{"id":19624,"date":"2020-01-13T10:18:14","date_gmt":"2020-01-13T08:18:14","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=19624"},"modified":"2020-01-15T18:57:15","modified_gmt":"2020-01-15T16:57:15","slug":"36c3-open-source-hardware-dangers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/36c3-open-source-hardware-dangers\/19624\/","title":{"rendered":"Hardware Open Source come soluzione di sicurezza"},"content":{"rendered":"

Dato che molti che credono che il software open-source sia pi\u00f9 sicuro del software proprietario, vediamo ora anche tentativi di applicare una teoria simile allo sviluppo degli hardware. Alla conferenza degli hacker del 36 \u00ba\u00a0 Chaos Communication Congress<\/a> (36C3) del mese scorso, per\u00f2, gli esperti Andrew \u201cbunnie\u201d Huang, Sean \u201cxobs\u201d Cross e Tom Marble hanno sollevato dubbi<\/a> sul fatto che l\u2019impiego dello sviluppo open-source sia sufficiente a risolvere i problemi di affidabilit\u00e0 dell\u2019hardware. Huang ha parlato a lungo dell\u2019argomento.<\/p>\n

Differenze tra hardware e software in termini di affidabilit\u00e0<\/h2>\n

La sicurezza del software open-source<\/strong> non consiste solo nel fatto di essere aperto, ma anche negli strumenti utilizzati che aiutano a garantire che il programma che si esegue nell\u2019endpoint sia fedele al codice sorgente pubblicato. Per esempio, i programmatori firmano il loro software con un certificato digitale<\/a>, e il sistema controlla il certificato prima di eseguire il software sul computer dell\u2019utente.<\/p>\n

Con l\u2019hardware, \u00e8 una questione diversa. Non essendoci equivalenti per la creazione dell\u2019hash o firme digitali, gli utenti non hanno strumenti per verificare l\u2019autenticit\u00e0 dell\u2019hardware<\/strong> rispetto alle informazioni pubblicate in merito. L\u2019ultima volta che un dispositivo o un chip viene effettivamente controllato \u00e8 in fabbrica. E pi\u00f9 lungo \u00e8 il divario tra il controllo in fabbrica e l\u2019utilizzo del dispositivo, maggiori sono le possibilit\u00e0 di un attacco MITM<\/a> di successo.<\/p>\n

Cosa pu\u00f2 andare storto?<\/h2>\n

In generale, pu\u00f2 succedere di tutto ai chip o a interi dispositivi dal momento in cui escono dalla fabbrica e vengono utilizzati per la prima volta. In linea di massima, il firmware dell\u2019hardware pu\u00f2 essere sostituito. (Ok, il firmware \u00e8 in realt\u00e0 un problema di software, quindi pu\u00f2 essere controllato, ma dipender\u00e0 comunque dall\u2019uso dell\u2019hardware durante la verifica). \u00a0Per questo motivo Huang si \u00e8 concentrato su problemi strettamente legati all\u2019hardware, come la sostituzione dei componenti, le modifiche e gli impianti.<\/p>\n

Aggiunta di componenti<\/h3>\n

Al giorno d\u2019oggi, un modulo totalmente non autorizzato pu\u00f2 essere inserito nel cavo di un caricabatteria USB<\/a>. Naturalmente, \u00e8 ancora pi\u00f9 facile manomettere apparecchiature multicomponente pi\u00f9 sofisticate che offrono molto pi\u00f9 spazio per gli impianti. L\u2019unica buona notizia \u00e8 che \u00e8 relativamente facile individuare il chip aggiunto.<\/p>\n

Sostituzione dei componenti<\/h3>\n

Il trucco di sostituzione pi\u00f9 semplice \u00e8 quello di falsificare il marchio. Un esempio reale di falsificazione dell\u2019hardware: un microcontroller che funzionava male presentava il marchio corretto su di un chip completamente diverso. In quella occasione, il trucco consisteva nel sostituire un componente costoso con uno economico, ma la sostituzione avrebbe potuto contenere qualsiasi cosa.<\/p>\n

Modifica del chip<\/h3>\n

La gente crede che i chip non possano essere modificati una volta usciti dalla fabbrica, ma non \u00e8 cos\u00ec. In molti casi quello che vediamo come un singolo chip \u00e8 in realt\u00e0 pi\u00f9 microcircuiti separati in un unico pacchetto. Un cybercriminale esperto pu\u00f2 usare la stessa tecnologia per mettere un altro piccolo pezzo di silicio nello stesso pacchetto e collegare questo impianto ai contatti esistenti.<\/p>\n

\"\"

