Sì, mi sono preso un lungo periodo senza scrivere niente, non solo per le ferie ma anche per attività che dovevo concludere. Ricomincio a scrivere con questa notizia presa da Wired. A quanto pare l’FAA si è accorta che sul nuovo Boeing 787 Dreamliner la rete che permette agli utenti di navigare in Internet durante il volo è connessa ai sistemi di navigazione, comunicazione e controllo dell’aereo. Il rapporto dice anche che le reti di bordo possono avere delle serie vulnerabilità che potrebbero permettere ai passeggeri di accedere ai sistemi di controllo. Il rapporto è accessibile qui, e contrariamente a quando dice Schneier mi sembra abbastanza esplicito sull’esistenza dei problemi, pur non entrando nei dettagli. Questo e questo articolo chiariscono qualche dubbio. Da qui il titolo di questo post: perché portare dell’esplosivo in una scarpa quando si può controllare l’aereo dal sedile di un passeggero? (La risposta è: perché portare l’esplosivo in una scarpa è all’altezza delle competenze del terrorista tipo, manipolare il sistema di controllo probabilmente no, anche se può rappresentare un’ottima trama per un film). Peraltro bisogna sottolineare che il problema è stato rilevato dall’FAA nelle ultime fasi di produzione, prima di certificare l’apparecchio. Naturalmente si tratta dell’aspetto sensazionalistico della questione, ma ci sono altri aspetti meno immediati che vale la pena di considerare. Il primo è che la possibilità di connettere sistemi di misura e controllo offre tali e tante potenzialità che perdere di vista i rischi associati è facile. Nel futuro vedremo molti casi simili, a partire da quelli ovvi della connessione dei sistemi di controllo industriale alla rete aziendale, passando per casi banali di domotica, per arrivare a situazioni ad alto rischio come la connessione delle apparecchiature elettromedicali alle reti interne degli ospedali o alla connessione alle intranet aziendali dei sistemi di controllo di dighe e simili. Le potenzialità sono alte, i rischi anche. Come sempre, la pressione per sfruttare le potenzialità sarà alta, la capacità di valutare i rischi e poi di gestirli meno.
Tuttavia c’è un altro aspetto che mi lascia più perplesso. Di tutti i contesti in cui mi sarei aspettato una gestione non corretta di questo tipo di rischio, l’industria areonautica, e la Boeing in particolare, è forse quello in cui me lo sarei aspettato meno. Questo perché è un contesto in cui l’attenzione alla sicurezza e le competenze per gestire i rischi ci sono da tempo. Non mi riferisco alla capacità di trattare i problemi di robustezza, anzi: un’impostazione orientata alla robustezza nel senso tradizionale spesso è fuorviante quando si parla di sicurezza perché non tiene conto della volontà e intelligenza dell’attaccante (tre copie dello stesso apparato sono un’ottima idea dal punto di vista dei guasti ma in generale del tutto inefficaci nei confronti di un attaccante intelligente, che una volta trovata la vulnerabilità non deve fare altro che ripetere tre volte lo stesso attacco). Mi riferisco al fatto che come fornitori del Dipartimento della Difesa USA, l’industria aeronautica e la Boeing in particolare hanno una lunga tradizione nell’affrontare i problemi di sicurezza in senso stretto. Giusto per fare un esempio, Boeing è stata una delle poche aziende ad avere prodotti valutati al livello A1 dei criteri TCSEC, e guarda caso si tratta di un sistema per “Trusted Network Separation“. Come possano essere arrivati ad avere il problema descritto nel rapporto FAA mi sembra un mistero. Il mistero si infittisce leggendo il rapporto dell’FAA. Infatti, come risposta a un problema di questo tipo mi sarei aspettato qualcosa del tipo: “separate completamente la rete dei passeggeri da qualsiasi sistema dell’aereo, o fate a meno di offrire Internet ai passeggeri”. Il rapporto invece ha un tono completamente diverso. Si parla di sistemi di rilevazione delle violazioni che, in caso di necessità, isolino l’area dei passeggeri, oppure dell’indicazione (da parte dell’associazione dei piloti) della possibilità di eseguire l’operazione manualmente. Queste indicazioni non sembrano tener conto del problema più classico dei sistemi di intrusion detection, ovvero che gli interventi a posteriori su una violazione, siano essi automatici o peggio ancora manuali, arrivano generalmente in ritardo. Tuttavia, forse la soluzione del mistero finisce per essere la solita, banale, descritta nel primo dei due articoli di Avionics che ho citato (e che vale la pena di leggere): “By cutting black boxes and wiring, Boeing promises an avionics suite 2,000 pounds (907 kg) lighter than earlier-generation systems. The increased level of integration is meant to help achieve the 787’s touted 20 percent fuel burn reduction and enable enhanced situational awareness and ease of operation and maintenance“. Costi più bassi, funzionalità “enhanced”.