Nel 2017, Mellini scoperchia il vaso di Pandora del design “ready-to-market”: Bluetooth Low Energy, nessuna password, nessun filtro. Il laboratorio? Un sex toy.
Il senso? Dimostrare che non è il device a essere debole, ma il pensiero che ci sta dietro.
Lo stesso “buco” si ritrova nei badge industriali, negli smartwatch medicali, nelle lampadine e in tute le infrastrutture che – sotto la superficie – parlano la stessa lingua e dimenticano le stesse protezioni.
Ma non è una questione di singole “vulnerabilità” o incidenti di cronaca da retrospettiva.
È il pattern, la ripetizione, la crescita silenziosa degli errori di progetto che attraversano interi settori: nessuno pensa che la routine, il device quotidiano, la funzione apparentemente innocua, sia il vero punto di passaggio. Le USB non sono solo fisiche: il BLE è la porta logica aperta nel cuore delle aziende e delle case.
QUELLO CHE GLI AUDIT OFFENSIVI CONTINUANO A TROVARE
C’è chi oggi, nei nostri penetration test, si è visto aprire una smart lock dall’esterno senza lasciare traccia, perché la connessione BLE si faceva bastare il “pairing” automatico, senza domande. Un POS retail, altrove, ha ceduto quando un semplice sniffer BLE ha pivotato la transazione verso la rete interna, senza che alcun SIEM desse segnale. Nel campo medicale, wearable e tracker hanno spedito dati sanitari in chiaro, permettendo profilazione senza ostacoli. Badge aziendali “intelligenti”? Autenticazione annullata da semplici replay di pacchetti BLE, rendendo la sicurezza una formalità.
Non sono casi isolati. Sono il pattern, e lo vediamo proprio dove la routine rende ciechi. Fare penetration test oggi significa trovarsi davanti a una realtà che nessuno vuole vedere – non perché sia invisibile, ma perché è troppo diffusa per fare notizia singolarmente. Le serrature si aprono, le transazioni si manipolano, i dati personali viaggiano in chiaro, perché il tempo di fermarsi e “progettare sicuro” non c’è mai. Quello che manca non è solo un firewall: è la domanda che nessuno pone in fase di design.
LA VERA DIFFERENZA
Chi anticipa la domanda, governa il rischio. La vera differenza non la fa la patch, né la policy. La fa chi mete in discussione la routine, chi sa leggere il segnale nei dettagli ignorati, chi non accetta scorciatoie. Chi osserva la normalità, la possiede. Chi la ignora, la subirà.
La sicurezza-by-design non è una feature, è un mindset. Ogni giorno passato senza chiamare le scorciatoie col loro nome è un giorno in cui il vero rischio cresce invisibile, ma non introvabile.
Se stai progettando un device connesso, un’infrastruttura IoT, o un sistema di badge/access control – fermati un attimo. Quella connessione BLE che stai implementando per “convenience”, come viene autenticata? Come viaggiano i dati? Chi potrebbe intercettarli, ora o domani?
SE NON NE PARLI ORA, NE SARAI BERSAGLIO DOPO.
Fonti operative: Mellini, BLE hack, 2017 Audit e penetraon test reali (portfolio disponibile su richiesta) USB Drop Experiment, UIUC / Google BadUSB/HID Spoofing