Hanno rubato i dati personali di 57 milioni di clienti e conducenti di Uber Technologies Inc. , una grave violazione che la società ha nascosto per più di un anno. L’azienda ha licenziato il suo capo della sicurezza e uno dei suoi vice dai loro ruoli di controllori della sicurezza; sono coloro che hanno poi deciso di pagare addirittura $ 100.000 agli aggressori.

I dati compromessi dall’attacco dell’ottobre 2016 comprendevano nomi, indirizzi e-mail e numeri di telefono di 50 milioni di utenti Uber in tutto il mondo. È stato inoltre possibile accedere alle informazioni personali di circa 7 milioni di conducenti, inclusi circa 600.000 numeri di patenti degli Stati Uniti. Non sembra siano stati rubati numeri di previdenza sociale, informazioni sulla carta di credito, dettagli sui viaggi o altri dati, ha detto Uber.

Al momento del furto, Uber stava negoziando con i controllori statunitensi che indagavano su violazioni della privacy. Uber aveva l’obbligo legale di segnalare il furto di dati ai controllori e ai conducenti i cui numeri di licenza erano stati rubati. Invece, la società ha pagato gli attacker per eliminare i dati e mantenere il silenzio sulla violazione. Uber ha precisato che è convinta che le informazioni trafugate non siano mai state usate o vendute, ma ha comunque rifiutato di rivelare le identità degli attaccanti.

“Tutto ciò non avrebbe dovuto accadere e non cercherò scuse per questo”, ha detto Dara Khosrowshahi, che ha assunto la carica di amministratore delegato a settembre. “Stiamo però cambiando il modo in cui trattiamo i nostri affari”.

Dopo la rivelazione di Uber, il procuratore generale di New York, Eric Schneiderman, ha avviato un’indagine sul furto. La società è stata anche citata in giudizio per negligenza da parte di un cliente che vuole avviare una class action contro l’azienda.

Gli attacker si sono infiltrati con successo in numerose aziende negli ultimi anni. La violazione di Uber, è a livello dei furti subiti da Yahoo, MySpace, Target Corp., Anthem Inc. e Equifax Inc. Ciò che è più allarmante sono le misure estreme che Uber ha preso per nascondere l’attacco.

Come hanno rubato i dati a Uber

Due attacker hanno avuto accesso a un sito di codifica GitHub privato utilizzato dagli ingegneri del software Uber e hanno utilizzato le credenziali di accesso che hanno ottenuto per entrare su dei database di dati archiviati su un account Amazon Web Services che gestiva le attività di elaborazione per l’azienda. Da lì, i ladri hanno scoperto un archivio di informazioni su chi guidava le auto. Più tardi, hanno inviato una email a Uber per chiedere un riscatto, questo è quanto è stato detto dalla compagnia.

Un mosaico di leggi statali e federali impone alle aziende di avvisare le persone e le agenzie governative in caso di violazioni di dati sensibili.

“Al momento dell’incidente, abbiamo preso tutte le misure atte a proteggere i dati e chiudere ulteriori accessi non autorizzati da parte di estranei”, ha detto Khosrowshahi. “Abbiamo anche implementato misure di sicurezza per limitare l’accesso e rafforzare i controlli sui nostri account di archiviazione basati su cloud.”

Uber si è guadagnata una brutta reputazione nel rispettare i regolamenti nelle aree in cui ha operato dalla sua fondazione nel 2009. Gli Stati Uniti hanno aperto almeno cinque indagini su possibili tangenti, software illecito e furto di proprietà intellettuale. L’azienda con sede a San Francisco deve affrontare anche decine di cause civili.

Anche le autorità britanniche, compresa l’Agenzia nazionale per la criminalità, stanno esaminando la portata della violazione dei dati. Londra e altri governi hanno in precedenza preso provvedimenti per vietare il servizio Uber, per ora senza riuscirci.

Uber ora ha assunto come consulente Matt Olsen, ex consigliere generale presso la National Security Agency e direttore del National Counterterrorism Center. Aiuterà la società a ristrutturare i suoi team di sicurezza. Uber ha inoltre assunto Mandiant, una società di sicurezza informatica di proprietà di FireEye Inc. , per indagare sull’hack.

La società ha rilasciato una dichiarazione ai clienti dicendo di non aver visto “alcuna prova di frode o uso improprio legato all’incidente”. Uber ha detto che fornirà agli autisti le cui licenze sono state rubate la protezione del credito e la protezione dal furto di identità.

Mathy Vanhoef ha scoperto gravi vulnerabilità in WPA2, un protocollo che protegge tutte le moderne reti Wi-Fi. Un utente malintenzionato presente nelle vicinanze di una vittima può sfruttare queste debolezze utilizzando k ey r einstallation un tta ck s (KRACKs). In concreto, gli attaccanti possono utilizzare questa nuova tecnica di intrusione per leggere le informazioni precedentemente registrate per essere crittografate in modo sicuro. Ciò può essere usato per rubare informazioni sensibili come i numeri di carta di credito, le password, i messaggi di chat, le email, le foto e così via. L’attacco funziona contro tutte le moderne reti Wi-Fi protette. A seconda della configurazione di rete, è anche possibile iniettare e manipolare i dati. Ad esempio, un aggressore potrebbe essere in grado di iniettare ransomware o altri malware nei siti web.

Le debolezze sono nello standard Wi-Fi stesso e non nei singoli prodotti o nelle implementazioni. Pertanto, è possibile che venga compromessa una corretta implementazione di WPA2. Per prevenire l’attacco, gli utenti devono aggiornare i prodotti interessati non appena gli aggiornamenti di protezione diventano disponibili. Tieni presente che se il tuo dispositivo supporta Wi-Fi, è probabilmente vulnerabile . Durante la ricerca iniziale, è stato scoperto che Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys e altri sono tutti colpiti da una variante degli attacchi. Per ulteriori informazioni su prodotti specifici, consultare il database di CERT / CC o contattare il proprio fornitore.

