Divergenze di opinione sul replay attack. Il Ministero rassicura gli utenti, mentre il gruppo di studio nocerino ne ribadisce il pericolo

A proposito della metodica del replay o relay attack, e quindi della notizia oramai di dominio pubblico, il Dipartimento del Ministro per l’Innovazione Tecnologica e la Digitalizzazione, ha diffuso un comunicato stampa in cui, in sintesi, si sostiene: “l’ipotetico attacco, chiamato nel gergo tecnico “relay”, è possibile in via teorica ma nella pratica è ritenuto particolarmente  complicato da attuare in quanto necessiterebbe dell’installazione sul territorio di numerose antenne fisiche ad alta potenza, facilmente individuabili. Il Ministero parla di “ipotetico” attacco, ma Vincenzo Iovino, uno dei ricercatori nocerini, non è d’accordo: “L’attacco relay non è possibile solo in via teorica ma è stato testato con successo da noi e da diversi ricercatori Svizzeri e Tedeschi. Noi, come anche altri ricercatori in Europa, nella pratica, abbiamo testato l’attacco con attrezzature a basso costo (del costo di circa 10/20 euro), di dimensioni molto ridotte e con trasmettitori non ad alta potenza”. Nel comunicato ministeriale si legge: “nella pratica è ritenuto particolarmente  complicato da attuare in quanto necessiterebbe dell’installazione sul territorio di numerose antenne fisiche ad alta potenza, facilmente individuabili”. Non è dello stesso avviso Biagio Pepe, il tecnico informatico che ha realizzato la componente hardware della scoperta scientifica, il quale risponde: “La tecnologia impiegata non ha fatto ricorso ad antenna ad alta potenza. Viceversa, è stato impiegato un chip, programmabile, dotato di un proprio sistema operativo multiprotocollo avente antenne integrate e operante nella gamma del BLE (bluetooth low energy)” Sostiene il Ministero, a proposito dell’attacco: “A renderlo ancora più complesso è poi il fatto che andrebbe condotto entro una finestra temporale ristretta e limitata”. Riguardo alla finestra temporale, precisa Vincenzo Iovino: “Google afferma che essa è di 2 ore, e quindi non può considerarsi affatto ristretta. Si pensi che l’attacco si può effettuare a mezzo di due periferiche collegate tra loro via Internet e che per inviare ogni RPI da una periferica all’altra, via Internet, sono necessari solo pochi millisecondi che potrebbero diventare, nel caso di grandi ritardi sulla linea, pochi secondi”.

Si legge, ancora, nella nota del Ministero: “Se tale eventuale attacco dovesse mai avvenire, sarebbe rilevato dal sistema di notifiche e dalle segnalazioni degli utenti, consentendo un intervento locale”. Iovino aggiunge: “Non ci risulta che il sistema di notifiche riveli notifiche false, infatti, i ricercatori che hanno effettuato con successo i test dei replay attack sostengono di non aver mai ricevuto alcuna segnalazione di rischio fake. Ad oggi, non risulta che Google abbia implementato qualsiasi protezione per prevenire eventuali attacchi informatici”. A proposito del comunicato del Ministero, abbiamo sentito l’Avv. Mario Ianulardo, Specializzato in Diritto Penale dell’Informatica: “Sì, ho letto il comunicato ministeriale e ritengo di poter affermare, con molta franchezza, che l’unica cosa certa, fra tutte, è il risultato della ricerca scientifica al quale si è pervenuti: vale a dire, la possibilità, non certo remota, di realizzare replay attack sol sfruttando una “caratteristica” del sistema BLE utilizzato anche da AppImmuni. Questo è un dato scientifico, incontrovertibile sul quale non credo sia opportuno, né tantomeno giusto in un momento di grave emergenza, indugiare”. “Quel che mi lascia perplesso è che gli “addetti ai lavori” avrebbero dovuto, sin da subito, provvedere ad apportare le misure di sicurezza necessarie a scongiurare eventuali attacchi informatici. Invece, le risposte di natura tecnica fornite dal Ministero lasciano intravedere che non si è ancora ben inquadrata la metodica replay attack e, quel che più preoccupa, è che non ci si è attivati ancora per correre ai ripari. Tra l’altro, il gruppo di lavoro, che già in precedenza si è reso disponibile a condividere, gratuitamente e nell’interesse della collettività, i risultati della ricerca scientifica svolta sulla vulnerabilità dell’App di contact tracing, finora non è stato interpellato”. Ancora, l’Avvocato Ianulardo: “Mi preme evidenziare che un’App, utilizzata in una fase d’emergenza sanitaria pubblica di portata internazionale, dovrebbe risultare del tutto “immune” da attacchi informatici esterni e ciò proprio a tutela della salute pubblica e interesse individuale”.