Utilizzo crescente dei DRONI: che impatti sulla privacy dei cittadini e sulla sicurezza?

Quando andiamo a un parco pubblico è oramai usuale vedere giocare a far volare un Drone.

Queste scene mi fanno pensare a quando ero ragazzo e con mio fratello facevamo il modellismo dinamico con macchine, aerei e stavamo provando a costruire un elicottero radiocomandato, quest’ultimo progetto miseramente fallito per la complessità che ha un elicottero per poter volare. Troppo complesso per dei ragazzi di 14/15 anni e per gli anni ’80.

Oggi quel progetto sarebbe stato decisamente più semplice se volessimo auto-costruirci un Drone a quattro rotori. Questo per dire che oggi avere ed utilizzare un velivolo capace di volare in tutte le direzione e restare anche in volo stazionario è facilmente accessibile sia se lo si vuole costruire da soli che acquistandolo in un negozio di modellismo o su Internet; con qualche centinaio di euro si può acquistare un Drone a 4 rotori; spendendo poco di più si può avere un Drone a 6 o 8 rotori con una capacità di portare dei carichi che possono essere anche di più di dieci kg.

Perfetti per attaccarci qualcosa tipo una videocamera HD, no?

DRONI: CHE IMPATTO SULLA PRIVACY DEI CITTADINI?

Come spesso avviene prima arriva la tecnologia e poi, dopo un po’, arrivano le norme. A livello europeo è stata pubblicata l’Opinion 01/2015 on Privacy and Data Protection Issues relating to the Utilisation of Drones redatta dal Working Party definito sotto l’art.29 della Direttiva 95/46/EC (adottato il 16 giugno 2015). A livello nazionale abbiamo l’articolo 743 del Codice della Navigazione recentemente aggiornato dove, alla nozione di aeromobile, riporta “Per aeromobile si intende ogni macchina destinata al trasporto per aria di persone o cose. Sono altresì considerati aeromobili i mezzi aerei a pilotaggio remoto, definiti come tali dalle leggi speciali, dai regolamenti dell’ENAC e, per quelli militari, dai decreti del Ministero della Difesa. Le distinzioni degli aeromobili, secondo le loro caratteristiche tecniche e secondo il loro impiego, sono stabilite dall’ENAC con propri regolamenti e, comunque, dalla normativa speciale in materia”.

Qualcuno dirà “ma i Droni sono degli aeromodelli, quindi praticamente dei giocattoli”. I Droni sono, quindi, “aeromodelli” o “aeromobili a pilotaggio remoto”

Ad eccezione di modelli comprati in negozi di giocattoli i Droni sono degli aeromobili a pilotaggio remoto a tutti gli effetti perché sono dotati di equipaggiamenti che ne permettono un volo autonomo e possono volare attraverso l’ausilio di aiuti visivi.[1]
Questa definizione fa si che siano sotto i regolamenti ENAC, però l’ENAC regolamenta il volo non la sicurezza e la privacy! Regole di dettaglio arriveranno in un futuro, speriamo vicino, per ora si applicano le norme che ci sono che, comunque, già regolamentano abbastanza.

