Cyber phisycal security. Perché è importante?

di Federico Fuga

Un generatore diesel da 2.25MW è in funzione in un sito industriale nella campagna dell’Idaho. Con il suo peso totale di 27 tonnellate, il generatore, è collegato ad una sottostazione della rete elettrica e fornisce energia convertendo il moto del massiccio rotore in elettricità.
Da centinaia di chilometri di distanza, qualcuno è penetrato nel sistema informatico dell’impianto e il Sistema di Controllo e Supervisione (SCADA). Ad un momento prestabilito, l’operatore avvia una procedura che, in sequenza, invia una serie di comandi di apertura e chiusura ad un interruttore di protezione a valle del generatore. Tale interruttore è installato come standard di protezione in tutti i generatori di questo tipo e permette di isolare l’impianto dalla rete elettrica in caso di emergenza.
Lo stacco di emergenza provoca un’improvvisa accelerazione del rotore, come quando improvvisamente un carico meccanico viene separato dal motore che lo traina. Viceversa, ad ogni chiusura dell’interruttore il motore subisce una brusca frenata. La ripetizione di queste aperture e chiusure provocano la generazione di oscillazioni meccaniche sull’albero, passando dallo statore, fino all’intera struttura del generatore. Ma l’attaccante non sta mandando i comandi con ritmo casuale: ha scelto proprio la frequenza di risonanza dell’albero e della struttura. La frequenza di risonanza è quella che trasferisce il massimo dell’energia amplificando enormemente l’ampiezza delle vibrazioni. La risonanza, è quel fenomeno che fa sì che la voce di un soprano possa provocare la rottura del calice di cristallo.
La procedura viene ripetuta ancora e ancora. Il generatore, pesante quanto un carro armato Bradley, sobbalza sollevandosi da terra come un fuscello, poi sbuffa un denso fumo nero ed esplode, scagliando frammenti della struttura nell’ambiente circostante.
A chilometri di distanza, i responsabili dell’esperimento Aurora annuiscono compiaciuti. In quello scorcio di aprile del 2007, infatti, la Homeland Security Agency è riuscita a dimostrare all’ignaro mondo dell’industria che la connessione di impianti industriali alle reti informatiche può costituire un rischio anche per il mondo fisico.

Uno degli ingegneri coinvolti nell’esperimento, commentò:
Il progetto Aurora ha dimostrato la capacità reale di sfruttare le capacità dei moderni dispositivi di protezione e di utilizzarli come armi distruttive. Mi sendo di dire che si sarebbero potuti ottenere risultati simili da qualunque tecnico competente in sistemi di protezione dotato di accesso al sistema e del desiderio di provocarli¹.
Nelle sue parole, l’ingegnere evidenziò precisamente il problema: nel 2007 non vi era la percezione che la protezione dei sistemi informatici che consentivano l’accesso ai sistemi SCADA necessitasse dello stesso livello di protezione dall’accesso fisico agli impianti.
Il video dell’esperimento è stato successivamente pubblicato su youtube ed è liberamente consultabile².

Cos’è la sicurezza cyberfisica

Per sottolineare come un sistema informatico dotato di capacità computazionale e comunicazione possa avere influenza sul modo fisico, si è coniato il termine “Sistema Cyber-fisico”.
In verità il termine indica un concetto un po’ più articolato e sfumato³, in quanto praticamente tutti i sistemi digitali moderni dotati di un qualche controllo sul mondo fisico tramite sensori e attuatori potrebbero essere inclusi in questa definizione, a partire dal semplice termostato domestico intelligente fino ai sistemi di guida assistita, mentre in origine si intendeva identificare gli impianti dotati di qualche sistema di supervisione e controllo, tecnicamente chiamati SCADA⁴.
Ad esempio nell’articolo “Cyber-physical systems: Are computer foundations adequate?”⁵, pubblicato nel 2006, tra i sistemi cyber-fisici vengono elencati principalmente applicazioni nei settori industriali e medicali, mentre quasi venti anni dopo si tende ad includere in esso anche categorie che allora non esistenvano⁶, ad esempio i dispositivi mobili personali, l’IoT, l’avionica, l’automotive (a guida autonoma o assistita), e gli UAV⁷.
Non è un caso quindi che qualcuno si spinga fino ad identificare una sovrapposizione tra metaverso e ambito cyberfisico, nel tramite del cosiddetto “digital-twin”, ossia il modello digitale dello stato di un oggetto o sistema fisico. Tuttavia nell’ambito di questo articolo è opportuno porre un limite pur arbitrario e temporaneo a questa definizione, pur riconoscendo che la pervasività del digitale nelle nostre vite ha fatto sì che anche qualunque minaccia alla confidenzialità delle informazioni o alla privacy, abbia inevitabilmente risvolti nel mondo reale.

