Chi ci proteggerà dal firmware ?

“Quanto siete disposti a sacrificare della vostra vita privata per il beneficio di uno stato di sorveglianza globale ?”
Edward Snowden

Più o meno dettagliatamente, sappiamo tutti distinguere il software dall’hardware. Banalmente, l’hardware è il “ferro”, il software è tutto ciò che ci possiamo far “girare” sopra. C’è però un mondo di mezzo, di cui pochi sono a conoscenza ed ancora meno sanno di cosa si tratta: il firmware. Tecnicamente il firmware è un software che viene memorizzato in maniera più o meno permanente nella parte elettronica dell’hardware e serve a farlo funzionare correttamente ed a offrire interfacce “standard” al sistema operativo. Un ottimo esempio di firmware è il BIOS, acronimo per Basic Input Output System, che viene eseguito all’accensione di ogni computer. Ed essendo ormai anche un semplice smartphone equiparabile ad un “computer”, capiamo bene come il firmware sia praticamente onnipresente nei sistemi informatici. Hanno un firmware anche le schede video o le schede di rete. C’è un firmware anche nell’elettronica degli hard-disk e nei moduli GSM dei cellulari, così come nelle macchine fotografiche digitali. C’è un firmware anche nella scheda elettronica della lavatrice o del condizionatore, così come nella “centralina” delle nostre auto.

Praticamente ogni dispositivo elettronico avanzato (con un processore, più o meno potente) ha a bordo un firmware. Ed è compito del produttore sviluppare il firmware per far funzionare le periferiche secondo le specifiche e gli standard: è il modo con cui produttori differenti riescono a realizzare periferiche “compatibili”.

Ma cosa c’è di preoccupante in tutto questo ? Prima di tutto, una delle peculiarità del firmware è che la sua esecuzione spesso è del tutto indipendente dalla volontà del proprietario/utente del dispositivo. Semplicemente, il firmware deve essere eseguito per garantirne la funzionalità. Inoltre, il firmware gode di posizioni di memoria particolari, difficili da scrivere o sovrascrivere (ROM, EPROM, EEPROM…), proprio perché si tratta di una parte molto “tecnica” di programma. E sono parti che spesso non vengono prese in analisi dai sistemi di protezione antivirus, proprio perché rappresentano il “core” di ogni sistema informatico. Ecco quindi come il firmware è un pezzo di codice sul quale non abbiamo controllo e che, spesso, è di proprietà esclusiva del produttore. E, guarda caso, proprio mentre il mondo del software sta andando sempre di più verso la filosofia open-source, il firmware rimane saldamente nelle mani dei produttori.

Anche se stanno nascendo iniziative interessanti di firmware open-source, è praticamente impossibile aprire questo mercato per un semplice motivo: solo il produttore conosce le specifiche hardware del dispositivo da lui creato ed a meno che non le rilasci pubblicamente (cosa alquanto rara), l’unica strada per carpirle è effettuare una analisi chiamata reverse engineering, costosa, difficile e molto onerosa (interessante, a tal proposito, quanto hanno fatto i ragazzi di Magic Lantern sulle DLSR Canon…).

Non è un caso se molti malintenzionati, e nella categoria inserisco anche le agenzie governative dedite anche allo spionaggio ed alla sorverglianza, hanno iniziato a puntare proprio sul firmware per controllare o violare sistemi informatici. Ad esempio, non è passato molto tempo da quando molti smartphone economici si ritrovarono due trojan direttamente nel firmware:

…rilevati come Android.DownLoader.473.origin e Android.Sprovider.7, contattando i loro server di comando e controllo, sono in grado di raccogliere dati sui dispositivi infetti, eseguire automaticamente il proprio aggiornamento, scaricare e installare segretamente altre applicazioni, ricevere ulteriori istruzioni dal server a cui sono legati, auto eseguirsi ad ogni riavvio del dispositivo.

E tutto questo all’insaputa dell’utente, che spesso non ha neanche gli strumenti per difendersi o proteggersi.

