Ciò che era iniziato come una bizzarra serie di scherzi nella Silicon Valley ha smascherato un fallimento sistemico nel modo in cui le città proteggono le loro tecnologie pubbliche più basilari. Lo scorso aprile, gli hacker hanno aggirato la sicurezza dei pulsanti delle strisce pedonali in circa 20 incroci, sostituendo le istruzioni standard per i pedoni con audio falsificato di miliardari della tecnologia.
Anche se il contenuto dei messaggi—che vanno dai falsi monologhi di Mark Zuckerberg sull’intelligenza artificiale a un Elon Musk alterato che discute di politica—può sembrare uno scherzo high-tech, l’incidente ha rivelato una realtà molto più allarmante: l’infrastruttura digitale che governa la sicurezza dei pedoni è spesso protetta da nient’altro che una password “1234”.
Uno scherzo high-tech con vulnerabilità low-tech
Gli attacchi non sono stati il risultato di un sofisticato hacking a forza bruta, ma piuttosto dello sfruttamento di punti deboli diffusi e prevedibili. Molti pulsanti per le strisce pedonali, in particolare quelli prodotti da Polara Enterprises, utilizzano il Bluetooth per consentire alle città di caricare clip audio personalizzati. Queste clip hanno lo scopo di assistere i pedoni non vedenti fornendo indicazioni direzionali.
Tuttavia, la sicurezza che circonda questa funzionalità è risultata allarmante:
– Password predefinite: I manuali ufficiali indicavano che molti modelli venivano spediti con la password predefinita di fabbrica “1234”.
– Strumenti disponibili pubblicamente: il processo di configurazione può essere gestito tramite un’app accessibile pubblicamente.
– Errore umano: anche quando erano disponibili password più complesse, gli installatori spesso utilizzavano credenziali semplici e condivise che venivano aggiornate raramente.
I colpevoli sono stati in grado di caricare in modalità wireless registrazioni personalizzate, facendo sì che i pedoni ascoltassero messaggi che dicevano di “minare la democrazia” o di supplicare di non “tassare i ricchi”. Poiché i pulsanti non tracciano chi carica l’audio e i filmati di sorveglianza hanno fornito poco aiuto, da allora le indagini della polizia nella Silicon Valley si sono raffreddate.
Il divario tra innovazione e sicurezza
Questo incidente evidenzia una crescente tensione nello sviluppo urbano: poiché le città integrano tecnologie più “intelligenti” – come sensori guidati dall’intelligenza artificiale e infrastrutture connesse – la velocità di implementazione spesso supera il rigore della sicurezza informatica.
Le vulnerabilità qui esposte sono sintomatiche di tre tendenze più ampie:
- Negligenza contrattuale: molti comuni, come Redwood City, in precedenza richiedevano ai fornitori di usare “ragionevole diligenza”, ma non imponevano specifici protocolli di sicurezza digitale o gestione delle password nei loro contratti.
- Monopoli di mercato: nel caso di Polara, la mancanza di un’intensa concorrenza potrebbe aver consentito al produttore di dare priorità all’affidabilità e alle vendite rispetto a una solida ingegneria di sicurezza. Gli ex dipendenti hanno notato che le scadenze ravvicinate e i piccoli team di tecnici lasciavano poco spazio per la pianificazione della sicurezza a lungo termine.
- Consapevolezza frammentata: mentre gli attacchi hacker alla Silicon Valley hanno fatto notizia, la vulnerabilità è rimasta irrisolta in altre regioni. Ad esempio, Denver ha recentemente riscontrato manomissioni simili sui pulsanti appena installati perché le password predefinite di fabbrica non erano ancora state modificate.
Verso un’infrastruttura rafforzata
Sulla scia di questi exploit, alcune città e produttori stanno cominciando a reagire. Seattle si è mossa per assegnare password univoche a ogni pulsante e ha stabilito rigidi elenchi di autorizzazioni per i tecnici. Il produttore, ora di proprietà di Synapse ITS, ha introdotto requisiti di password più rigorosi e passaggi di verifica aggiuntivi per i caricamenti audio.
Tuttavia, gli esperti sostengono che una risposta frammentata non sia sufficiente. L’ex funzionario della Federal Highway Administration Edward Fok suggerisce che la sicurezza informatica deve essere “integrata” in ogni contratto tra città e fornitori di tecnologia fin dall’inizio.
“La sicurezza di queste risorse critiche per la comunità è essenziale”, afferma Josh LittleSun, CTO di Synapse ITS.
Conclusione
La follia di hacking sugli attraversamenti pedonali serve come campanello d’allarme sul fatto che le “città intelligenti” sono sicure tanto quanto il loro anello più debole. Man mano che le infrastrutture pubbliche diventano sempre più interconnesse, la transizione dagli strumenti fisici alle risorse digitali richiede un cambiamento fondamentale nel modo in cui i governi gestiscono la responsabilità dei fornitori e gli standard di sicurezza informatica.