La ricerca sarà presentata alla conferenza Computer and Communications Security (CCS) e alla conferenza di Black Hat Europe. Il nostro documento dettagliato sulla ricerca può essere già scaricato.

Come funziona l’attacco

Come proof of concept i ricercatori hanno eseguito un attacco Kracks su uno smartphone Android. In questa dimostrazione, l’attaccante è in grado di decrittografare tutti i dati che la vittima trasmette. Per un attaccante questo è facile da realizzare, perché il nostro attacco è estremamente devastante contro Linux e Android 6.0 o superiore. Questo perché Android e Linux possono essere ingannati nell’installazione di una chiave di crittografia. Quando attacca altri dispositivi, è più difficile decrittografare tutti i pacchetti, anche se un grande numero di pacchetti può comunque essere decifrato. In ogni caso, la seguente dimostrazione mette in evidenza il tipo di informazioni che un aggressore può ottenere quando esegue attacchi Kracks su reti Wi-Fi protette:

L’attacco non è limitato al recupero delle credenziali di accesso (ad esempio indirizzi e-mail e password). In generale, tutti i dati o le informazioni che la vittima trasmette possono essere de-crittografati. Inoltre, a seconda del dispositivo utilizzato e della configurazione della rete, è  possibile de-crittografare i dati inviati verso la vittima (ad es. Il contenuto di un sito web). Anche se i siti web o le applicazioni utilizzano HTTPS come un ulteriore livello di protezione, segnaliamo che questa protezione aggiuntiva può (ancora) essere ignorata in un numero preoccupante di situazioni. Ad esempio, HTTPS è stato precedentemente ignorato nel software non browser , in iOS e OS X di Apple , nelle applicazioni Android , nelle applicazioni Android ancora una volta nelle applicazioni bancarie, e anche nelle applicazioni VPN.

Dettagli sull’attacco Kracks

L’attacco principale è contro l’inizio della comunicazione (4-way handshake) del protocollo WPA2. Questo viene eseguito quando un client desidera entrare in una rete Wi-Fi protetta e viene utilizzato per confermare che sia il client sia il punto di accesso possiedono le credenziali corrette (ad esempio la password predefinita della rete). Allo stesso tempo, la comunicazione invia anche una nuova chiave di crittografia che verrà utilizzata per proteggere tutto il traffico successivo. Attualmente, tutte le moderne reti Wi-Fi  usano 4-way handshake. Ciò implica che tutte queste reti sono influenzate dallo stesso tipo di attacco (con qualche variante). Ad esempio, l’attacco funziona contro le reti Wi-Fi personali e aziendali, contro i precedenti WPA e gli ultimi standard WPA2, e anche contro le reti che utilizzano solo AES. Tutti i nostri attacchi contro WPA2 usano una nuova tecnica chiamata key reinstallation attacks (KRACK).

Key reinstallation attacks: descrizione di livello elevato

In un attacco key reinstallation attacks, l’avversario si oppone a una vittima nella reinstallazione di una chiave già in uso. Ciò è ottenuto manipolando e ripetendo messaggi di handshake crittografici . Quando la vittima reinstalla la chiave, i parametri associati, come il numero di pacchetti di trasmissione incrementale e il numero del pacchetto di ricezione vengono reimpostati al loro valore iniziale. Essenzialmente, per garantire la sicurezza, una chiave deve essere installata e utilizzata una sola volta. Purtroppo abbiamo visto che questo non è garantito dal protocollo WPA2. Manipolando l’handshake crittografico, possiamo forzare questa debolezza.

Key reinstallation attacks: esempio concreto contro la 4-way handshake

Come descritto nell’introduzione del documento di ricerca, lo sviluppo di un attacco di questo tipo può essere riassunto come segue:
quando un client entra in una rete, esegue un 4-way handshake (IEEE 802.11i) per negoziare una nuova chiave di crittografia. Installerà questa chiave dopo aver ricevuto il messaggio 4-way handshake. Una volta installata la chiave, questa verrà utilizzata per crittografare i frame di dati utilizzando un protocollo di crittografia. Tuttavia, poiché i messaggi possono essere persi o scartati, il punto di accesso (AP) ritrasmetterà il messaggio 3 se non ha ricevuto una risposta appropriata come conferma. Di conseguenza, il client può ricevere il messaggio 3 più volte. Ogni volta che riceve questo messaggio, reinstalla la stessa chiave di crittografia e quindi ripristina il numero di pacchetti di trasmissione incrementale. E’ dimostrato che un aggressore può forzare questi reset raccogliendo e ripetendo le ritrasmissioni del messaggio 3 del 4-way handshake. Forzando il riutilizzo della chiave inviata il protocollo di crittografia può essere attaccato, i pacchetti possono essere riprodotti, decrittografati e/o ricreati. La stessa tecnica può essere utilizzata anche per attaccare la chiave PeerKey, TDLS e la BSS transition handshake.

Impatto pratico sulle reti wifi

L’attacco più diffuso e più efficace è l’attacco Kracks contro il 4-way handshake. Questo giudizio è basato su due osservazioni. In primo luogo, durante la ricerca i tecnici hanno scoperto che la maggior parte dei client sono stati colpiti da questa vulnerabilità. In secondo luogo, si può utilizzare questo attacco per decodificare i pacchetti inviati dai client, consentendo quindi di intercettare informazioni sensibili quali password o cookie. La decrittazione dei pacchetti è possibile perché un attacco Kracks provoca l’azzeramento dei nodi di trasmissione (talvolta chiamati anche numeri dei pacchetti o vettori di inizializzazione). Di conseguenza, la stessa chiave di crittografia viene utilizzata con i valori già utilizzati in passato. Nel caso in cui un messaggio che riutilizzi il keystream abbia riconosciuto il contenuto, diventa banale derivare il keystream utilizzato. Questo keystream può quindi essere utilizzato per decriptare i messaggi con lo stesso nonce. Quando non esiste un contenuto noto, è più difficile decifrare i pacchetti, anche se teoricamente possibile in molti casi. In pratica, la ricerca dei pacchetti con contenuto noto non è un problema, quindi si deve supporre che qualsiasi pacchetto possa essere decriptato.

