Ehi capitano, cosa c’è che non va sul tuo vascello? Le scatole nere delle navi sono vulnerabili agli attacchi degli hacker

In genere diciamo “scatola nera” quando parliamo di registratori di dati aerei, ma questi dispositivi vengono utilizzati anche sulle navi. Si chiamano Voyage Data Recorder (Registratore dei dati di viaggio) o VDR. Le scatole nere navali sono obbligatorie per tutte le navi passeggeri e mercantili superiori alle 3.000 tonnellate lorde.

Proprio come la scatola nera di un aereo, le VDR registrano tutto ciò che avviene durante la navigazione: condizioni climatiche, immagini radar, posizione, velocità e tutte le comunicazioni audio. In caso di incidente questo dispositivo, posto dentro una capsula protettiva con un illuminatore acustico, diventa una versione automatizzata del diario di bordo.

Il VDR aiuta chi conduce un’indagine a chiarire cosa sia accaduto ad una barca e perché. Per esempio, questo dispositivo venne utilizzato nel processo contro il capitano e i membri dell’equipaggio della famigerata Costa Concordia. La loro negligenza colposa causò la morte di oltre trenta passeggeri e la distruzione della nave.

I VDR sono utilizzati per indagare su disastri di tutti i tipi, compresi quelli ambientali. Nel 2007 la nave container Cosco Busan, complice la fitta nebbia, colpì con forza la barriera protettiva della Delta Tower del San Francisco — Oakland Bay Bridge. Dai suoi serbatoi si riversarono nella Baia di San Francisco quasi 200.000 litri di combustibile pesante. L’equipaggio rifiutò di collaborare, ma i dati estratti dal VDR della nave aiutarono il National Transportation Safety Board a stabilire le cause dell’incidente.

What is a plane's "black box" really? https://t.co/cXLa0FE3ba #airplanes pic.twitter.com/3iCiJ9m6sm

— Kaspersky Lab (@kaspersky) November 12, 2015

Malauguratamente, a volte i registratori dei dati di viaggi non funzionano così bene come si crede. Come nell’industria navale in generale, gli sviluppatori dei VDR non si preoccupano molto della sicurezza e della protezione in rete dei loro dispositivi connessi. Inoltre, molti armatori si servono di mezzi antiquati, che supportano un ormai superato Windows XP. Di conseguenza, appaiono spesso sul mercato dispositivi vulnerabili con meccanismi dal software scarsamente aggiornato ed una cattiva crittografia. In questo caso, tutte le parti interessate, dai cybercriminali ai marinai, agli armatori, possono modificare o cancellare i dati registrati, e ciò rende del tutto inutile un VDR.

More connected, less secure: how we probed #IoT for vulnerabilities https://t.co/f4Y6iXLG8U #internetofthings pic.twitter.com/ZwFbvGGW6G

— Kaspersky Lab (@kaspersky) November 5, 2015

Nel 2012 un mercantile Prabhu Daya che batteva bandiera di Singapore affondò un peschereccio al largo della costa de Kerala e tentò di abbandonare il luogo dell’incidente. Questo ha portato alla morte di due pescatori e alla scomparsa di un terzo che in seguito venne tratto in salvo da un altro peschereccio della zona.  Durante le indagini le autorità scoprirono che un membro dell’equipaggio aveva deliberatamente danneggiato i dati sul VDR: aveva inserito una pen drive nel dispositivo infettandolo con un virus, che a sua volta aveva alterato tutti i registri. Inoltre, il principale sistema informatico di Prabhu Daya era anch’esso infettato, poiché non aveva alcuna soluzione di sicurezza.

Di recente, gli esperti di sicurezza di IOActive hanno esaminato un registratore dei dati di viaggio modello VR-3000 prodotto dalla sopramenzionata ditta Furuno. Hanno scoperto come il dispositivo sia piuttosto vulnerabile agli attacchi degli hacker:

“Molteplici servizi sono soggetti agli overflow di buffer e a vulnerabilità dei comandi di iniezione. Il meccanismo per aggiornare il firmware è difettoso. La crittografia è debole. In sostanza, quasi l’intero progetto dovrebbe essere considerato poco sicuro.”

Ne consegue che terroristi, pirati e altri malfattori possano spiare a distanza le conversazioni dei membri dell’equipaggio e le loro chiamate radio, come pure accedere, modificare o cancellare i dati conservati sul VDR.

Hacked at sea: Researchers find ships’ data recorders vulnerable to attack https://t.co/VLaGtfgV4k by @thepacketrat

— Ars Technica (@arstechnica) December 10, 2015

Molti sistemi VDR, sebbene non connessi direttamente a Internet, utilizzano Ethernet e accedono alla stessa rete dei sistemi di comunicazione satellitare, già noti per la loro vulnerabilità. Ecco perché ai criminali non serve trovarsi a bordo per avere accesso ai dati DVR: gli basta penetrare nel sistema informatico principale di una nave.

Ed è assolutamente possibile. Per esempio, nel 2013 i ricercatori sulla sicurezza scoprirono come dirottare l’Automatic Identification System, or AIS, usato da circa 400.000 navi in tutto il mondo.

Maritime industry is easy meat for cyber criminals – http://t.co/arylkFBOTc pic.twitter.com/v6QKzcjJXM

— Kaspersky Lab (@kaspersky) May 22, 2015

Nell’ottobre 2014 IOActive ha informato la Furuno di queste vulnerabilità. Lo sviluppatore ha promesso di fornire una patch “nel corso del 2015”. Non si sa ancora se le patch siano state distribuite agli operatori navali, dato che da allora non si è saputo più niente da parte della Furuno.

Fino a poco tempo fa l’industria navale non si era preoccupata molto della sicurezza informatica, e ha commesso un errore: dato che il 90% dei beni in tutto il mondo viene trasportato via mare, le spedizioni marittime saranno sempre nel mirino degli hacker. Oggi si pone sempre più attenzione alle questioni di cybersicurezza, ma per sfortuna è quasi impossibile cambiare in fretta o aggiornare l’equipaggiamento dell’intera flotta mercantile globale, che solo nel 2014 consisteva in più di 85.000 navi e che è destinata a crescere di anno in anno. Ma i cambiamenti sono in corso, e ciò è positivo.