I precedenti

Ad oggi⁸ si sono registrati un certo numero di incidenti che hanno coinvolto sistemi cyberfisici, anche se la loro gravità e frequenza sono state per lo più modeste. Vediamo brevemente alcuni esempi, a cominciare da quello che probabilmente è diventato il più famoso e il più eclatante.

Operazione Olimpic Games

Ai più la denominazione “Operazione Olympic Games” non dice nulla, ma chiunque si occupi di informatica e abbia memoria dei malware che hanno dominato la scena dell’informazione anche per il pubblico generalista ricorderà l’immenso mistero dietro il worm chiamato Stuxnet.
Se non fosse che gran parte degli eventi attribuiti all’operazione di intelligence così denominata sono stati direttamente o indirettamente confermati sia da parti in causa che da terze parti, anche in assenza di conferme ufficiali, si potrebbe pensare che tutta la vicenda nasca dal mondo complottista o dal parto di un autore di romanzi di spionaggio del calibro di Le Carré. E invece gli indizi che confermano lo svolgimento dei fatti e la ricostruzione degli eventi sono molteplici, tanto che l’intera storia è stata raccontata in diversi libri, tra cui l’ottimo, se pur datato, “Countdown to Zero Day” di Kim Zetter⁹.
Stuxnet è un malware scoperto per caso nel giugno del 2010 da un ingegnere della società di sicurezza informatica bielorussa VirusBlokAda, intervenuto presso un cliente che lamentava dei misteriosi blocchi dei sistemi Windows. Ben presto l’ingegnere si rese conto che il malware possedeva delle capacità di evasione e infezione assai sofisticate, mai viste in precedenza. La presenza di 7 diversi metodi di infezione, ad esempio attraverso condivisione di rete e supporti USB, l’uso di catene di vulnerabilità, l’uso di firme digitali la cui compromissione non era mai stata rilevata, ma soprattutto la presenza di codice atto a colpire sistemi di controllo industriali ben precisi fecero immediatamente supporre che dietro tale worm si potesse nascondere un attore con notevoli capacità tecniche e notevoli risorse finanziarie. Scavando nel mondo della threat intelligence si scoprirono tracce di tale malware risalenti a 5 anni precedenti.
Non ci volle molto perché qualcuno collegasse il fatto che Stuxnet colpisse soltanto i sistemi iraniani e che si attivasse con la presenza di software Siemens configurato per la programmazione dei PLC Step7, al programma di arricchimento dell’Uranio intrapreso dal governo dell’Iran. Un rapporto dell’AIEA del 2011 sostiene che tra il 2009 e il 2010 i tecnici dell’impianto di Natanz dovettero sostituire circa il 10% delle oltre 9,000 centrifughe utilizzate per l’arricchimento¹⁰.
Successivamente l’attacco informatico fu attribuito a Israele con la collaborazione degli Stati Uniti¹¹, tuttavia tale attribuzione non è mai stata ufficialmente confermata, pur essendo noto che l’amministrazione Bush prima e quella Obama poi hanno finanziato lo sviluppo di armi e piani di attacco per il mondo cyber¹².

