L’attuazione di solide strategie di protezione delle infrastrutture digitali deve sempre più considerare, oltre alle minacce software, anche gli attacchi fisici ai circuiti integrati, come gli attacchi side-channel, via via più comuni. La difesa della sicurezza comincia dall’hardware
Incidenti informatici che consentono intrusioni, sottrazioni di dati. Che provocano compromissioni dei servizi IT essenziali nelle infrastrutture di aziende private ed enti pubblici e governativi. Tensioni geopolitiche e guerre cibernetiche, con attacchi che colpiscono svariate tipologie di sistemi elettronici. Minacce informatiche che si fanno sempre più complesse e multiforme. In uno scenario simile, oggi più che mai, quando si parla di sicurezza e di cybersicurezza, il problema delle vulnerabilità, e delle conseguenti misure di difesa e protezione attuabili, va inquadrato nella prospettiva più ampia possibile, considerando i potenziali vettori di attacco con una visuale a 360 gradi. Nella modellazione delle minacce (threat modeling), ciò significa anche includere, e analizzare con sempre maggior attenzione, non solo le minacce software, ma anche agli attacchi fisici, che hanno l’obiettivo di colpire l’hardware dei chip. Circuiti integrati, microprocessori, microcontrollori, GPU (graphics processing unit), acceleratori AI (AI chip) e altre varie tipologie di dispositivi sono sempre più esposti a violazioni a livello hardware.
Attacchi hardware nei sistemi cyber-fisici
È vero che, ricordando la storia dell’informatica, in passato l’impegno degli addetti ai lavori si è sostanzialmente concentrato sulle vulnerabilità e sulla sicurezza del software nel mondo IT (information technology), e successivamente anche sulla protezione delle infrastrutture derivanti dall’integrazione dell’IT con i sistemi di telecomunicazioni (ICT). È altrettanto vero però che negli ultimi anni gli attacchi all’hardware, diretti verso chip e circuiti integrati, sono diventati una preoccupazione rilevante per chi si occupa di cybersecurity. Una preoccupazione aumentata con la progressiva convergenza tra tecnologia IT e tecnologia OT (operational technology), che ha originato infrastrutture ancora più complesse e vulnerabili, come i sistemi cyber-fisici (CPS – cyber-physical system). Alcuni esempi sono i sistemi cyber-fisici di automazione industriale, o le reti IIoT (Industrial Internet of Things) che interconnettono svariati dispositivi smart e sistemi embedded.
Nei CPS la superficie di attacco sfruttabile dagli attori delle minacce aumenta, estendendosi, dal mondo cyber, ai dispositivi e attrezzature (chip, processori, PLC, sensori, attuatori, reti, software di automazione) che controllano macchinari, linee di produzione, infrastrutture critiche. L’impatto di un attacco, a livello hardware o software, a un sistema cyber-fisico può essere molto più grave della perdita di dati o della compromissione delle funzionalità di un’applicazione IT. L’attacco ha la capacità di mettere in crisi la normale operatività di aziende manifatturiere, reti energetiche, stabilimenti industriali, causando danni di varia entità e conseguenze potenzialmente catastrofiche, che possono mettere a rischio anche l’incolumità delle persone.
Vulnerabilità hardware in aumento dell’88%
Gli attacchi hardware sfruttano le vulnerabilità dei chip a livello fisico, per alterare un circuito integrato, o per esfiltrare informazioni. Queste vulnerabilità appaiono in forte aumento: con la diffusione della IoT, segnala Bugcrowd, società attiva nella ‘crowdsourced cybersecurity’, in un recente rapporto, le vulnerabilità hardware hanno registrato un aumento dell’88%. Inoltre, l’81% dei ricercatori di sicurezza ha riscontrato nuove vulnerabilità hardware negli ultimi 12 mesi.
Un tempo l’hacking dell’hardware era considerato un’attività di nicchia, ricorda un’altra ricerca di Bugcrowd (“Inside the Mind of a Hacker 2024 – The Rise of Hardware Hacking”) sull’argomento, ma oggi sta vivendo un’intensa accelerazione. A favorire questo trend ci sono, da un lato, l’aumento sul mercato di dispositivi smart economici - molti dei quali danno la priorità alle funzionalità piuttosto che alla sicurezza - e, dall’altro, i progressi compiuti dagli strumenti di hacking. Le condizioni, insomma, sono favorevoli per gli attori delle minacce che prendono di mira l’hardware di aziende e governi.
La sicurezza del software chiarisce la ricerca, per quanto possa essere sofisticata, risulta praticamente inutile se gli aggressori trovano il modo di sfruttare l’hardware fisico. Di conseguenza, un attacco fisico diretto all’hardware, quindi ai chip, è da considerare tra le forme più pericolose di attacco informatico, in quanto, agendo al livello più profondo del sistema, ha la capacità di minare alle fondamenta i meccanismi di sicurezza, e di compromettere l’efficacia delle difese software che si trovano ai livelli superiori, come ad esempio quelle del sistema operativo.