Chip-on-chip implant. Image source<\/a><\/p><\/div>\n

In effetti, un\u2019apparecchiatura per sfruttare questa vulnerabilit\u00e0 dell\u2019hardware<\/a> \u00e8 relativamente poco costosa e facilmente disponibile (secondo il relatore, una macchina usata per il wirebonding proveniente dalla Cina costa circa 7.000 dollari), anche se i risultati falsificati saranno rilevabili ai raggi X.<\/p>\n

I pacchetti di chip-scale Wafer-Level (WL-CSP) sono molto pi\u00f9 costosi da modificare, ma i raggi X non riveleranno il trucco.<\/p>\n

Modifica del circuito integrato (CI)<\/h3>\n

In genere, le aziende progettano i chip per i loro compiti specifici sul campo, ma le affidano a terzi per la fabbricazione. Poche aziende possono permettersi di produrre i propri chip. In questo tipo di accordi, c\u2019\u00e8 pi\u00f9 di un modo per modificare il prodotto finale in modo che sia ancora conforme alle norme di riferimento. Inoltre, una volta che un chip o un dispositivo \u00e8 fuori dalle mani dei progettisti, \u00e8 raro che qualcuno si preoccupi di fare un controllo incrociato tra il prodotto finale e le caratteristiche originali.<\/p>\n

In che momento si pu\u00f2 alterare l\u2019hardware?<\/h2>\n

Il relatore ha offerto diversi scenari di alterazione dell\u2019hardware che vanno da abbastanza complicato (l\u2019intercettazione del carico in transito come esempio estremo<\/a>) a relativamente facile. In generale, chiunque pu\u00f2 acquistare un prodotto, manometterlo e restituirlo al venditore, che pu\u00f2 rivenderlo. E ufficialmente, nelle varie fasi del processo di appalto, il team di imballaggio del produttore, gli agenti doganali e molte altre persone hanno accesso all\u2019attrezzatura, e ognuno di loro pu\u00f2 manometterla, se lo desidera. A tutti gli effetti, l\u2019utilizzo di hardware open-source<\/strong> non migliorer\u00e0 molto la sicurezza.<\/p>\n

Conclusioni sulla sicurezza dell\u2019hardware<\/h2>\n

Verso la fine della sua presentazione, Huang ha speculato su quali modifiche alla produzione di hardware potrebbero consentire agli utenti finali di verificare la sicurezza di chip e dispositivi. Quelli interessati alla filosofia del movimento, cos\u00ec come ai dettagli tecnici della modifica dei chip, dovrebbero vedere il video della presentazione<\/a>.<\/p>\n

Non tutti i modi per modificare l\u2019hardware sono costosi o laboriosi, e soprattutto, non c\u2019\u00e8 una correlazione diretta tra la complessit\u00e0 di un attacco all\u2019hardware e quanto sia difficile da rilevare. Per quanto riguarda gli utenti aziendali, tenete presente la minaccia e non affidatevi esclusivamente a prodotti per la sicurezza degli endpoint. I sistemi di protezione dell\u2019infrastruttura aziendale proteggono dalle minacce avanzate e gli attacchi mirati<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Un relatore del Chaos Communication Congress si chiede se l’utilizzo di hardware open-source possa risolvere i problemi di fiducia nell’hardware.<\/p>\n","protected":false},"author":700,"featured_media":19625,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955],"tags":[3244,3246,2695,2697,1619,3003],"class_list":{"0":"post-19624","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-36c3","10":"tag-3246","11":"tag-ccc","12":"tag-chaos-communication-congress","13":"tag-hardware","14":"tag-open-source"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/36c3-open-source-hardware-dangers\/19624\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/36c3-open-source-hardware-dangers\/18372\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/36c3-open-source-hardware-dangers\/15247\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/36c3-open-source-hardware-dangers\/7352\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/36c3-open-source-hardware-dangers\/20126\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/36c3-open-source-hardware-dangers\/18434\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/36c3-open-source-hardware-dangers\/16859\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/36c3-open-source-hardware-dangers\/20876\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/36c3-open-source-hardware-dangers\/25995\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/36c3-open-source-hardware-dangers\/7532\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/36c3-open-source-hardware-dangers\/32015\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/36c3-open-source-hardware-dangers\/13888\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/36c3-open-source-hardware-dangers\/12622\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/36c3-open-source-hardware-dangers\/21868\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/36c3-open-source-hardware-dangers\/26606\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/36c3-open-source-hardware-dangers\/24798\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/36c3-open-source-hardware-dangers\/20813\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/36c3-open-source-hardware-dangers\/25658\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/36c3-open-source-hardware-dangers\/25489\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/36%d1%813\/","name":"36\u04213"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/19624","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=19624"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/19624\/revisions"}],"predecessor-version":[{"id":19679,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/19624\/revisions\/19679"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/19625"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=19624"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=19624"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=19624"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}