Jeep Renegade e Toyota : la sicurezza cyberfisica è una questione di tutti

Era il 2015 e più di un milione di Jeep Renegade vendute negli USA sono state richiamate per un aggiornamento urgente: due ricercatori di sicurezza erano riusciti a violare il sistema di Infotainment attraverso l’access point Wifi di cui è dotato quel modello di auto, e da lì attraverso una catena di vulnerabilità, ad accedere al CAN bus, la rete che collega le diverse centraline del veicolo. Come una rete informatica interna, le diverse centraline si scambiano dati relativi al funzionamento come grandezze misurate dai sensori e stato degli attuatori. Alterando il flusso di tali informazioni i due ricercatori, a scopo dimostrativo, erano riusciti a compromettere l’auto di un giornalista di Wired che si era prestato all’esperimento, controllando accelerazione, frenata e diversi altri apparati, ed infine bloccando l’auto sull’autostrada I-64¹³.
Questa serie di vulnerabilità sollevò il problema su molteplici fronti. Innanzitutto, il fatto che la vulnerabilità passasse attraverso il sistema di Infotainment, ossia un elemento che nel contesto dell’elettronica veicolare non è generalmente considerato critico, mette in luce il fatto che nell’ambito della sicurezza, a differenza dei sistemi di controllo di processo, tutti gli elementi sono importanti nel garantire l’integrità e il buon funzionamento del tutto; non a caso in sicurezza informatica si usa dire che “la catena è forte quanto l’anello più debole”.
In secondo luogo la diffusione del prodotto vulnerabile faceva sì che in pericolo fosse messa la vita di milioni di utenti. L’incubo in cui ci si trovò proiettati, era quello di un attacco terroristico perpetrato verso milioni di viaggiatori nel mondo tramite un worm ad avvio ritardato, come più volte è successo sui computer di mezzo mondo. Fortunatamente al giorno d’oggi non sono noti incidenti dovuti a questo genere di attacco.
Il terzo punto è che la trasformazione di veicoli da semplici mezzi di trasporto a sistemi di calcolo collegati in rete e controllabili da remoto era ormai un fatto avviato, processo che dal 2015 ad oggi è andato via via aumentando in modo vertiginoso. L’esposizione di miliardi di utenti a questo rischio semplicemente oggi non è accettabile.
Un anno dopo gli stessi ricercatori riuscirono a violare la stessa auto nonostante le correzioni del produttore. Stavolta l’attacco richiedeva l’accesso fisico alla porta Diagnostica del veicolo (OBD). La vulnerabilità non ebbe lo stesso impatto nel mondo dell’industria e della sicurezza informatica, probabilmente per il fatto che tale vulnerabilità richiedeva l’accesso fisico all’elettronica del veicolo. Tuttavia 7 anni dopo, criminali di tutto il mondo possono acquistare sul dark web un dispositivo che, collegato attraverso i proiettori dei fari al CAN del veicolo, permette di aprire ed avviare il motore di alcuni modelli di Toyota¹⁴.

MH370: un attacco cyber? non proprio, però…

Nella docuserie in 3 episodi “MH370 L’aereo sparito nel nulla”, in streaming su Netflix, viene proposta una bizzarra ed improbabile ipotesi alternativa alla spiegazione ufficiale della sparizione, l’8 marzo 2014, del volo MH370 della Malaesian Airlines.
Senza entrare nei dettagli del fatto, che certamente il lettore ricorderà avendo la notizia destato enorme scalpore soprattutto per l’impossibilità allora ed oggi di avere certezza sulla causa e sulla dinamica dell’incidente, la spiegazione alternativa proposta dal giornalista Jeff Wyse e riportata nella docuserie citata è centrata su un’operazione di dirottamento perpetrata da un team di spie, probabilmente russe.