Diverse vie di violazione dei chip
Le tecniche di attacco utilizzate per violare circuiti integrati, GPU e chip AI sono numerose, e possono anche essere combinate tra loro, allo scopo di aumentare l’efficacia della violazione. In genere, gli attacchi fisici sono classificabili in due categorie: gli attacchi intrusivi e gli attacchi non intrusivi. I primi richiedono l’accesso fisico e diretto ai circuiti interni del chip, con interventi di manomissione spesso distruttivi. Un esempio di attacco intrusivo è il probing, che per il collegamento fisico delle sonde ai circuiti interni richiede la rimozione del package e di altri strati protettivi del chip. Un altro esempio è il reverse engineering (ingegneria inversa) di tipo distruttivo, che, per analizzare il chip, scattare immagini ad alta risoluzione della struttura dei circuiti ed estrarre chiavi e dati segreti, adotta tecniche di rimozione (delayering) dei vari strati di materiale.
Gli attacchi non intrusivi, invece, non richiedono la manomissione fisica del dispositivo e dei circuiti interni, e possono basarsi su misurazioni passive, come gli attacchi side-channel (SCA – side-channel attack), oppure su manipolazioni attive, come nel caso degli attacchi di ‘fault injection’.
Gli attacchi side-channel sono non intrusivi, perché non richiedono una manomissione diretta e invasiva del chip, ma estraggono dati e informazioni limitandosi a monitorare, misurare o analizzare perdite non intenzionali di informazioni durante il funzionamento del dispositivo. Le perdite possono originarsi, ad esempio, da variazioni dei parametri fisici dei chip, come emissioni elettromagnetiche, consumo di energia, tensione. Analizzando tali fughe di informazioni, l’attacco side-channel può permettere di recuperare chiavi crittografiche o altri dati segreti. Va aggiunto che non tutti gli attacchi side-channel necessitano di accesso fisico al chip, in quanto alcuni possono essere potenzialmente condotti anche in modalità remota: ad esempio, sfruttando le vulnerabilità nel cloud derivanti dalla natura condivisa di risorse hardware ad alta intensità di calcolo come le GPU. In questi casi, l’attività di una GPU condivisa può essere spiata remotamente e analizzata per ricostruire dati specifici, relativi a una chiave crittografica o a un modello di apprendimento automatico.
Sempre tra le tecniche non intrusive si collocano gli attacchi di ‘fault injection’, che consistono nell’introdurre intenzionalmente un errore nel funzionamento di un chip per far eseguire al dispositivo elettronico un’operazione anomala, bypassando i controlli di sicurezza, ed esponendo dati sensibili. I metodi di disturbo spaziano dalla manipolazione del segnale di clock (clock glitching), all’alterazione della tensione di alimentazione (voltage glitching), all’utilizzo di tecniche più invasive, come la ‘laser fault injection’ (LFI). In quest’ultima, un raggio laser viene diretto verso specifiche aree del chip - che può essere un microprocessore, un microcontrollore o una memoria - inducendo disturbi elettrici che causano anomalie di funzionamento, consentendo di superare i meccanismi di security.
Il panorama delle minacce include anche i trojan hardware (HT), ossia circuiti malevoli inseriti deliberatamente all’interno di un chip in fase di progettazione, produzione o distribuzione. Ciò richiama l’attenzione sull’importanza cruciale di mantenere l’integrità della supply chain, attuando politiche di costante controllo della genuinità della catena di approvvigionamento. Gli hardware trojan sono pensati per rimanere nascosti durante il processo di verifica del progetto sotto attacco. Una volta attivi, non vengono rilevati dai convenzionali programmi antivirus, e consentono di esfiltrare chiavi segrete, o di disabilitare o alterare funzioni critiche come i calcoli crittografici, indebolendo i meccanismi di sicurezza. Possono inoltre costituire una backdoor di accesso remoto, quindi un punto di ingresso segreto, sfruttabile dall’attaccante per bypassare le normali misure di sicurezza e prendere il controllo del dispositivo.
Migliora la capacità di attuare gli attacchi
Credere ancora che l’hacking dell’hardware richieda attrezzature specializzate e costose, o sia una pratica accessibile solo a tecnici ultra-esperti, avverte il rapporto di Bugcrowd, è una convinzione progressivamente smentita dal fatto che i tool stanno diventando più abbordabili. Ad esempio, gli attacchi side-channel sono sempre più comuni perché gli apparati di misura sono diventati più precisi e convenienti. E un analogo fenomeno sta accadendo con gli attacchi fault injection.
Un altro formidabile mezzo di potenziamento degli odierni tool di hacking è rappresentato dall’intelligenza artificiale (AI), in quanto gli algoritmi AI sono in grado di eseguire analisi complesse, identificando variazioni minime nel consumo energetico, nelle emissioni elettromagnetiche o nei dati di temporizzazione di un dispositivo. Inoltre, possono scoprire schemi comportamentali che potrebbero passare inosservati agli occhi di un operatore umano. La AI consente anche di accelerare la velocità di accesso ai sistemi, e fornisce l’abilità di automatizzare e parallelizzare gli attacchi, in modo da violare simultaneamente molteplici dispositivi.