Pensando all’immagine che descrivevamo all’inizio di un Drone che vola in un parco pubblico, chi non si è detto che sarebbe stato simpatico e divertente fare delle riprese e magari “impicciarsi” di cosa succede dietro quella siepe molto alta e fitta che non fa vedere dentro un giardino di una villa o qualche cosa di simile? Pensate che cosa potrebbe escogitare qualcuno con qualche intenzione un po’ malevola! Vi diciamo subito che se avete fatto, pensato o vorreste andare ad impicciarvi dietro una siepe con un Drone state violando (o violereste) la privacy di qualcuno e quindi state commettendo un reato. Questo perché l’alzare un muro di cinta o una siepe sono proprio delle difese che mettiamo in piedi per proteggersi da sguardi indiscreti, quindi il proprietario del giardino ha fatto il possibile per difendersi siete voi che avete preso una “scala” e scavalcato, metaforicamente, il confine delimitato. Facciamo un piccolo passo indietro e vediamo che cosa dice la normativa. Senza scomodare la normativa privacy andiamo alle basi e vediamo cosa dice il Codice Penale – Libro II – Titolo XII Dei delitti contro la persona. L’Art. 615-bis. Interferenze illecite nella vita privata[2] e l’Art. 614. Violazione di domicilio[3] già ci danno parecchie indicazioni, anche la Suprema Corte di Cassazione ha detto cose interessanti sul tema, anche se non direttamente.[4] Quindi un cittadino deve porre a difesa della propria privacy delle barriere sufficienti (potremmo chiamarle anche contromisure) e questo viene fatto attraverso due fattori di protezione fisica che hanno due fattori di protezione: una barriera sufficientemente alta e la distanza dal suolo pubblico alla dimora privata. Attraverso un Drone si può agevolmente superare sia l’uno che l’altro fattore posto a difesa.

CHE IMPATTO SULLE AZIENDE?

Un Drone può essere utilizzato in diversi modi per fare degli attacchi, quelli che vogliamo qui analizzare sono gli attacchi informatici. Gli attacchi fisici che possono essere attraverso l’utilizzo di un Drone sono parecchi, ad es.: esplosivi, bombe “sporche”, agenti chimici, riprese video, riprese audio, ecc. Ma un hacker come potrebbe utilizzare i Droni in un attacco informatico verso un’Organizzazione? Noi ci siamo domandati questa cosa e l’abbiamo prima analizzata e poi simulata e testata. Quello che abbiamo cercato di capire è se un Drone crea nuovi attacchi o solo nuove possibilità di effettuare attacchi già esistenti. Lo studio che abbiamo fatto ha portato a poter affermare che non crea nuovi attacchi ma nuovi modi di fare attacchi informatici esistenti.

Come può essere schematizzato un attacco ad un sistema informatico da parte di un attaccante malevolo? Lo possiamo schematizzare in quattro passi). Il primo è l‘information gathering, dove sono raccolte le informazioni sul target. Il secondo è la pianificazione/preparazione dell’attacco dove sono organizzate le attività. Il terzo è l’attacco vero e proprio svolto singolarmente, come multi attaccante, con PC “zombi”, attraverso macchine ponte, ecc. L’ultimo è il post attacco dove si sfruttano le informazioni, si diffondono, ecc. Per capire dove può essere sfruttato un Drone in un attacco bisogna capire quali sono le capacità di un Drone. Un Drone permette di:

  • superare delle barriere fisiche che sono poste a difesa di un luogo;
  • volare in modalità anche stazionaria comandata o muoversi seguendo degli itinerari prestabiliti;
  • seguire oggetti in movimento anche in modo automatico;
  • raggiungere obiettivi distanti restando in contatto con un punto base anche distante.

Queste capacità ci possono aiutare in un attacco che, almeno in parte, coinvolge il mondo reale ed il cui target è lontano, poco accessibile e/o in movimento. Sicuramente può essere di aiuto nella raccolta di informazioni anche ambientali e nella fase dell’attacco stesso; stiamo parlando di attacchi informatici e non di attacchi fisici quindi l’attacco deve includere un accesso wireless alla rete (Wi-Fi, Bluetooth, RFID, ecc.).