La capacità di decifrare i pacchetti può essere usata per leggere i pacchetti TCP SYN. Ciò consente ad un intruso di ottenere i numeri di sequenza TCP di una connessione e di convertire le connessioni TCP . Di conseguenza, anche se viene utilizzato WPA2, l’avversario può ora eseguire uno degli attacchi più comuni contro le reti Wi-Fi aperte: iniettando dati dannosi in connessioni HTTP non crittografate. Ad esempio, un aggressore può iniettare un ransomware o malware nei siti web che la vittima sta visitando.

Se la vittima utilizza il protocollo di crittografia WPA-TKIP o GCMP, invece di AES-CCMP, l’impatto è particolarmente catastrofico. Contro questi protocolli di crittografia, il riutilizzo di nonce consente ad un avversario  non solo di de-crittografare, ma anche di creare e iniettare i pacchetti. Inoltre, poiché GCMP utilizza la stessa chiave di autenticazione in entrambe le direzioni di comunicazione e questa chiave può essere recuperata, la vulnerabilità è particolarmente facile da utilizzare. Si noti che il supporto per GCMP è attualmente in fase di roll-out sotto il nome di Wireless Gigabit (WiGig) e dovrebbe essere adottato da un tasso elevato di sistemi nei prossimi anni.

La direzione in cui i pacchetti possono essere decifrati dipende dalla handshake che viene attaccata. Ovvero, quando si attacca la 4 way handshake, possiamo decriptare (e creare) i pacchetti inviati dal client. Quando si attacca la handshake della transizione veloce BSS (FT), possiamo decriptare (e creare) i pacchetti inviati verso il client. Infine, la maggior parte degli attacchi consente anche la riproduzione di frame unicast, broadcast e multicast. Per ulteriori dettagli, vedere la sezione 6 del documento di ricerca .

Bisogna notare che gli attacchi non recuperano la password della rete Wi-Fi.

Kracks su Android e Linux

Il nostro attacco è particolarmente invadente contro la versione 2.4 e superiore di wpa_supplicant, un client Wi-Fi comunemente utilizzato su Linux. Qui, il client installerà una chiave di crittografia totalmente nulla, invece di reinstallare la chiave reale. Questa vulnerabilità sembra essere causata da una opzione nello standard Wi-Fi che suggerisce di cancellare la chiave di crittografia dalla memoria una volta installata per la prima volta. Quando il client riceve un messaggio di ritrasmissione del messaggio 3 della 4-way handshake reinstalla il codice di crittografia prima eliminato, installando in modo efficace un codice a zero. Poiché Android utilizza wpa_supplicant, Android 6.0 e superiori contengono anche questa vulnerabilità. Ciò rende banale intercettare e manipolare il traffico inviato da questi dispositivi Linux e Android . Si noti che attualmente Il 50% dei dispositivi Android è vulnerabile a questa variante eccezionalmente devastante del nostro attacco.

Common Vulnerabilities and Exposures (CVE)

• CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
• CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
• CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
• CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
• CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
• CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
• CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
• CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
• CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
• CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

Il Paper

Il documento di ricerca  è intitolato Attacchi chiave di reinstallazione: Forcing Nonce Reuse in WPA2 e sarà presentato alla conferenza Computer and Communications Security (CCS) mercoledì 1 novembre 2017 .Anche se questo documento è reso pubblico, è stato già presentato per la revisione il 19 maggio 2017. Dopo di che sono stati apportati solo piccoli cambiamenti. Di conseguenza, i risultati del documento sono noti già da diversi mesi. Nel frattempo, abbiamo trovato tecniche più facili per eseguire il nostro attacco Kracks. Con la nostra tecnica di attacco, ora, è banale sfruttare le vulnerabilità. In particolare ciò significa che attaccare MacOS e OpenBSD è significativamente più facile di quanto discusso nel documento.

Ora abbiamo bisogno di WPA3?

No, per fortuna i dispositivi possono essere patchati in modo compatibile con le versioni precedenti. Ciò significa che un client patchato può ancora comunicare con un punto di accesso non patchato (AP) e viceversa. In altre parole, un client patchato o un punto di accesso invia esattamente gli stessi messaggi di handshake come prima e nello stesso momento. Tuttavia, gli aggiornamenti della protezione assicurano che una chiave viene installata una sola volta, impedendo il nostro attacco. Quindi, bisogna aggiornare tutti i dispositivi una volta disponibili gli aggiornamenti di protezione. Infine, sebbene un client non patchato possa ancora connettersi a un AP patchato, e viceversa, sia il client che l’AP devono essere messi a punto per difendersi da tutti gli attacchi!

Devo cambiare la mia password Wi-Fi?

La modifica della password della rete Wi-Fi non impedisce (o attenua) l’attacco. Non è quindi necessario aggiornare la password della rete Wi-Fi. Al contrario, è necessario assicurarsi che tutti i dispositivi siano aggiornati o aggiornare anche il firmware del router. Tuttavia, dopo l’aggiornamento sia dei dispositivi client che del router, non è mai una brutta idea cambiare la password Wi-Fi.

Questo articolo è la traduzione di una parte del sito https://www.krackattacks.com/. Altre parti più tecniche come il Paper e i software saranno resi noti a breve.

