerci da queste eventualità? Forse non ci resta che pregare. L’industria dei trasporti deve prendere sul serio questo tipo di minacce e iniziare a pensare in che modo risolvere i problemi appena sollevati. Per quanto riguarda il caso della nave di cui abbiamo parlato in questo post, ricordiamo che è stato realizzato da un gruppo di ricercatori universitari a scopi scientifici. Tuttavia, è bene essere consapevoli del fatto che stiamo entrando velocemente in un mondo in cui, con un po`di abilità, è praticamente possibile hackerare qualsiasi cosa. E come ci ha ricordato due settimane fa Byron Acohido, giornalista di USA Today, durante un intervento presso il “Visa Global Security Summit”: “Quello che possono fare questi ‘ragazzi intelligenti’ oggi, chiunque lo potrà fare in futuro”.

 

Consigli