È noto che i computer nel senso stretto del termine non sono gli unici obiettivi degli attacchi alla cyber security. Parlando delle smart city, molti sottolineano come le infrastrutture legate al traffico cittadino potrebbero divenire obiettivo di attacchi informatici. Un esempio di quanto potrebbe accadere si è già verificato in Europa.

I ricercatori di ProtectEM hanno individuato una vulnerabilità critica in un controller semaforico presente in tutta Europa. Sfruttandola i criminali informatici avrebbero potuto causare intasamenti sostenuti del traffico.

L'hardware interessato è prodotto dall'azienda austriaca Swarco Traffic Systems, il maggiore produttore mondiale di componenti per semafori. Il controller CPU LS4000 controlla i semafori agli incroci, e i ricercatori hanno scoperto una porta di debug aperta per impostazione predefinita. Non si tratta quindi di una falla, ma di una configurazione errata.
Un attaccante avrebbe potuto ottenere l'accesso e controllare a piacimento il traffico. Sarebbero bastate competenze tecniche modeste per mettere in atto l'attacco. Al problema è stata assegnata la sigla CVE-2020-12493 e un punteggio CVSS di 10, che è il massimo della scala.

Lo scenario di attacco

ProtectEM ha proposto uno scenario di attacco automatizzato in cui i cyber criminali sfruttavano l'errore di configurazione per spegnere o rendere rossi contemporaneamente tutti i semafori di una città. L'attacco sarebbe stato persistente, perché avrebbe obbligato a ripristinare fisicamente tutti i controller uno per uno. Nel frattempo, il traffico sarebbe andato nel caos più totale.

Questo tipo di attacco è stato simulato sul campo dagli esperti di sicurezza e si è rivelato possibile senza alcuna conoscenza specifica del dominio. Bastavano nozioni generali di programmazione. L'unica nota positiva è che un meccanismo di sicurezza avrebbe impedito agli attaccanti di mettere in atto l'opzione più pericolosa, ossia di far diventare verdi tutti i semafori.

Fortunatamente l'azienda ha ormai corretto la falla e ora non costituisce più un pericolo. ProtectEM ha segnalato il problema nel luglio 2019, Swarco Traffic Systems ha diffuso la patch ad aprile 2020.

Com'è emerso il problema

Come a volte accade, il problema è stato individuato per sbaglio. ProtectEM stava conducendo dei controlli di sicurezza in una città tedesca, quando è incappata nella configurazione anomala della porta di debug. A quel punto ha lavorato a stretto contatto con CERT@VDE (il team di risposta alle emergenze informatiche della Germania dedicato all'automazione industriale), che si è occupata della divulgazione responsabile delle informazioni. Oltre a installare la patch su tutti i controller, la città protagonista della scoperta ha anche messo in atto misure aggiuntive a protezione dei semafori per svitare problemi futuri.

I ricercatori di ProtectEM hanno preso la palla al balzo per ricordare ai produttori di soluzioni IoT industriali di imparare dai propri errori e di fare quanto necessario per produrre controller sicuri. Controller che non riguardano solo i semafori, ma anche i sistemi di illuminazione delle città, quelli per il riscaldamento e il raffreddamento, gli ascensori, le porte ad apertura automatica e molti altri sistemi automatizzati.

Troppo spesso in questi casi la sicurezza informatica viene trascurata e possono esserci conseguenze molto gravi. Attenzione, competenza e processi di produttori e fornitori devono sempre essere ai massimi livelli.