La minaccia informatica della Russia verso gli Usa passa da Kaspersky. Queste le parole chiare e semplici del senatore Jeanne Shaheen . I software antivirus amplificano i pericoli di Kaspersky Lab. Il sig. Kaspersky potrebbe dire la verità quando afferma che il suo software antivirus non contiene una “backdoor”: codice che consenta di avere l’accesso a informazioni vulnerabili.

Ma un backdoor non è necessaria. Quando un utente installa il software Kaspersky Lab, l’azienda ottiene accesso a tutti gli angoli della rete del computer dell’utente, comprese tutte le applicazioni, i file e le email. E poiché i server di Kaspersky sono in Russia, i dati sensibili degli Stati Uniti vengono costantemente spostati in un paese ostile. Secondo le leggi russe e secondo la certificazione di Kaspersky Lab da parte della FSB, l’azienda è tenuta ad assistere l’agenzia spia nelle sue operazioni e la FSB può assegnare agenti di agenzia a lavorare in azienda. La legge russa prevede che i fornitori di servizi di telecomunicazione come Kaspersky Lab installino le apparecchiature di intercettazione di comunicazioni che consentano alla FSB di monitorare tutte le trasmissioni di dati di un’azienda.

Il fondatore dell’impresa, Eugene Kaspersky, si è laureato presso l’istituto di crittologia dell’elite del KGB, principale servizio di intelligence dell’Unione Sovietica, ed è stato un ingegnere software per l’intelligence militare sovietica. Kaspersky Lab ha compiuto passi falsi che rivelano la vera natura del suo lavoro con il Servizio di Sicurezza Federale della Russia o FSB, successore del KGB.

Il comitato dei servizi armati del Senato ha adottato a giugno le misure necessarie per vietare al Dipartimento della Difesa di utilizzare il software di Kaspersky Lab, per limitare ciò che la senatrice teme sia già una violazione enorme dei dati di sicurezza nazionale. Serve un’ampia legislazione sulla difesa che è ora allo studio dinanzi al Senato per vietare l’uso del software Kaspersky da parte di tutto il governo federale.

La risposta di Kaspersky Lab

“Considerato che Kaspersky Lab non ha legami non appropriati con alcun governo, l’azienda è amareggiata dalla decisione dello U.S. Department of Homeland Security (DHS) ma è anche grata per l’opportunità di poter fornire maggiori informazioni all’agenzia per confermare che queste accuse sono assolutamente infondate. Non è stata presentata pubblicamente alcuna prova credibile da alcuna persona od organizzazione, in quanto le accuse sono basate su false affermazioni e supposizioni errate, tra cui le dichiarazioni riguardanti regolamentazioni e policy russe con effetti sull’azienda. Kaspersky Lab ha sempre ammesso di fornire prodotti e servizi appropriati a governi di tutto il mondo per proteggere queste organizzazioni dalle cyber minacce, ma non ha legami amorali o affiliazioni con alcun governo, incluso quello russo.

“Inoltre, più dell’85% del fatturato dell’azienda proviene dall’esterno dei confini russi, un’ulteriore dimostrazione che una collaborazione non appropriata con qualunque governo sarebbe dannosa per il suo bilancio. Queste continue accuse ignorano, inoltre, che nei suoi 20 anni di storia nel settore della sicurezza IT, Kaspersky Lab ha sempre rispettato i più elevati standard di etica commerciale e sviluppato tecnologie affidabili.

“Per quanto riguarda le policy e le leggi russe male interpretate, si tratta di leggi e strumenti applicabili ad aziende del settore delle telecomunicazioni e Internet Service Provider (ISP) e, contrariamente a quanto inaccuratamente riportato, Kaspersky Lab non è soggetta a queste leggi o altri strumenti governativi, incluse le System of Operative-Investigative Measures (SORM) russe, in quanto l’azienda non offre servizi di comunicazione. Inoltre, è importante notare che le informazioni ricevute dall’azienda, così come il traffico, sono protette da crittografia, certificati digitali e altro ancora, come previsto dai requisiti legali e dai severi standard del settore.

“Kaspersky Lab non ha mai aiutato e mai aiuterà alcun governo al mondo in attività di cyber spionaggio o cyber attacco ed è sconcertante che un’azienda privata possa essere considerata colpevole fino a prova contraria a causa di questioni geopolitiche. L’azienda attende con impazienza di poter collaborare con il DHS, in quanto Kaspersky Lab crede fortemente che un’approfondita analisi dell’azienda confermerà che queste accuse sono infondate”

Inoltre, Eugene Kaspersky ha pubblicato un blogpost su Forbes in cui dichiara la propria opinione in merito alla vicenda: https://www.forbes.com/sites/eugenekaspersky/2017/09/13/separating-the-facts-from-the-assumptions/#230ca4a966f7

Nel videogioco Watch Dogs, sviluppato da Ubisoft, il protagonista Aiden Pearce è in grado hackerare un’auto (Carhacking) attraverso un dispositivo altamente specializzato. Sebbene questo possa sembrare un po’ inverosimile e qualcosa di lontano per la nostra tecnologia attuale, in realtà è già accaduto. I cyber attacchi​​ non sono più limitati alle reti informatiche e ai dispositivi mobili, ora è anche possibile hackerare un’auto.

Carhacking. Hackerare un’auto e colpire i passeggeri

Nel luglio di quest’anno, due ricercatori di sicurezza informatica, Charlie Miller e Chris Valasek hanno utilizzato le ultime tecniche di hacking per attaccare i sistemi elettrici di una Jeep Cherokee, senza accedere fisicamente al veicolo.

Attraverso Internet sono riusciti a ottenere il controllo wireless della Jeep Cherokee, che gli ha permesso di accedere al sistema di intrattenimento, alle funzioni del cruscotto e consentendogli di controllare freni, sterzo e tramissione. Tutto questo a distanza di alcuni chilometri dalla posizione del veicolo.

