Limitare Flipper è un approccio alla sicurezza senza responsabilità: la risposta del governo canadese all’hacking automobilistico

L’8 febbraio François-Philippe Champagne, ministro canadese dell’Innovazione, della Scienza e dell’Industria, ha annunciato che il Canada vieterà i dispositivi utilizzati per il furto delle auto senza chiave. L'unico dispositivo menzionato per nome era Flipper Zero, il dispositivo multitool che può essere utilizzato per testare, esplorare ed eseguire il debug di diversi protocolli wireless come RFID, NFC, infrarossi e Bluetooth.

Sebbene sia utile come dispositivo per test di penetrazione, Flipper Zero è poco pratico rispetto ad altri dispositivi più specializzati per il furto d'auto. È possibile che l'hype sui social media attorno al Flipper Zero abbia portato le persone a credere che questo dispositivo offra opportunità di hacking più facili per i ladri d'auto*. Ma anche i funzionari governativi stanno consumando tale pubblicità. Ciò porta a politiche che non proteggono i sistemi, ma piuttosto impediscono importanti ricerche che espongono potenziali vulnerabilità che il settore dovrebbe risolvere. Anche con il Canada che ha fatto marcia indietro sulla dichiarazione originale che vietava apertamente i dispositivi, limitare i dispositivi e le vendite per “andare avanti con misure per limitare l’uso di tali dispositivi solo ad attori legittimi” è problematico per i ricercatori di sicurezza.

Questo non è il primo governo che cerca di limitare l’accesso a Flipper Zero, e abbiamo spiegato in precedenza perché questo approccio non solo è dannoso per i ricercatori nel campo della sicurezza, ma lascia anche la popolazione in generale più vulnerabile agli attacchi. I ricercatori nel campo della sicurezza potrebbero non avere a disposizione gli strumenti specializzati utilizzati dai ladri d’auto, quindi strumenti più generali tornano utili per individuare e proteggere dalle vulnerabilità. I dispositivi ad ampio scopo come Flipper hanno una vasta gamma di usi: test di penetrazione per facilitare il rafforzamento di una rete domestica o di un'infrastruttura organizzativa, ricerca sull'hardware, ricerca sulla sicurezza, sviluppo di protocolli, utilizzo da parte di hobbisti radiofonici e molti altri. Limitare l’accesso a questi dispositivi ostacolerà lo sviluppo di tecnologie forti e sicure.

Quando l'ente regolatore nazionale brasiliano delle telecomunicazioni, Anatel, si è rifiutato di certificare il Flipper Zero e di conseguenza ha impedito al servizio postale nazionale di consegnare i dispositivi, ha risposto al clamore mediatico. Con un display e controlli che ricordano le console per videogiochi portatili, il formato compatto e la gamma di hardware (incluso un ricetrasmettitore a infrarossi, un lettore/emulatore RFID, SDR e un modulo Bluetooth LE) hanno reso il dispositivo un bersaglio facile da demonizzare. Sebbene evocare immagini di furti d'auto "punta e clicca" fosse facile, citare esempi di ciò che è realmente accaduto si è rivelato impossibile. Più di un anno dopo, sarebbe difficile trovare un singolo esempio di furto di un'auto con il dispositivo. Il numero di auto rubate con il Flipper sembra essere pari a zero (gioco di parole). È lo stesso clamore mediatico e la pura speculazione che hanno portato i regolatori canadesi a sbagliare nel loro giudizio nel vietare questi dispositivi.

Ancora peggio, le forze dell’ordine di altri paesi hanno segnalato le proprie intenzioni di sottoporre i proprietari del dispositivo a un controllo più approfondito. Il Brisbane Times cita la polizia del Queensland, in Australia: "Siamo consapevoli che può essere utilizzato per scopi criminali, quindi se vieni sorpreso con questo dispositivo ti faremo alcune domande serie sul perché hai questo dispositivo e cosa stai facendo." usarlo per." Presumiamo che altri strumenti con capacità simili, così come i coltellini svizzeri e i pennarelli Sharpie, che "possono essere utilizzati per scopi criminali", non saranno sottoposti allo stesso livello di controllo. Il semplice possesso di questo dispositivo, sia come hobbista che come professionista, o anche solo come cliente curioso, non dovrebbe rendere l'utente oggetto di zelanti sospetti da parte della polizia.

Non è passato molto tempo da quando la competenza con la riga di comando era vista come un'abilità pericolosa che richiedeva l'intervento delle autorità. E proprio come nel caso delle paure dei decenni passati, il piccolo granello di verità racchiuso nell’hype e nelle paure gli conferisce un potere fuori misura. La riga di comando può essere utilizzata per fare cose cattive? Ovviamente. Il Flipper Zero può favorire l'attività criminale? SÌ. Può essere usato per rubare auto? Non altrettanto bene di molti altri strumenti (e migliori, dal punto di vista dei criminali). Ciò significa che dovrebbe essere vietato e che coloro che possiedono questo dispositivo dovrebbero essere sospettati penalmente? Assolutamente no.

Ci auguriamo che il Canada comprenda questa logica e arrivi a considerare il dispositivo solo come uno dei tanti strumenti che possono essere utilizzati nel bene e nel male, ma soprattutto per il bene.

*Sebbene siano state sollevate preoccupazioni sulla connessione di Flipper Devices con l' apparato statale russo , non è stato osservato alcun dato inaspettato che fugge ai server di Flipper Devices e gran parte dell'hardware dedicato alla sicurezza e al pen-test che non è stato bandito soffre anch'esso di problemi simili.