Vulnerabilità dei cambi wireless, qual è il rischio reale?

In teoria, pratica e teoria dovrebbero essere simili, ma in pratica sono molto differenti.

Il fatto

Il 13 di Agosto, durante il 18° convegno USENIX di tecnologie offensive, un gruppo di ricercatori della Northeastern University e della University of California ha presentato uno studio dal titolo: Security Analysis of Shimano Di2 Wireless Gear Shifting in Bicycles riguardante le vulnerabilità dei cambi wireless. I ricercatori hanno utilizzato come “cavie” un cambio 105 Di2 e un DURA-ACE Di2 della Shimano perché questa è l’azienda con la maggior diffusione (circa il 50% del mercato) e – responsabilmente – hanno notificato le vulnerabilità al produttore prima di renderle pubbliche, in modo di dargli il tempo di sanarle.
Un portavoce della Shimano ha recentemente dichiarato alla rivista Wired che gli aggiornamenti sono stati distribuiti ai team professionistici e che saranno disponibili a breve (suppongo dopo un ragionevole periodo di test) anche per i comuni mortali.
In sintesi: c’era un problema, ma lo stanno risolvendo.

La notizia

“Curiosamente”, la maggior parte degli articoli che hanno riportato la notizia della vulnerabilità dei cambi Shimano si è concentrata sulla possibilità generica di alterare il funzionamento del cambio, senza precisare i limiti intrinseci di questa operazione.
Cercando su Google le parole: “shimano wirelss hack”, si ottiene una lista di articoli con titoli tutt’altro che tranquillizzanti:

Want to Win a Bike Race? Hack Your Rival’s Wireless Shifters
An attractive alternative to doping – Hackers could compromise wireless groupsets to cheat at Tour de France, study finds
High-end racing bikes are now vulnerable to hacking
Your Shimano gears can be hacked – but there’s a fix coming
The Tour de France needs to do a proper security review

e così via. Come è facile intuire, questo sensazionalismo ha generato le immancabili reazioni di sdegno nei commenti del “popolo del Web”, che non ha perso l’occasione di dire la sua, spesso senza nemmeno essersi preso il disturbo di leggere il testo degli articoli.

La brutale realtà

Quando l’Editore di Cyclinside mi ha chiesto un parere sulla notizia dell’hack dei cambi Shimano, gli ho risposto con un’immagine, contenuta nel testo dell’intervento, che riporta l’efficacia del disturbo al variare della distanza dalla vittima:

Diagramma efficacia dell'attacco — Diagramma efficacia dell’attacco in funzione della distanza

In sostanza: questo tipo di attacco ha un raggio di azione di dieci metri; oltre questa distanza, non ha alcun effetto.
Non solo: perché possa riuscire, presuppone un accurato studio preliminare e una buona dose di fortuna.
Tutto ciò, unito al fatto che Shimano ha già adottato delle contromisure atte a ridurre il rischio di compromissioni, rende l’ipotesi di un attacco diretto a una singola, specifica vittima assolutamente improbabile e limitata al solo ambiente professionistico.
Per dimostrarvelo, devo andare un po’ più sul tecnico.

I “Reply Attack”

La comunicazione fra il comando remoto e il deragliatore è cifrata, ma siccome i comandi possibili sono solo due:

1. sali
2. scendi

un attaccante li può intercettare e re-inviare al deragliatore a suo piacimento, anche senza sapere quale sia l’effettivo contenuto del segnale trasmesso.
Immaginiamo (semplificando non poco) che, come metodo di cifratura, il costruttore abbia utilizzato il Cifrario di Cesare, sostituendo ciascuna lettera con la lettera che si trova un certo numero di posizioni prima o dopo nell’alfabeto:

Lo stesso tipo di offuscamento, per capirsi, utilizzato da Stanley Kubrik con il nome del computer di 2001 Odissea nello Spazio:

IBM -> HAL

Cifrati con questo metodo (una posizione indietro), i due comandi diventerebbero:

sali -> rzkh
scendi -> rbdmch

Malgrado ciò, se un attaccante riuscisse a intercettare i due segnali in uscita dal trasmettitore (e non è difficile, dato che questa azione si ripete più volte, durante una corsa) li potrebbe registrare così come sono e rimandarli al deragliatore in un secondo momento, causando comunque l’incremento o il decremento del rapporto.
Non c’è bisogno, in questo caso, di conoscere il metodo di cifratura, perché la sequenza di lettere che lo compone è costante. Se però la chiave di cifratura non fosse fissa, ma variasse nel tempo, per esempio, spostando le lettere di una posizione in avanti invece che indietro, il segnale registrato in un dato momento non potrebbe essere riutilizzato in seguito:

sali -> tbmj
scendi -> tdfoej

Allo stesso modo, se il ricevitore fosse istruito a non considerare i segnali che gli arrivano da distanze maggiori di quella che lo separano dai comandi al manubrio, qualunque tentativo di “irretirlo” da bordo strada andrebbe fallito.

I “Jamming Attack”

Immaginate che alle estremità di una grande sala ci siano due persone che devono comunicare fra loro.
Finché nella stanza c’è silenzio, i due si sentiranno senza problemi, ma se qualcuno comincia a suonare Jamming di Bob Marley a volume molto alto, i due malcapitati non riusciranno più a capire un accidente e la loro comunicazione si interromperà.
Similmente, se un attaccante trasmette dei segnali sulla stessa frequenza utilizzata dal nostro cambio, ma con una potenza maggiore di quella del comando al manubrio, impedirà al deragliatore di distinguere i comandi legittimi che gli vengono trasmessi, bloccando il sistema.
Il difetto di questo tipo di attacco è che interferisce con tutti i dispositivi che trasmettono sulla stessa frequenza della vittima. Come riporta il testo dell’intervento:

Abbiamo trasmesso il segnale generato esattamente a 2,478 GHz per interferire con la comunicazione, poiché questa è la frequenza specifica utilizzata per tutte le comunicazioni proprietarie di Shimano. Di conseguenza, il disturbo avrebbe colpito tutte le biciclette vicine che operano su questa frequenza.

Delle antenne direzionali potrebbero migliorare la precisione dell’azione di disturbo, intensificandola in una certa area, ma nel caso di una corsa ciclistica non c’è alcuna certezza che, quando passerà vicino al trasmettitore, la vittima sarà isolata o comunque distante da chi si vorrebbe favorire.
Nell’ottica di migliorare la selettività del loro sistema, i ricercatori hanno verificato che, inviando i segnali con un determinato intervallo di tempo⁽¹⁾ , il deragliatore della vittima si bloccava mentre quello di un’altra bicicletta nelle vicinanze continuava a funzionare, ma anche in questo caso è lecito chiedersi quali sarebbero gli effetti di un simile attacco in un contesto reale, con più biciclette che si muovono tutte insieme.

volata andora giro 24 t04 – Cyclinside.it — Un ipotetico attacco durante una volata potrebbe provocare un disastro (lLa Presse)

L’hacker sul Mortirolo

SÌ: in teoria, i cambi wireless potrebbero essere vulnerabili ad attacchi volti ad alterarne o bloccarne il funzionamento.
SÌ: in teoria, un attaccante con un PC e un apparato trasmittente potrebbe appostarsi lungo il percorso di una gara e alterare il funzionamento del cambio di una o più biciclette avversarie, al momento che gli passeranno vicino.
NO: nessun utilizzatore amatoriale di cambi wireless corre il rischio di ritrovarsi con un rappporto 53/11 lungo la salita del Mortirolo.

sistema shimano – Cyclinside.it — Lo schema di funzionamento dei sistemi Di2 di Shimano.