Uno o forse due agenti si sarebbero di nascosto intrufolati nel vano dei sistemi avionici sotto il pavimento della cabina principale del velivolo e da lì avrebbero effettuato delle operazioni di hacking dell’aereo. Per prima cosa avrebbero alterato il sistema di comunicazione satellitare in modo da modificare i tempi di risposta così che la posizione dell’aereo, calcolata dai tecnici di Inmarsat, risultasse sulla rotta verso sud, cioè verso l’oceano indiano meridionale anziché verso nord e verso il Kazakhistan, vera meta dell’aereo. Inoltre, dopo aver depressurizzato la cabina neutralizzando così passeggeri ed equipaggio, avrebbero utilizzato la rete avionica per pilotare e dirottare l’aereo seguendo una rotta alternativa.
Tale ricostruzione può forse risultare suggestiva, ma ha fatto sollevare più di un sopracciglio a chi si occupa di avionica.
Per i dettagli si rimanda ai numerosi documenti di debunking pubblicati su internet, in particolare il recente articolo pubblicato sul blog di Pen Test Partners, un’azienda che si occupa proprio del testing sui sistemi avionici¹⁵; basti dire che i sistemi avionici di un 777 sono sistemi costituiti sul principio della totale ridondanza, pertanto non è sufficiente collegarsi ad un bus di campo del veicolo per “prenderne possesso”, ma che è necessario controllare contemporaneamente la maggioranza dei diversi bus di campo collegati a dispositivi differenti. Una cosa che non si fa, semplicemente, con un laptop. Sebbene nella blogosfera vi siano diverse testimonianze di persone che sono riuscite a inserirsi nei bus di campo anche su voli commerciali, e a leggere i dati della strumentazione attraverso l’Entertainment System, ossia il sistema che permette ai passeggeri di vedere film, giocare o telefonare, un conto è leggere le informazioni, un conto è alterarle e controllare il velivolo.
Sebbene dunque si possa scartare l’ipotesi che la sparizione dell’MH370 sia stata perpetrata per mezzo della violazione del sistema avionico, tuttavia la vulnerabilità di alcuni moduli di bordo è non solo appurata, ma anche fonte di alcune preoccupazione per gli esperti del settore.
Recentemente sui voli della American Airlines si sono verificati dei fenomeni piuttosto imbarazzanti. Pare che frequentemente gli altoparlanti interni (intercom) del velivolo utilizzati per le comunicazioni tra l’equipaggio e i passeggeri siano disturbati da suoni gracchianti e persistenti, che alcuni descrivono come un mix tra rumori di diarrea esplosiva, vomito e strani gemiti vagamente sessuali¹⁶.
Sebbene la causa non sia stata accertata, non si può né escludere né confermare che tale incidente sia di natura cyber. Tecnicamente il sistema di comunicazione che permette all’equipaggio di fare comunicazioni ai passeggeri è vulnerabile a diversi attacchi sia informatici che fisici, e l’eventualità è ben spiegata in un altro interessante articolo reperibile sul blog dei Pen Test Partners¹⁷.
E’ naturale pensare che un attacco al sistema di comunicazione potrebbe costituire parte di un’operazione più complessa, e pertanto è da considerarsi, nel contesto del volo commerciale, una vulnerabilità di livello piuttosto alto. Sebbene di per sé la trasmissione di un audio attraverso l’altoparlante di bordo potrebbe far sorridere, si possono immaginare scenari in cui tale operazione può essere sfruttata per generare panico a bordo, con esiti fatali.

