Proteggere l’IoT dalla minaccia che la Cina rappresenta per le infrastrutture statunitensi

Sep 02, 2023

JIUJIANG, CINA: Un ingegnere ispeziona i server in un data center gestito da China Telecom. (Credito fotografico: ... [+] Feature China/Future Publishing tramite Getty Images)

Il divieto sulle apparecchiature di telecomunicazione e di videosorveglianza prodotte in Cina è stato emanato per proteggere le infrastrutture di rete e i sistemi di monitoraggio qui negli Stati Uniti. Queste leggi risalgono al Secure and Trusted Communications Networks Act degli Stati Uniti del 2019, al Supply Chain Order del 2019 e, più recentemente, al bipartisan Secure Equipment Act del 2021. Questi divieti includevano anche il “rip and replace” di apparecchiature di telecomunicazione e di rete, con Sussidi del governo statunitense per assistere le società di comunicazione e altre società a coprire i costi di tale sforzo.

Ora sembra che la FCC stia puntando a proteggere una rete ancora più pervasiva di sistemi e dispositivi, nota come IoT o Internet delle cose. Tuttavia, questa volta l’iniziativa potrebbe avere un impatto letteralmente su milioni di dispositivi e sistemi già implementati qui negli Stati Uniti, dai sistemi di comunicazione dei vigili del fuoco e della polizia, all’industria automobilistica e alle infrastrutture critiche, come i servizi pubblici e le moderne reti di comunicazione delle città intelligenti.

Immaginate se un criminale sponsorizzato dallo stato cinese potesse spegnere l’intera rete elettrica in una grande città degli Stati Uniti attraverso una backdoor nel sistema di comunicazione di uno di questi dispositivi. In modo allarmante, la minaccia di questo livello di disastro da stato di emergenza rientra ampiamente nel campo delle possibilità e ha sollevato l’antenna della FCC e dell’onorevole Jessica Rosenworcel, presidente della FCC.

Perché la FCC sta intervenendo per proteggere l’IoT negli Stati Uniti

In una lettera al Congresso del 7 agosto, Rosenworcel descrive dettagliatamente la minaccia che i moduli radio cellulari prodotti dalla Repubblica popolare cinese (RPC) o dal Partito comunista cinese (PCC) rappresentano sui dispositivi IoT, dalle automobili, ai camion e ai trattori, ai dispositivi medici. attrezzature, altri dispositivi intelligenti e altro ancora. In chiusura, la lettera di Rosenworcel afferma che “Affrontare i moduli IoT cellulari della RPC è un naturale passo successivo per la FCC, in consultazione con le agenzie di sicurezza nazionali competenti. Per prima cosa, Quectel e Fibocom forniscono aziende le cui apparecchiature sono già incluse nella Covered List della FCC. Le apparecchiature presenti in questo elenco rappresentano una minaccia alla sicurezza nazionale per gli Stati Uniti e potrebbero non ricevere l’autorizzazione per l’importazione o la vendita negli Stati Uniti. Un esame simile dovrebbe essere preso in considerazione per eventuali moduli IoT cellulari della RPC presenti in questa apparecchiatura”.

Modulo radio wireless Fibocom, prodotto in Cina

La mossa sembra logica, ma il modo in cui queste minacce potrebbero essere attuate potrebbe diventare davvero spaventoso dal punto di vista di molti cittadini statunitensi. Questi moduli radio sono generalmente costituiti da un modem 4G LTE o 5G, insieme a controller e firmware dedicati che consentono al dispositivo di funzionare come collegamento di comunicazione per il sistema host (telecamera IoT, automobile, attrezzatura della polizia, attrezzatura medica o di servizi pubblici, ecc.). ) al mondo esterno, tramite il trasferimento di dati su Internet. L’ovvia minaccia iniziale è che i dati comunicati tramite queste radio potrebbero essere esfiltrati e rispediti al produttore e al paese di origine, in questo caso alla RPC o al PCC. Tuttavia, ciò che è molto più allarmante è il controllo che questi moduli radio possono avere sui sistemi host in cui sono distribuiti.

Nella sua lettera al Congresso, Rosenworcel descrive in dettaglio un incidente che John Deer ha avuto con una flotta di trattori. La Russia ha rubato circa 5 milioni di dollari in attrezzature agricole da una concessionaria John Deer in Ucraina, nel tentativo di riportarle in Russia. Fortunatamente, l’attrezzatura era dotata di moduli di fabbricazione occidentale e alla fine il produttore dei moduli è riuscito a murare i trattori e le attrezzature mentre attraversavano il confine russo.

Proteggere l'IoT: il problema e la soluzione

Concetto di città intelligente a New York, Stati Uniti con comunicazioni di rete e Internet delle cose. Credito: ... [+] Getty Images

Discutendo con le mie fonti di settore, ho appreso che in realtà questi moduli possono essere controllati in remoto dal produttore del modulo, in genere per la manutenzione e gli aggiornamenti del firmware di sicurezza, ecc. Tuttavia, esiste la possibilità non solo di curiosare sui dati comunicati via radio , ma anche il produttore potrebbe facilmente spegnere l'intero sistema host, operando da solo e completamente fuori banda. Considerando questi rischi sullo sfondo della base di installazione di questi moduli, in tutto, dalle telecamere del corpo di polizia, alle apparecchiature mediche, alla tua auto e persino alla rete elettrica locale, la superficie di attacco alla sicurezza è allo stesso tempo allarmante e abbondantemente presente intorno a noi.