In realtà, io penso che anche i partecipanti alle corse professionistiche non abbiano motivo di preoccuparsi.
Anche se qualcuno si appostasse lungo il percorso del Giro d’Italia o del Tour de France e, con un’antenna amplificata, provasse a interferire con il cambio wireless delle biciclette che gli passano davanti, la sua azione di disturbo sarebbe soggetta a diverse limitazioni:

sarebbe efficace solo per qualche decina di metri su un percorso lungo più di cento di chilometri;
agirebbe su tutte le biciclette che gli passano davanti;
dovrebbe limitarsi a una sola emissione, perché altrimenti sarebbe facilmemte identificablie.

Ne varrebbe la pena? Io penso di no. Come ha commentato un lettore sul blog di Bruce Schneier:

just because you can, doesn’t mean you should

Conclusioni

Anche se ha generato un’ondata di articoli inutilmente allarmistici, io credo che questa notizia sia stata comunque un bene per il pubblico, perché ha messo in luce un fatto che molti fingono di non vedere:

L’EVOLUZIONE TECNOLOGICA HA UN COSTO

Tutti gli apparati a cui quotidianamente deleghiamo azioni che un tempo svolgevamo di persona esigono una gabella che ciascuno di noi paga – più o meno consapevolmente – con piccoli pezzi della sua vita: il nome dei suoi amici, i prodotti che acquista, gli articoli che legge e, come abbiamo visto, la capacità di controllare i mezzi di locomozione che guida.
I nostri smart-phone, le nostre Alexe, la nostre Siri, raccolgono queste “briciole virtuali” (come le chiama Alex Pentland, il Direttore dello Human Dynamics Lab del MIT) e con esse, pazientemente, plasmano un bassorilevo che rappresenta tutta la nostra vita.
Fino a qualche anno fa, potevamo ancora illuderci che questa azione di sorveglianza andasse a nostro vantaggio, ma è ormai chiaro che è finalizzata unicamente a renderizzarci, ovvero ad acquisire una conoscenza sempre più approfondita della nostra vita e dei nostri interessi per poter prevedre le nostre azioni o, ancora meglio, per indirizzarle verso un fine gradito ai nostri sorveglianti.

Dimenticatevi il cliché secondo il quale “se qualcosa è gratis, il prodotto sei tu”: noi non siamo il prodotto, siamo le carcasse abbandonate. Il prodotto deriva dal surplus strappato alle nostre vite⁽²⁾.

Preoccuparsi di un ipotetico attacco al nostro cambio wireless, senza curarsi del fatto che, quotidianamente, decine di apparecchi si intromettono subdolamente nella nostra vita con conseguenze ben più gravi di un salto di catena è decisamente insensato e irresponsabile.
D’altro canto, notizie come questa offrono l’opportunità di illustrare i rischi dell’automazione incontrollata a un pubblico molto più vasto di quello che abitualmente si interessa di sicurezza, non sulla base di semplici ipotesi, ma su dati reali.
Intendiamoci: sono del tutto certo che la maggior parte dei beoti che hanno commentato la notizia della vulnerabilità, fra qualche giorno si sarà trovata un nuovo argomento su cui dare pareri errati, ma voglio sperare che qualcun altro, sulla suggestione del momento, acceda alle impostazioni di sicurezza del suo smart-phone e disabiliti tutte quelle opzioni di protezione della privacy che, per pigrizia o disinteresse aveva lasciato abilitate.
Già se lo facessero in due, potrei dirmi soddisfatto.
La pelliccia, è fatta di peli.

Note

Nel caso degli Shimano, minore di 112 microsecondi, corrispondenti alla durata della trasmissione di un singolo segnale da parte del comando al manubrio. ↩
Shoshana Zuboff, “Il capitalismo della sorveglianza”, Luiss University Press, 2019. Ci trovate la dimostrazione di tutte le affermazioni che ho fatto nell’ultimo capitolo. ↩

(Immagini tratte dallo studio Northeastern University e University of California)