Un Drone può essere una macchina ponte non nel senso comune utilizzato in informatica ma una macchina ponte fisica che rende raggiungibile un target che non sarebbe stato fisicamente raggiungibile in altro modo. Possiamo fare due semplici esempi: una rete Wi-Fi fisicamente distante e non raggiungibile; un oggetto in movimento dotato di un accesso wireless. Quando vengono effettuati attacchi alle reti Wi-Fi si considerano due aspetti, lo standard di cifratura utilizzato e, prima di tutto, l’accessibilità alla rete. Un aspetto è il capire da dove, all’esterno, si riesce a vedere la rete Wi-Fi con la normale antenna del portatile, con antenne esterne omnidirezionali o unidirezionali. Questi attacchi vengono fatti spesso dall’interno di un’auto parcheggiata, seduti su una panchina o cose di questo genere. Il principio alla base dell’attacco è che la rete Wi-Fi deve essere visibile ovviamente. Cosa succede se la rete non è visibile neanche attraverso un’antenna direzionale esterna al portatile? Semplicemente non si è in grado di fare l’attacco perché la rete non è visibile. Beh, se utilizziamo un Drone con un’antenna che fa da ponte la cosa cambia decisamente, inoltre possiamo essere distanti anche parecchio dal nostro target quindi barriere fisiche e grandi distanze non aumentano più la sicurezza della rete come prima. Altro esempio di dove possiamo utilizzare un Drone come macchina ponte per un attacco è l’attacco a un’automobile. Si parla spesso di car hacking, cioè di violare la rete delle auto e provocare danni, incidenti o altro. Sicuramente le reti delle auto non sono sicure e entrare nel sistema è abbastanza semplice e ci sono parecchi esempi di violazioni. Questi sono svolti sempre in ambienti controllati e non in ambienti reali o realistici. Il problema è la raggiungibilità del target reale. Facendo un semplice ragionamento, se abbiamo un’automobile dotata di una connessione wireless (diciamo un Wi-Fi o un Bluetooth) abbiamo una portata della rete variabile fra 10 e i 100m. Se l’attaccante è fermo e l’auto si muove abbiamo che la rete wireless è visibile 100m prima e 100m dopo la posizione dell’attaccante, quindi “ben” 200 m. Una macchina che viaggia a 10 km/h ci impiega poco più di un minuto per percorrere 200 m. Presupponendo che il target sia già stato individuato e si deve svolgere solo l’attacco ritenere fattibile farlo in uno o due minuti? Onestamente penso che non sia possibile neanche da parte del più bravo degli hacker. Certo se l’attaccante segue l’automobile in volo e, magari non visto, il tempo aumenta e l’attacco reale diventa veramente fattibile così come includere il tempo per scegliere il target.

COME CI DIFENDIAMO DA UN ATTACCO DI UN DRONE?

A questo punto nasce una domanda, ma come possiamo difenderci da un attacco di un Drone? Sicuramente giocano a nostro vantaggio due fattori: sono abbastanza rumorosi e quindi identificabili; hanno un’autonomia abbastanza limitata (variabile fra i 5 e i 25 minuti). Questi fattori lo rendono identificabile e, comunque, permettono un tempo non eccessivamente lungo. Per difenderci possono esserci metodi poco violenti come prendere un bastone e cercare di abbatterlo oppure più violenti e prendere un’arma da fuoco. Però c’è da considerare un aspetto non trascurabile da un punto di vista legale: se abbattendolo il Drone fa dei danni a cose e/o persone, di chi è la responsabilità? Nostra o del proprietario? Non sono un avvocato e non so dare una risposta certa, sicuramente una qualche responsabilità noi che l’abbiamo abbattuto l’abbiamo. Iniziano ad esserci delle personalizzazioni di dei Droni che permettono la cattura “fisica” del Drone intruso però ci sono delle opzioni più “raffinate” ed informatiche per farlo. Capiamone un po’ di più. I Droni sono degli oggetti interessanti ma informaticamente ancora non evoluti e estremamente vulnerabili. Se si leggono le caratteristiche di un Drone si inizia a vedere che hanno LINUX come SO, antenne Wi-Fi, un GPS, servizi come FTP e Telnet e radiocomandi che lavorano su frequenze standard. Beh, un Drone è facilmente violabile dal punto di vista informatico! Come detto poco fa’ non sono un avvocato ma violare un sistema informatico di un Drone, anche se sta violando la mia privacy o mi sta facendo un attacco, non è un esercizio lecito dei miei diritti. Non so se possa essere considerata una legittima difesa o un eccesso di difesa.

