Il BSI pubblica uno studio sui possibili attacchi ai microcontrollori installati nell'IoT industriale nel settore aeronautico o automobilistico in particolare. Lo studio mostra che diversi attacchi ai microcontrollori sono possibili, ma possono essere prevenuti con il software giusto.
Il Fraunhofer Institute AISEC ha preparato lo studio "A Study on Hardware Attacks against Microcontrollers" per conto dell'Ufficio federale per la sicurezza delle informazioni (BSI), che presenta lo stato attuale degli attacchi hardware ai microcontrollori.
Lo studio mostra possibilità di attacco
La pubblicazione descrive contromisure facili da implementare che possono prevenire molti attacchi o aumentare significativamente lo sforzo degli aggressori. Lo scopo dello studio è sensibilizzare gli sviluppatori di prodotti e i produttori ai rischi esistenti, mostrare loro i modi per proteggere i prodotti e rendere disponibili le contromisure a un vasto pubblico.
I microcontrollori sono utilizzati in numerosi settori, ad esempio nell'aviazione o nel settore automobilistico. L'Internet of Things (IoT) significa anche che i microcontrollori sono sempre più utilizzati nei prodotti industriali e nei materiali di consumo. Inoltre, sono sempre più utilizzati in applicazioni legate alla sicurezza come i sistemi di accesso o le borse elettroniche (portafogli). In tali applicazioni, i dati sensibili come le chiavi crittografiche sono spesso archiviati nei controller. Questo li rende un bersaglio attraente per l'attacco.
Gli attacchi hardware richiedono misure di protezione
A causa della loro mobilità, i dispositivi con microcontrollore non sono esposti solo ai classici attacchi. Questi includono overflow del buffer, che sono principalmente causati dall'accesso remoto tramite software. Possono essere eseguiti anche attacchi speciali che non prendono di mira le vulnerabilità nel software, ma sfruttano le proprietà dell'hardware stesso. Tali attacchi hardware includono, a titolo esemplificativo ma non esaustivo, attacchi side channel e error injection.
In passato, lo sviluppo del prodotto non teneva sufficientemente conto della sicurezza dell'hardware sottostante. Molti prodotti attuali presentano quindi vulnerabilità e vettori di attacco. Le contromisure possono spesso essere implementate in una fase iniziale. Gli attacchi dimostrati in questo rapporto dovrebbero essere praticamente fattibili su tutti i microcontrollori nella panoramica del mercato. Ciò implica che i prodotti a microcontrollore devono disporre di contromisure basate su software dedicate.
Maggiori informazioni su BSI.Bund.de
Informazioni sull'Ufficio federale per la sicurezza delle informazioni (BSI) L'Ufficio federale per la sicurezza informatica (BSI) è l'autorità federale per la sicurezza informatica e il progettista della digitalizzazione sicura in Germania. La missione: la BSI, in qualità di autorità federale per la sicurezza informatica, progetta la sicurezza delle informazioni nella digitalizzazione attraverso la prevenzione, il rilevamento e la risposta per lo stato, le imprese e la società.