Pochi mesi fa fece abbastanza scalpore la scoperta di una backdoor inserita nel firmware di alcuni dispositivi di mining Bitcoin hardware. Antbleed, questo il nome dato alla falla, is a backdoor introduced by Bitmain into the firmware of their bitcoin mining hardware Antminer:

The firmware checks-in with a central service randomly every 1 to 11 minutes. Each check-in transmits the Antminer serial number, MAC address and IP address. Bitmain can use this check-in data to cross check against customer sales and delivery records making it personally identifiable. The remote service can then return “false” which will stop the miner from mining.

Ma forse ciò che più di altri dovrebbe preoccuparvi è una notizia apparsa agli inizi del 2015 da Kaspersky Lab, relativamente al fatto che la NSA “is taking advantage of the centralization of hard-drive manufacturing to the US, by making WD and Seagate embed its spying back-doors straight into the hard-drive firmware, which lets the agency directly access raw data, agnostic of partition method (low-level format), file-system (high-level format), operating system, or even user access-level.”

Tanto per far capire l’impatto della vicenda:

Each time you turn your PC on, the system BIOS loads the firmware of all hardware components onto the system memory, even before the OS is booted. This is when the malware activates, gaining access to critical OS components, probably including network access and file-system. This makes HDD firmware the second most valuable real-estate for hackers, after system BIOS.

Come sicuramente avrete capito, la questione è tutt’altro che banale e marginale. E coinvolge tutti noi, le nostre vite, i nostri dati e metadati. 

In uno scenario distopico, da cyber-war globale, immaginatevi ad esempio se un malware fosse in grado di bloccare le fabbriche di produzione di plutonio. Oops, dimenticavo: StuxNet è tutt’altro che uno scenario distopico ma un fatto reale, avvenuto nel lontano 2014. Ben prima dello scandalo Vault7, provocato da Wikileaks.

Il problema è molto sentito nella comunità hacker internazionale (oltre che dai governi e dalle agenzie governative), da sempre attenta al tema della privacy, tanto da aver prodotto la nascita di iniziative come la Open Source Hardware Association, che si pone l’obiettivo di incentivare i produttori di hardware ad aderire alla filosofia Open Source attraverso una certificazione che garantisce rispetto per i diritti degli utenti. L’elenco dei produttori hardware certificati OSHA è disponibile qui: certificate.oshwa.org/certification-directory/

Postilla

Parlando con alcuni amici di questa, e di altre, problematiche relative alla privacy, è ormai evidente come viviamo in una Era di Sorveglianza Globale, pesante e molto pervasiva (a tal proposito, l’ultimo libro di Bruce Schneider, Data and Goliath, è molto educativo). Ad iniziare dagli smartphone, che registrano ogni nostra attività, suono, posizione, per finire dai servizi di social networking che, in maniera consensuale, raccolgono ed analizzano tutte le nostre abitudini, pensieri, opinioni. Sfuggire a questo stato di permanente controllo, automatizzato, è praticamente impossibile. Qualcuno potrebbe ripetere il solito sciocco refrain del “mi controllino pure, non ho niente da nascondere“, senza pensare agli effetti ed alle conseguenze che una tale sorveglianza provoca sulla nostra società e sulle nostre democrazie. Chiaramente, gran parte di questa attività di controllo è messa in atto da agenzie governative e forze di polizia, legittimate dalle normative a controllare ogni aspetto delle nostre vite. Difficile, quindi, sfuggirne. Quello che però possiamo fare, e che nel mio piccolo sto provando a fare con questi miei post, è mettere in guardia dai rischi e cercare di dare maggiore consapevolezza a tutti gli utenti, offrendo –quando possibile– suggerimenti e strumenti che in qualche modo possano essere in grado di migliorare il nostro livello di riservatezza. Sarà poi, ovviamente, scelta e responsabilità di ognuno di noi decidere come agire.

 

Michele Pinassi

Blogger, appassionato di tecnologia, società e politica. Attualmente Responsabile del Sistema telefonico di Ateneo presso l'Università degli Studi di Siena ed esperto di sicurezza informatica nello staff del DPO. Utilizza quasi esclusivamente software libero.

Potrebbero interessarti anche...

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

%d blogger hanno fatto clic su Mi Piace per questo: