Elia Tufarolo

Hackerare navi è un gioco da ragazzi

Un penetration tester dimostra come sia possibile accedere ai sistemi informatici delle navi, sfruttando l'assenza di sicurezza dei dispositivi di comunicazione satellitari

Roma - Il penetration tester Ken Munro ha pubblicato un articolo in cui descrive l'arretratezza della security awareness per quanto riguarda le telecomunicazioni in ambito navale.

L'esperto di sicurezza paragona la situazione attuale a quella relativa ai sistemi automatici di controllo di diversi anni fa, in cui la sicurezza era pressoché assente, con l'attenuante della presenza di reti isolate e proprietarie.

nave hackerata

La situazione descritta è allarmante e surreale: i passi effettuati sono estremamente semplici e hanno richiesto un quantitativo mimino di Open Source Intelligente (OSINT): su Shodan, motore di ricerca per l'Internet of Things, sono disponibili numerosi riferimenti a portali di accesso di Inmarsat, privi di SSL e TLS.
Munro è riuscito ad accedere anche ai dati di un'antenna satellitare, ottenendo informazioni dal sistema Cobham Sailor 900, per il quale esiste un exploit noto che consente la remote code execution; le credenziali di default, inoltre, sono admin - 1234, anche se Munro non ha verificato che siano state cambiate.

Sempre attraverso Shodan sono disponibili diversi terminali CommBox prodotti da KVH Industries. Anche in questo caso SSL e TLS sono assenti; la situazione diventa imbarazzante nel momento in cui risulta possibile accedere al nome della nave, alla configurazione della rete e all'anagrafica degli utenti connessi direttamente dalla home page, senza fare login. Partendo da questi dati, Munro è riuscito facilmente a localizzare la nave e a rintracciare su Facebook uno dei marinai.

commbox login

La risoluzione delle problematiche riscontrate è banale e ricade sia sui produttori che sugli utilizzatori dei software. Come prima cosa, i sistemi di comunicazione satellitari devono essere messi in sicurezza: i protocolli SSL e TLS devono essere sempre presenti; vanno poi implementate politiche per il cambiamento delle credenziali di default alla prima configurazione del dispositivo, con opportuni controlli sulla robustezza.

Elia Tufarolo

Fonte Immagini: 1, 2
Notizie collegate
  • SicurezzaTermostati intelligenti vittime di ransomwarePer richiamare l'attenzione sulla scarsa sicurezza nel campo dell'Internet of Things, ricercatori agiscono un termostato intelligente e ne prendendo il controllo. Un riscatto per ristabilire la temperatura
  • SicurezzaSmart TV Samsung, non è ancora finitaSe è ormai noto che i comandi vocali impartiti dall'utente al dispositivo vengono trasmessi a server di terze parti, Samsung è ora costretta ad ammettere che per certe TV i dati sono scambiati in chiaro, intercettabili da chiunque
  • AttualitàSex toy, vulnerabilità wirelessI giocattoli "per adulti" prestano il fianco ad alcuni problemi "sistemici" a causa di un design che tiene in pochissimo conto la sicurezza, denunciano i ricercatori. Occorre riprogettarli anche considerando gli standard futuri
22 Commenti alla Notizia Hackerare navi è un gioco da ragazzi
Ordina
  • C'è per legge, e si spera nei fatti, un equipaggio sempre di guardia in navigazione che se legge dati strumentali anomali (es il GPS che dice d'aver derivato di qualche grado in un minuto o che il nord improvvisamente "cambia posizione" ecc) o nota "derive" anomale è (in teoria) in grado di correggere a mano senza che alcun sistema digitale possa impedirlo.

    Questo dovrebbe servir da lezione a chi preferisce il primato della procedura sull'uomo. La procedura per quanto "teoricamente" o meglio "apparentemente" affidabile a priori non lo è nei fatti, al pari dell'uomo. Quest'ultimo però non è *non responsabile* per ogni danno arrecato o derivato dall'uso di un certo software, deve rispondere delle sue azioni.
    non+autenticato
  • Concordo... ma anni d'uso di gps e di tutti gli automatismi, ha generato due effetti:
    - chi comanda o gestisce queste navi si sono disabituati ad altri strumenti, ed è quindi probabile che piccole deviazioni, non riescano a notarle, se non quando gli effetti diventano visibili.
    - riduzione del personale a bordo. Anni fà su alcuni mercantili servivano decide e decine di marinai... ora sulle moderne navi trasposto automatizzate, occorrono molto, ma molto meno personale a borso.
    non+autenticato
  • - Scritto da: Sisko212
    > Concordo... ma anni d'uso di gps e di tutti gli
    > automatismi, ha generato due
    > effetti:
    > - chi comanda o gestisce queste navi si sono
    > disabituati ad altri strumenti, ed è quindi
    > probabile che piccole deviazioni, non riescano a
    > notarle, se non quando gli effetti diventano
    > visibili.
    > - riduzione del personale a bordo. Anni fà su
    > alcuni mercantili servivano decide e decine di
    > marinai... ora sulle moderne navi trasposto
    > automatizzate, occorrono molto, ma molto meno
    > personale a
    > borso.


    Nulla vieta al capitano di tenere in tasca uno strumento isolato dalla rete della nave, in cui puo' essere rilevata in qualunque momento la posizione dello strumento e confrontata con quella della rotta.
  • - Scritto da: panda rossa
    >
    > Nulla vieta al capitano di tenere in tasca uno
    > strumento isolato dalla rete della nave, in cui
    > puo' essere rilevata in qualunque momento la
    > posizione dello strumento e confrontata con
    > quella della rotta.
    Certo, infatti tu fai affidamento sul tuo cellulare per portare in porto una nave e non sul sistema che l'armatore ti fornisce/garantisce/obbliga ad usare per navigare. Poi se il tuo cellulare sbaglia (è facile immaginare il perché) e vai a sbattere paghi tu i danni vero? Invece se è il sistema di navigazione certificato e controllato a sparare cazzate non rispondi di certo tu.
    Aggiungo, si insegna ancora ad usare il sestante per tracciare la rotta, ma devi averne la voglia e motivo per mettere in discussione quello che sei pagato per usare
    non+autenticato
  • Sì perché a 2000 km dalle coste il cellulare troverà sicuramente campo Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: ...
    > Sì perché a 2000 km dalle coste il cellulare
    > troverà sicuramente campo
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    Al di là di quanto scritto sopra, mica serve “campo” per bussola e GNSS.
    Teo_
    2668
  • - Scritto da: panda rossa
    > - Scritto da: Sisko212
    > > Concordo... ma anni d'uso di gps e di tutti
    > gli
    > > automatismi, ha generato due
    > > effetti:
    > > - chi comanda o gestisce queste navi si sono
    > > disabituati ad altri strumenti, ed è quindi
    > > probabile che piccole deviazioni, non
    > riescano
    > a
    > > notarle, se non quando gli effetti diventano
    > > visibili.
    > > - riduzione del personale a bordo. Anni fà su
    > > alcuni mercantili servivano decide e decine
    > di
    > > marinai... ora sulle moderne navi trasposto
    > > automatizzate, occorrono molto, ma molto meno
    > > personale a
    > > borso.
    >
    >
    > Nulla vieta al capitano di tenere in tasca uno
    > strumento isolato dalla rete della nave, in cui
    > puo' essere rilevata in qualunque momento la
    > posizione dello strumento e confrontata con
    > quella della
    > rotta.

    nel tuo mondo di unicorni rosa e ponti di arcobalini fatati, sicuramente.
    non+autenticato
  • Quindi i grandi navigatori della storia dell' umanità senza iphrochone non navigavano, figuriamoci gli stronzi di oggi. Questo ci stai dicendo.
    non+autenticato
  • È assolutamente vero, oggi molti *ufficiali*, non solo marinai, non sanno manco i nomi dei cavi e a tracciare una rotta con le squadrette se non riescono a far una tratta nella lunghezza della squadretta han difficoltà. Però fuori dagli stretti tutt'ora devi fare il punto nave 2 volte al giorno (salvo condizioni meteo che lo rendano impossibile), tutt'ora sei obbligato ad avere una carta nautica di carta con squadrette, matita, gomma e compasso...

    'Somma stiamo andando male ma in certi settori ancora di salvaguardie ne abbiamo. Se poi non noti qualche metro di errore poco importa, quando arrivi sulla costa ti orienti.
    non+autenticato
  • - Scritto da: xte
    > C'è per legge, e si spera nei fatti, un
    > equipaggio sempre di guardia in navigazione che
    > se legge dati strumentali anomali (es il GPS che
    > dice d'aver derivato di qualche grado in un
    > minuto o che il nord improvvisamente "cambia
    > posizione" ecc) o nota "derive" anomale è (in
    > teoria) in grado di correggere a mano senza che
    > alcun sistema digitale possa
    > impedirlo.
    >
    > Questo dovrebbe servir da lezione a chi
    > preferisce il primato della procedura sull'uomo.
    > La procedura per quanto "teoricamente" o meglio
    > "apparentemente" affidabile a priori non lo è nei
    > fatti, al pari dell'uomo. Quest'ultimo però non è
    > *non responsabile* per ogni danno arrecato o
    > derivato dall'uso di un certo software, deve
    > rispondere delle sue azioni.


    abbiamo - sempre grazie ad appalti al ribasso - filippini e pachistani ubriachi alla guida di carghi da migliaia di tonnellate, che cazzo vuoi che capiscano, il comandante gli ha fatto a capire a gesti che devono seguire la freccia rossa sul display di sinistra e loro quello fanno, il io-macchina comanda sull'appendice-uomo.
    i lupi di mare sono andati in pensione a fine anni ottanta, ora c'e' solo una generazione di disperati non-sapevo-come-tirare-a-campare-e-allora-mi-sono-imbarcato.
    non+autenticato
  • >
    > abbiamo - sempre grazie ad appalti al ribasso -
    > filippini e pachistani ubriachi alla guida di
    > carghi da migliaia di tonnellate, che cazzo vuoi
    > che capiscano,

    I sorridoi navigabili intorno a Singapore sono una delle rotte più trafficate al mondo. Sembra di stare in un ingorgo autostradale tante sono le navi. Eppure gli incidenti sono pochi.
    Però se fai passare da quelle parti una nave militare americana con equipaggio super addestrato e tecnologia di navigazione all'avanguardia:

    http://www.straitstimes.com/singapore/us-destroyer...

    Forse i filippini ubriachi tanto ubriachi non sono (o i marinai americani sono peggio).
    non+autenticato