Strategie di protezione dei chip
Allo scopo di contrastare le minacce hardware-based, i principali produttori di chip, tra cui società come Intel, AMD, NXP, stanno investendo nella sicurezza a livello hardware, e implementando tecniche di progettazione basate sul concetto di “security-by-design”, che fin dall’inizio del ciclo di sviluppo integra nei chip contromisure e meccanismi di difesa contro gli attacchi fisici.
Per quanto attiene agli attacchi side-channel, vi possono essere differenti strategie di difesa e mitigazione. Una comune contromisura consiste nel nascondere le correlazioni tra le operazioni eseguite dal chip e le sue emissioni fisiche, come il consumo di energia o le emissioni elettromagnetiche. Il mascheramento dei dati (data masking), ad esempio, consente di offuscare i dati sensibili in elaborazione suddividendoli e combinandoli con valori casuali generati internamente al chip. Altre tecniche, come la ‘noise injection’, introducono disturbi e rumore casuale, ad esempio, nelle emissioni elettromagnetiche del dispositivo, in modo da complicare l’analisi dei segnali che contengono dati sensibili. Altri metodi ancora prevedono la progettazione del circuito integrato in modo tale da mantenere il suo consumo di energia il più uniforme possibile (power balancing) indipendentemente dai dati elaborati, con l’obiettivo di mitigare il rischio di rivelare dati e informazioni attraverso l’analisi dell’alimentazione. Tra le varie contromisure, vi sono poi anche tecniche di schermatura elettromagnetica (shielding) dei componenti sensibili, che aiutano a contenere le emissioni elettromagnetiche dell’hardware.
Supply chain, maggior ostacolo alla resilienza cibernetica
In confronto alla sicurezza del software, la sicurezza dell’hardware è probabilmente un ambito ancora poco esplorato da chi si occupa di ricerca sulla sicurezza. D’altro canto, la complessità dei processi di progettazione dei circuiti integrati (IC), e la diversità degli attori coinvolti nella catena di fornitura dei chip, estendono le superfici di attacco indirizzabili, complicando le attività di investigazione, indipendentemente dalle applicazioni finali a cui tali chip verranno destinati. Tuttavia, proprio per questa ragione, tali attività di ricerca necessitano di essere intensificate, anche considerando la gravità degli eventi recenti. Tra questi, ad esempio si può citare l’attacco devastante che, sfruttando la supply chain, nel settembre del 2024 in Libano e Siria ha permesso di sabotare e far esplodere simultaneamente migliaia di cercapersone (pager) e walkie-talkie appartenenti a miliziani e ufficiali di Hezbollah, causando numerose vittime e feriti. L’attacco, riportano varie fonti, è stato reso possibile compromettendo la catena di fornitura dei pager, attraverso la creazione di società fantasma.
La crescente complessità del cyberspazio, secondo il Global Cybersecurity Outlook 2025 del World Economic Forum, sta allargando la disparità tra grandi e piccole organizzazioni, e accentuando le difficoltà nel raggiungimento della resilienza cibernetica. Circa il 35% delle piccole organizzazioni ritiene che la propria resilienza informatica sia inadeguata: una percentuale che è aumentata di sette volte dal 2022. Inoltre, indica il rapporto, tra le grandi organizzazioni, il 54% ha individuato nelle sfide della supply chain il principale ostacolo al raggiungimento della resilienza informatica. In particolare, la crescente complessità delle catene di approvvigionamento, unita alla mancanza di visibilità e supervisione dei livelli di sicurezza dei fornitori, è emersa come il principale rischio di cybersecurity per le organizzazioni.
Misure normative: il Cyber Resilience Act
Con l’obiettivo di ridurre le vulnerabilità, promuovere il concetto di ‘security by design’ e salvaguardare le aziende e i consumatori che acquistano prodotti hardware o software con componenti digitali, la legislazione dell’Unione europea ha introdotto la legge sulla cyber resilienza, o Cyber Resilience Act (CRA), entrata in vigore il 10 dicembre 2024. Quest’ultima mira a semplificare l’identificazione dei prodotti hardware e software dotati di adeguate funzionalità di sicurezza informatica. In particolare, prevede requisiti obbligatori in materia di cybersicurezza per produttori e retailer, disciplinando pianificazione, progettazione, sviluppo e manutenzione dei prodotti. Tali obblighi devono essere rispettati in ogni fase della catena del valore. L’atto impone inoltre ai produttori di fornire assistenza durante il ciclo di vita dei loro prodotti. I principali obblighi introdotti dalla legge si applicheranno a decorrere dall’11 dicembre 2027.
Pur non indirizzando in maniera diretta la cybersecurity, anche il regolamento sui chip (European Chips Act), entrato in vigore il 21 settembre 2023, punta, tra le varie cose, a rafforzare la resilienza dell’Europa nelle applicazioni dei semiconduttori. Tra i pilastri del regolamento, l’istituzione di un quadro per garantire la sicurezza dell’approvvigionamento e la resilienza nel settore dei semiconduttori all’interno dell’Unione.