I Droni hanno una funzionalità molto interessante che possiamo sfruttare per difenderci essendo sicuri di non commettere un crimine, questa funzionalità si chiama “return to home” e si attiva quando il Drone non vede più la base di comando. Per evitare rischi e non essendo in grado di capire in autonomia dove può atterrare in sicurezza ritorna all’unico posto dove è sicuro che possa atterrare, cioè dove è decollato. Quindi la miglior difesa, priva di rischi legali, è quella di forzare il Drone ad andarsene e ritornare al suo punto di origine, per farlo ci sono diversi modi che non riusciamo qui ad affrontare per brevità purtroppo.

CONCLUSIONI

I Droni sono una realtà giovane e che si sta diffondendo che ancora non ben normata ma in cui iniziano ad esserci delle regole che porteranno all’obbligatorietà della registrazione ed alla riconoscibilità elettronica dell’apparato una sorta di targa digitale o, meglio, di chip come per gli animali domestici. Sicuramente oggi non possiamo trascurare questa minaccia e dobbiamo prenderla in considerazione. I SOC delle organizzazioni non devono solo monitorare e difendersi dagli attacchi informatici dalla rete ma andarsi sempre di più ad integrare con la difesa fisica degli edifici ed al monitoraggio non solo del perimetro attraverso la videosorveglianza ma anche dello “spazio aereo” intorno alla sede della nostra Organizzazione per identificare eventuali intrusi volanti e bloccarne gli attacchi informatici e non. C’è un altro aspetto interessante di cui non abbiamo parlato fino ad ora ed è che i Droni possono anche essere un’estensione “dinamica” della nostra rete di videosorveglianza, una sorta di “telecamere mobili” aprendo e semplificando notevolmente la copertura soprattutto di ampi spazi. Certo va compreso come va gestita la segnaletica delle aree soggette a videosorveglianza quando le telecamere sono mobili.

NOTE

  1. Aeromodello: dispositivo aereo a pilotaggio remoto, senza persone a bordo, impiegato esclusivamente
    per scopi ricreativi e sportivi, non dotato di equipaggiamenti che ne permettano un
    volo autonomo, e che vola sotto il controllo visivo diretto e costante dell’aeromodellista, senza
    l’ausilio di aiuti visivi. Aeromobile a Pilotaggio Remoto (APR): mezzo aereo a pilotaggio remoto
    senza persone a bordo, non utilizzato per fini ricreativi e sportivi.
  2. Art. 615-bis. Interferenze illecite nella vita privata: Chiunque mediante l’uso di strumenti di ripresa
    visiva o sonori, si procura indebitamente notizie o immagini attinenti alla vita privata
    svolgentesi nei luoghi indicati nell’articolo 614, è punito con la reclusione da sei mesi a quattro
    anni. Alla stessa pena soggiace, salvo che il fatto costituisca più grave reato, chi rivela o diffonde,
    mediante qualsiasi mezzo di informazione al pubblico, le notizie o le immagini ottenute
    nei modi indicati nella prima parte di questo articolo.
  3. Art. 614. Violazione di domicilio: Chiunque s’introduce nell’abitazione altrui, o in un altro luogo
    di privata dimora, o nelle appartenenze di essi, contro la volontà espressa o tacita di chi ha il
    diritto di escluderlo, ovvero vi s’introduce clandestinamente o con inganno, è punito con la reclusione
    da sei mesi a tre anni.
  4. Sentenza n. 18035/2012 della Suprema Corte di Cassazione: “la tutela del domicilio è limitata
    a ciò che si compie in luoghi di privata dimora in condizioni tali da renderlo tendenzialmente
    non visibile ad estranei”.

A cura di Andrea Praitano

Articolo pubblicato sulla rivista Safety & Security – Gennaio/Febbraio 2016

 

Condividi sui Social Network:

Ultimi Articoli