EMB_89

EMBEDDED 89 • SETTEMBRE • 2023 59 CYBERSECURITY | SOFTWARE Molteplici minacce per il processo di aggiornamento La caratteristica più ovvia di un aggiornamento OTA è la trasmissione del file di aggiornamento: in passato que- sto ha fatto sì che l’approccio dei produttori OEM alla sicurezza degli aggiornamenti fosse finalizzata alla pro- tezione della trasmissione, che veniva criptata mediante il protocollo https (hypertext transfer protocol secure). Questo protocollo di sicurezza è efficace ed è universal- mente utilizzato dai siti web per proteggere dati sensibili come i pagamenti. Esso protegge i trasferimenti dei file attraverso: • Riservatezza - nessuno, tranne le due parti nella co- municazione, può vederne il contenuto • Integrità - l’intero contenuto del file viene trasmesso senza modifiche od omissioni • Autenticità - il file trasmesso al destinatario corri- sponde a quanto dichiarato dal mittente Fin qui, nessun problema. Ma è bene tener presente che https protegge solo il file stesso e solamente con una sin- gola chiave. Ciò rende il processo di aggiornamento vul- nerabile a una vastissima e variegata gamma di metodi di attacco che non hanno come bersaglio direttamente i mezzi di trasmissione. Secondo il progetto comunitario TUF (The Update Framework) – un insieme di librerie, formati di file e utilities che possono essere utilizzati per (Fonte: Foundries.io) proteggere i sistemi di aggiornamento del software nuo- vi ed esistenti – questi metodi includono: • L’attacker continua a inviare lo stesso file, per impe- dire la diffusione dell’aggiornamento • L’attacker invia una versione più vecchia e non sicu- ra di un file già in possesso dell’utente, facendo cre- dere che sia un file più recente. Il file viene scaricato e utilizzato senza alcuna verifica • L’attacker invia una versione più recente di un file in possesso dell’utente, ma non si tratta dell’ultima ver- sione. È più recente per l’utente, ma potrebbe essere non sicuro e sfruttabile da un attacker • Un attacker compromette la chiave utilizzata per firmare questi file. Il file scaricato è correttamente firmato, ma ancora dannoso Una descrizione più dettagliata delle numerose vulne- rabilità di un sistema di aggiornamento inadeguato è di- sponibile sul sito web TUF . Il metodo https per proteggere un file di aggiornamento fornisce una protezione inadeguata contro questo insie- me di minacce. Un file correttamente firmato trasmesso via https potrebbe non essere la versione più recente del file. Se il repository di aggiornamento è compromesso, un attacker potrebbe aver sostituito un file malware correttamente firmato con il file di aggiornamento cor-