Miller e Valasek hanno hackerato autovetture per anni, ma hanno sempre avuto bisogno di accedere fisicamente al veicolo per farlo, per questo i rappresentati dell’industria automobilistica hanno sempre minimizzato il carhacking. Questa volta, invece, sono stati capaci di hackerare un’auto tramite una rete wireless comodamente seduti a casa loro.

Com’è possibile hackerare un’auto tramite la rete?

Attualmente i produttori di automobili, come Crysler, stanno costruendo dei veicoli intelligenti che si comportino come smartphone collegati a Internet. Questo apre una serie di possibilità per gli hacker, consentendogli di accedere ai sistemi da remoto utilizzando connessioni wireless.

Non sono solo i veicoli di Crysler ad essere vulnerabili. Mentre la Jeep Cherokee è stata evidenziata come la più vulnerabile dalla ricerca di Miller e Valasek, anche altri modelli, di altri produttori, sono stati classificati come possibili obiettivi per hackerare un’auto.

Il duo ha valutato la vulnerabilità di 24 auto, SUV e pick-up basandosi su tre fattori che permettevano di hackerare un’auto:

1. Numero e tipo di connessioni radio che collegavano il veicolo a Internet
2. Se i computer di bordo fossero isolati dai sistemi sensibili di guida
3. Se i comandi digitali potevano azionare risposte fisiche sul veicolo

Miller e Valasek hanno sviluppato un software in grado di sfruttare queste vulnerabilità. Il loro software è stato in grado di riscrivere silenziosamente il firmware del sistema di intrattenimento Uconnect consentendogli di inserire il proprio codice malevolo e inviare comandi attraverso la rete informatica interna al veicolo.

I due ricercatori credono che questi attacchi funzioneranno su qualsiasi veicolo Crysler che utilizzi versioni di Uconnect. Da questa ricerca, tuttavia, emergono almeno cinque modi con cui si può hackerare un’auto. 

Hackerare un’auto: localizzare il veicolo tramite GPS

Poiché i computer Uconnect sono collegati a Internet tramite la rete mobile Sprint, gli hacker possono utilizzare un dispositivo mobile della stessa rete come hot spot Wi-Fi e un computer per scovare eventuali obiettivi vulnerabili su Internet. Una volta trovato un bersaglio appropriato, sono quindi in grado di recuperare informazioni su quel veicolo, come il numero di identificazione del veicolo, la marca, il modello, l’indirizzo IP e, soprattutto, le coordinate GPS.

Una volta che gli hacker hanno le coordinate GPS del veicolo bersaglio, possono inserire questi dati in Google Maps e tracciare la sua posizione inserendo i luoghi sulla mappa mentre il veicolo è in movimento.

Sebbene gli obiettivi siano veicoli apparentemente casuali e gli hacker non siano attualmente in grado di ottenere informazioni personali, Miller e Valasek hanno dichiarato che non è impossibile hackerare un’auto appartenente a una persona specifica.

Se un hacker utilizza più dispositivi collegati, che scansionano simultaneamente, ciò gli consente di tracciare una persona in particolare e di colpirla. Ancora più spaventoso è il fatto che un hacker molto qualificato potrebbe utilizzare la vulnerabilità per prendere il controllo di più unità Uconnect di diversi veicoli, che gli consentirebbe di stabilire una botnet mobile controllata attraverso il wireless, che comprende centinaia di migliaia di veicoli. Tale rete è un’idea spaventosa.

Controllare radio ed infotainment a distanza. Hackerare un’auto per distrarre il guidatore

Immagina di trovarti a guidare sull’autostrada da solo di notte, quando improvvisamente il volume della radio sale al massimo, le stazioni cambiano da un momento all’altro e non sei in grado di controllarla o di spegnarla. Questo è uno dei tanti modi in cui è possibile hackerare un’auto.

Prova ad abbassare il volume o a spegnere la radio e ti accorgerai che è impossibile. Miller e Valasek sono anche stati in grado di mandare immagini da remoto al display digitale della macchina.

Oltre alle evidenti distrazioni che si possono avere durante la guida, questi tipi di attacchi potrebbero essere usati per molestare e intimidire le persone.

Hackerare un’auto e cambiare la temperatura del veicolo

Anche se non è l’aspetto più terrificante di questi attacchi, è anche possibile controllare il sistema di climatizzazione dei veicoli  da remoto. Ancora una volta, questo potrebbe essere una distrazione ai conducenti, specialmente quando si viaggia ad alta velocità.

Questo potrebbe non sembrare molto spaventoso, ma immagina di guidare in un giorno invernale molto freddo, la mattina presto e di essere colpito da un’ondata di aria fredda senza essere in grado di fermarla…Non è un’esperienza molto bella.

Cambiare la velocità dell’auto e fermarla improvvisamente

È una giornata meravigliosamente soleggiata e stai viaggiando a 120 km/h lungo l’autostrada, quando improvvisamente il liquido lavavetri inizia a spruzzare continuamente sul tuo parabrezza mentre i tuoi tergicristalli iniziano a muoversi da destra a sinistra in modo incontrollabile a piena velocità.

Mentre lotti per vedere attraverso il tuo parabrezza, tutto confuso e un po’ sbalordito, succede che la tua trasmissione inaspettatamente si interrompe e il tuo veicolo smette di rispondere al tuo acceleratore.

Mentre il veicolo comincia a perdere rapidamente velocità, ti spaventi nel vedere dai tuoi specchi retrovisori, camion e altri veicoli a motore che iniziano rapidamente a muoversi dietro di te, schivarti e suonarti il clacson mentre cercano di evitare la tua improvvisa diminuzione di velocità.

Hackerare un’auto potrebbe anche significare avere la possibilità di fermare il veicolo mentre è in marcia, magari bruscamente e tutto d’un tratto.

Mentre il tuo veicolo è in movimento, gli hacker hanno anche la possibilità di spegnere completamente il motore, non permettendoti di poter controllarlo. Se questo comando è stato dato in un momento critico durante il viaggio, per esempio mentre stai andando a velocità sostenuta in autostrada, ciò potrebbe causare un incidente pericoloso.

In questo caso la situazione diventerebbe evidentemente molto pericolosa. Avere la possibilità di tracciare il percorso di un veicolo e poi fermarlo tutto d’un tratto è una cosa alquanto spaventosa, non credete? Immaginate che state percorrendo un’autostrada a 120 km/h e improvvisamente la vostra auto si ferma di colpo, inaspettatamente e violentemente…È uno scenario preoccupante sia per voi che per gli altri automobilisti.

È un pensiero terribile che un anonimo hacker a chissà quanti km di distanza possa disattivare completamente il freno del veicolo rendendo il conducente impotente. Purtroppo questo scenario è fin troppo reale e Miller e Valasek lo hanno dimostrato con tale precisione da mettere i brividi.

Una volta che l’hacker ha il controllo del sistema, niente può impedirgli di causare un grave incidente.

Hackerare un’auto ed averne il controllo totale, sterzare ed accendere spie.

Mentre si sta viaggiando a basse velocità e solo mentre si sta facendo retromarcia, è possibile controllare la direzione del veicolo. Hackerare un’auto in questo modo è molto pericoloso sia per chi sta sul veicolo sia per i pedoni in strada.

L’elenco dei comandi che un hacker può impartire quando ha il controllo di un veicolo  non è limitato a quelli sopra elencati. Infatti sono anche in grado di manipolare le letture digitali della velocità e il consumo di carburante, suonare il clacson e sbloccare le porte.

Miller e Valasek non sono gli unici che lavorano per mostrare queste vulnerabilità. Sono state condotte altre ricerche, come quelle svolte dai ricercatori dell’Università di Washington e dell’Università della California, in cui è stato possibile disabilitare tramite wireless le serrature e i freni di una Sedan.

Carhacking: soluzioni e scenari futuri

È probabile che questi tipi di attacchi saranno sempre più vari e sofisticati, per questo è estremamente importante che sia l’industria automobilistica che i clienti siano a conoscenza di questo fenomeno. Il fenomeno acquisisce ancora più rilevanza se si guarda ai numeri: oltre 470,000 automobili Crysler sono vulnerabili, a cui si aggiungono i veicoli di altri case automibilistiche.

Crysler ha rilasciato una patch di sicurezza che può essere scaricata dal loro sito web inserendo il numero di identificazione del proprio veicolo (VIN) ma questo è un processo manuale che richiede di scaricare la patch e aggiornare il sistema Uconnect tramite USB. In alternativa, è possibile portare l’auto in un concessionario per ottenere l’aggiornamento.

Questo tipo di patch richiede che il cliente sia a conoscenza della vulnerabilità, il che significa che andando avanti, la responsabilità di aggiornare la sicurezza del sistema elettronico dei propri veicoli sarà a carico dei clienti.

Ad oggi Crysler ha richiamato circa 1.4 milioni di veicoli per porre rimedio alla falla di sicurezza.

In un mondo iper-connesso, gli attacchi e le minacce informatiche sono una preoccupazione sempre più crescente per le imprese e per i consumatori, e la ricerca condotta da Miller e Valasek ha messo in evidenza il fatto che servono più persone che lavorino nel settore informatico, in particolare nel campo della sicurezza informatica.

Qual è il modo più appropriato per gestire l’immagine aziendale sul web ? Ci sono molte idee sbagliate a riguardo; alcune persone pensano che si tratti solo di aver un buon controllo dei propri social media, mentre altre credono che sia qualcosa che abbia a che fare con le pubbliche relazioni.

Altre ancora non hanno letteralmente idea di come la propria immagine sul web possa avere un forte impatto sulla propria attività e sulle vendite.

In questa guida spiegheremo quanta importanza abbia gestire l’immagine aziendale sul web nel panorama del marketing di oggi, cosa minaccia veramente la reputazione di una azienda, le tecniche fondamentali per reagire e le regole da tenere a mente. 

Gestire l’immagine aziendale sul web: un obbligo dell’era digitale

Fino a pochi anni fa le aziende vendevano ad un pubblico passivo, non coinvolgendo i clienti. Le persone non potevano far sentire la propria voce in modo così potente, come accade oggi con Internet, e il panorama complessivo della comunicazione offriva meno possibilità.

La situazione è radicalmente mutata. Oggi, i siti web non sono più statiche brochure. Permettere che l’utente possa interagire con voi e altri utenti è diventato un must. Le regolari interazioni sulle reti sociali sono vitali per qualsiasi successo aziendale.

Non importa la dimensione della vostra attività… I clienti, gli utenti, potenzialmente chiunque e tutti stanno parlando di voi. Stanno tweettando riguardo il vostro prodotto più recente, lasciando un commento sul vostro blog, postando un commento su Facebook riguardo la loro esperienza e molto altro.

Se pensate di poter sottovalutare questo fenomeno, o se pensate che essere indifferenti alle opinioni, ai commenti e ai feedback dei clienti sia possibile, vi consigliamo di cambiare idea.

Mettersi a rischio è scomodo ma necessario… e alla lunga premia

Uno dei comandamenti aziendali più utili, per gestire l’immagine aziendale sul web, è “essere trasparenti”. Saper reagire bene alle critiche e ai commenti negativi sembra essere molto utile per le aziende che abbracciano questa nuova modalità di comunicazione con il pubblico. Ma cerchiamo di capire meglio cosa significa davvero “essere trasparenti”.

Permettere ai vostri dipendenti di parlare pubblicamente dei prodotti e dei servizi che offrite, stabilire un canale di comunicazione diretto con il cliente, chiedere ai vostri clienti di lasciare dei feedback, non essere indifferenti alle critiche e rispondere pubblicamente, sono tutti esempi di come “essere trasparenti”.

Più facile a dirsi che a farsi! La maggior parte delle piccole-medie imprese non investe abbastanza nella comunicazione e, anzi, sembra quasi ignorare le nuove possibilità del web.

Essere trasparenti è rischioso. Ma nel lungo periodo, non essere trasparenti e non gestire l’immagine aziendale sul web lo è ancora di più.

Gestire l’immagine aziendale sul web: siate pronti a critiche e commenti negativi

Cercare di essere sempre più trasparenti ha portato molte aziende a fallire nel loro tentativo di gestire la reputazione online. Essere limpidi e chiari, infatti, ha un prezzo. Se decidete di accettare i feedback, le opinioni dei clienti e così via, dovrete anche essere pronti ad affrontare tempestivamente le critiche negative.

Cosa succede se il vostro prodotto/servizio scatena molte critiche? Cosa succede se i vostri dipendenti non gestiscono in maniera adeguata i social media? Cosa succede se i vostri concorrenti approfittano di questo vostro momento di debolezza per accaparrarsi i vostri clienti?

Considerando questi scenari la cosa migliore per affrontare queste eventuali situazioni è sicuramente quella di disporre di un piano per gestire la reputazione online.

Anche tre aziende famose hanno fallito nel gestire l’immagine sul web nell’era digitale

Dark Horse Café dopo aver ricevuto un tweet che criticava la mancanza di prese elettriche per i laptop, risponde così: “Siamo una caffetteria, non un ufficio. Abbiamo molte prese elettriche per fare il nostro mestiere”.

Inutile dire che questo tipo di comportamento difensivo/aggressivo non funziona nel mondo online. Molti blog hanno riportato il fatto come un caso negativo per le pubbliche relazioni e un esempio da evitare se si vuole gestire l’immagine aziendale sul web in maniera efficace.

Nestlé pochi anni fa ha ricevuto commenti negativi riguardo le proprie pratiche ambientali ed è rimasta indifferente alle critiche. Le persone hanno cominciato a diventare aggressive e hanno postato versioni alterate del logo Nestlé, costringendo di fatto la società a chiudere la propria pagina pubblica.

Morale della storia? Non fingete che le persone non stiano parlando di voi e affrontate le critiche il più presto possibile per migliorare la reputazione online.

Amy’s Baking Company fece guerra ad un utente che aveva postato una recensione di appena una stella su Internet. I loro insulti contro il povero malcapitato furono raccolti dai notiziari locali. È evidente che l’attenzione di stampa e tv per un fatto negativo non sia una buona pubblicità.

Saper cosa dicono le persone di voi: la base per gestire la reputazione online

gestire l’immagine aziendale sul web non significa solo reagire bene a ciò che la gente dice di voi, del vostro marchio, o dei vostri prodotti e servizi, ma anche quando reagire e come farlo. A volte non è necessaria una reazione, e talvolta una reazione troppo lenta può costare milioni.

Un approccio proattivo al problema consiste nel monitorare regolarmente la vostra immagine pubblica per migliorare la reputazione sul web, non solo quando c’è un evento specifico da affrontare. Come si fa? Gli strumenti magici inventati per risolvere questo problema sono classificati come “strumenti per il monitoraggio dei media”.

In poche parole, il monitoraggio dei social media consente alle aziende di raccogliere contenuti pubblici online (post dei blog, tweets, recensioni e commenti di Facebook), elaborarli e vedere se dicono qualcosa di negativo o positivo che influenzi la vostra reputazione online.

Il monitoraggio può essere sia fai da te (Google Alert per esempio è uno strumento gratuito di monitoraggio web accessibile a chiunque) sia professionale, a seconda delle dimensioni dell’attività.

Cosa è davvero pericoloso per la vostra reputazione online?

Nel gestire l’immagine aziendale sul web, esistono due tipi di contenuti negativi di cui le aziende devono essere a conoscenza. Uno è rappresentato dai reclami sui social network. Devono essere affrontati correttamente, ma a meno che la vostra azienda non abbia problemi seri, solitamente non costituiscono un vero ostacolo per la vostra attività.

L’altro sono le cosiddette “bombe per la reputazione online”, che influenzano la reputazione e le vendite e a lungo termine possono danneggiare gravemente un’impresa. Sono molto potenti perché, a differenza dei contenuti dei social network, spiccano subito tra i risultati dei motori di ricerca. Cosa succede se qualcuno digita il nome del vostro brand e trova contenuti diffamatori?

Stiamo parlando dei siti di recensioni, che consentono agli utenti di esprimere il proprio parere sul vostro marchio. Sei soddisfatto del servizio/prodotto? Lo consiglieresti? La risposta negativa a queste classiche domande potrebbe influenzare le vostre vendite e affrontare le critiche sul sito potrebbe non essere sufficiente. Siti come Trustpilot.com, Tripadvisor e Trovaprezzi.it forniscono la piattaforma perfetta per questo tipo di contenuti negativi.

Per di più alcune persone vanno oltre le semplici recensioni negative creando dei siti ad hoc con i loro pareri, alcuni dei quali forniscono false informazioni su aziende e figure pubbliche.

Inutile dire che cercare su un motore di ricerca “recensioni su nome-della-vostra-azienda” oppure “opinioni su nome-della-vostra-azienda” e trovando informazioni negative, farà scappare i vostri potenziali clienti e non vi aiuterà di certo a migliorare la reputazione online.

Gestire l’immagine aziendale sul web: come difendersi da commenti e recensioni negative

L’articolo 19 della Dichiarazione universale dei diritti umani afferma che:

“Ogni individuo ha diritto alla libertà di opinione e di espressione incluso il diritto di non essere molestato per la propria opinione e quello di cercare, ricevere e diffondere informazioni e idee attraverso ogni mezzo e senza riguardo a frontiere”

È evidente che ognuno ha il diritto di esprimere la propria opinione sul vostro marchio. Esistono tuttavia alcuni limiti che devono essere rispettati. Infatti alcuni dei contenuti negativi online in realtà sono illegali perché utilizzano un linguaggio diffamatorio, segnalano false informazioni, sono finalizzati a danneggiare l’immagine dell’azienda.

Come reagire a tutto questo? Come difendere voi e la vostra azienda da questi comportamenti? A seconda della portata del problema, è possibile seguire diversi percorsi per ripristinare e migliorare la reputazione online.

Per esempio potreste usare una SEO aggressiva. Se qualcuno digita il vostro nome, apparire sulla pagina 1 e 2 dei risultati di ricerca sarà molto più importante del biglietto da visita o del sito web. In un colpo d’occhio si vedranno diverse fonti web di alto livello che parlano di voi.

Se notate informazioni false la prima cosa che dovete fare, o la vostra società che si occupa di gestire l’immagine aziendale sul web, è inventare una strategia di ricerca che aumenti la classifica dei contenuti positivi, che li porti in primo piano rispetto a quelli negativi.

Un altro passo è rappresentato dalla rimozione di feedback non veritieri. L’utente ha detto qualcosa di falso sulla vostra azienda? Il commento negativo è chiaramente mirato a distruggere la vostra reputazione piuttosto che a fornire un feedback reale?

Contiene un linguaggio improprio?  La costante ricerca sul web e la vostra velocità di reazione consentiranno di rimuovere la revisione negativa in modo efficace e migliorare la reputazione online.

Infine, in caso di gravi attacchi alla vostra immagine, potrebbe essere necessario assumere esperti analisti del mondo web per scovare le minacce e i malintenzionati tramite tracciamento delle e-mail, cross-indexing di dati e altre tecniche di raccolta di informazioni. Le cyber indagini sono la soluzione definitiva per arrivare alla soluzione di casi in cui gestire l’immagine aziendale sul web risulta essere difficile e complicato.

10 comandamenti per gestire l’immagine aziendale sul web

Nell’era digitale, niente vi protegge dalla critica. Dalla prospettiva della libertà di parola è sicuramente un bene, ma può rappresentare un male se la vostra azienda è stata diffamata e attaccata.

Per concludere, ecco dieci suggerimenti pratici che riassumono ciò che abbiamo descritto in questa guida. Il mondo della reputazione delle aziende cambierà nei prossimi anni, ma seguendo questi semplici consigli sia voi che il vostro brand ne trarrete sicuramente beneficio:

Essere rispettati. Secondo diversi esperti di business, la fiducia è un bene degradabile e difficile da guadagnare. Fare in modo che le persone rispettino voi e il vostro lavoro è più importante di qualsiasi altra cosa.

Essere totalmente trasparenti. Dopo anni passati a nascondere le critiche ricevute, Mc Donald ha pubblicamente forzato i propri fornitori di uova ad alzare gli standard di vita delle galline secondo la richiesta di People for the Ethical Treatment of Animals. Ciò ha contribuito a migliorare l’immagine del brand.

Monitorare quello che stanno dicendo di voi. Oltre ai motivi che abbiamo citato sopra per gestire la reputazione online, il monitoraggio dei social media può anche creare business! Al giorno d’oggi, molte persone fanno domande tramite Twitter e Facebook perché stanno valutando se diventare vostri clienti.

Rispondere rapidamente e cortesemente. In caso di denuncia dei clienti tramite Twitter, ad esempio, un semplice ed immediato “Siamo consapevoli del problema. Stiamo lavorando su di esso e torneremo al più presto possibile” è meglio di una risposta tardiva con ulteriori informazioni.

Trattare la pagina 1 di Google come fosse un biglietto da visita. Le prime impressioni contano dato il fatto che si giudicano molti libri dalla copertina. Se le parole “truffa” e “fregatura” sono associate al vostro brand, allora è meglio preoccuparsi e cercare di migliorare la reputazione sul web il prima possibile.

Capire chi critica. La critica può essere una possibilità per conoscere meglio il vostro pubblico e per creare un messaggio migliore per il futuro. Se riuscite a tenere una statistica di quanto viene detto male di voi, potrete capire dopo poche settimana cosa della vostra azienda va migliorato.

Attaccare gli aggressori illegittimi. A volte è semplicemente necessario combattere legalmente la diffamazione per migliorare la reputazione sul web. Nel 2009, i dipendenti di Domino’s Pizza che hanno pubblicato video disgustosi mentre giocavano con il cibo, e questi sono stati licenziati e arrestati. Altro esempio è la gente che pubblica informazioni false su internet. A volte, se non gli si fa causa, potrebbero farlo di nuovo.

Imparare dagli errori. Sony ha sicuramente appreso una lezione su come gestire l’immagine aziendale sul web nel 2005, quando l’azienda ha inserito la copia di protezione (XCD) sui propri CD che hanno creato delle vulnerabilità per i computer che i malware avrebbero potuto sfruttare. Invece di ammettere il proprio errore, Sony è rimasta indifferente alle critiche e ha perso milioni di azioni legali in tribunale.

Chiedere aiuto se necessario. Se i vostri sforzi per gestire l’immagine aziendale sul web non sono sufficienti per proteggere, ripristinare o migliorare la reputazione online del vostro marchio, potrete scegliere di richiedere assistenza a un professionista.