Aspetti critici

I casi presentati si prestano a fare delle considerazioni sul tema della sicurezza informatica in impianti e prodotti il cui buon funzionamento è critico soprattutto per la sicurezza delle persone e delle cose. Si sono scelti tre casi abbastanza diversi per evidenziare come la sicurezza cyberfisica sia diventata da tema relegato agli impianti industriali a materia in cui quasi nessuna azienda che produca tecnologia può sottrarsi.
Fino ad oggi, informatica ed impiantistica sono stati considerati mondi a parte, con una discrasia analoga a quella del significato dei due termini anglosassoni “safety” e “security”. Discrasia che in lingua italiana non possiamo cogliere in quanto entrambi i termini si traducono con “sicurezza”.
“Safety” è il termine che identifica la sicurezza in termini di incognite ed imprevisti “interni” (guasti, errori umani) che deve garantire l’integrità dell’impianto e la sicurezza fisica delle persone. Con il termine “Security” invece si identifica la sicurezza dal punto di vista delle minacce esterne, e nella sua declinazione informatica riguarda la confidenzialità, l’integrità e la disponibilità (ossia la continuità del servizio) delle informazioni. Se l’impiantistica ha fatto sua da subito la “security” a partire dai sabotaggi dei Luddisti nell’800, ossia ad esempio limitando gli accessi fisici all’impianto, l’informatica non ha la visione della “safety” perché fino ad oggi si è occupata quasi esclusivamente del virtuale.
Ora che impianti e processi sono informaticamente collegati, i due mondi sono andati a sovrapporsi e il fatto che non vi possa essere safety senza security è un’acquisizione relativamente recente.
Per capire la difficoltà, si pensi al fatto che nei sistemi di controllo complessi ci si preoccupa che grandezze e comandi si trovino nei limiti che garantiscono la sicurezza, ma nell’ambito della sicurezza cyberfisica il problema riguarda anche la possibilità che regole, limiti ed algoritmi possano essere sovvertiti dall’esterno e non solo da guasti; idealmente quindi un sistema cyberfisico dovrebbe quindi essere intrinsecamente sicuro indipendentemente dai comandi e dagli algoritmi di controllo, e si dovrebbe ridurre al minimo la probabilità che comandi e algoritmi possano essere alterati contro la volontà di chi l’ha in cura.
Al di là di questi aspetti peculiari delle due diverse “discipline”, esistono anche rilievi tecnici. Uno degli aspetti piuttosto critici del mondo delle installazioni cyberfisiche è la difficoltà di recepire le novità in ambito informatico; non di rado i componenti in uso in impianti industriali sono componenti la cui affidabilità è comprovata da anni o decenni di esperienza, e la cui sostituzione con componenti analoghi ma più moderni non è così immediata, sia per la disponibilità o per il costo, sia anche per il know how necessario al personale per utilizzarlo od operarlo. Molto spesso poi le componenti software, quali programmi per PLC, terminali SCADA o sinottici sono stati sviluppati da aziende che magari non operano più o che non li mantengono; l’introduzione di novità, quali nuove tecnologie, nuove tipologie di connettività o persino aggiornamento di software, potrebbero essere proibitive. Si aggiunga il fatto che la digitalizzazione degli impianti è stata fatta nel decennio passato a tappe forzate, senza comprensione degli strumenti adottati. Non era raro trovare grazie ai motori di ricerca specializzati in vulnerabilità, terminali SCADA di impianti critici accessibili da internet senza autenticazione. Chi ha remotizzato l’accesso non ho evidentemente pensato di considerare la possibilità di un accesso non autorizzato, e in quegli anni era diffusa l’idea che se non si conosce l’indirizzo IP di un sistema, esso è protetto da un’aura di oscurità.
Ma se oggi invece questa preoccupazione è stata in qualche modo acquisita dai progettisti di impianti, sussite un punto dolente e ancora da risolvere, ed è quello degli standard di connettività. I bus di campo e i protocolli industriali in special modo quelli cablati, sono nati quando l’esigenza di confidenzialità non era sentita né vi era capacità di calcolo sufficiente ad implementare sistemi di crittografia solida, e se dunque essi sono robusti a disturbi e interferenze elettromagnetiche anche su tratte molto lunghe, a volte mancano completamente del supporto crittografico. Mentre nella sicurezza informatica si sta velocemente diffondendo il paradigma dello Zero Trust¹⁸, ossia l’approccio per cui si assume l’assenza di un vero e proprio perimetro di sicurezza nell’infrastruttura locale, e pertanto si richiede che ogni transazione tra i sistemi anche nella rete interna sia autenticata e cifrata, nel mondo industriale questo è assai lontano da venire.
Innanzi tutto, cambiare un protocollo di comunicazione in un bus di campo già installato richiede l’aggiornamento di tutti i dispositivi, e magari anche la ricablatura dell’impianto. Questo di per sé potrebbe essere proibitivo per via del ciclo di vita dei prodotti industriali, in cui talvolta i produttori tengono a catalogo prodotti per decenni.
Inoltre non è detto che le ridotte risorse computazionali dei vari prodotti possano effettivamente supportare alcuni standard crittografici di elevata sicurezza, e la corsa alla rottura dei protocolli più deboli questo potrebbe non garantire in certi contesti una sicurezza di lunga durata nel tempo.
Tutti questi problemi fan si che l’industria si muova relativamente lentamente nel campo della sicurezza cyberfisica, per quanto l’urgenza di adottare tecnologie e procedure adatte si stia col tempo facendo sempre più urgente, anche alla luce dell’aumento vertiginoso degli attacchi informatici di tipo Ransomware.

Conclusioni

E’ evidente che la digitalizzazione di impianti, veicoli, edifici, strumenti, dispositivi medicali, persino protesi, richiede fin da ora un cambio di atteggiamento da parte dei progettisti. Mentre un tempo ci si accontentava di avere esperti di sicurezza fisica e di applicare criteri anticendio, antisismici e di buona progettazione, oggi è imprescindibile che ovunque via sia un sensore, un attuatore, una rete di comunicazione, che essa sia, o meno collegata all’internet, si debbano applicare criteri di progettazione che contemplino anche la sicurezza informatica.
Sebbene l’eventualità di una catastrofe su grande scala attuata dalla sola sfera informatica è improbabile, come spiegato nel bel libro “Cyberwar will not take place”¹⁹, è ormai assodato che i cyber attacchi sono effettivamente uno strumento utilizzabile, ed utilizzato in guerra o nella criminalità comune, accanto a strumenti tradizionali.
Per questo motivo, è auspicabile che tutte le aziende, che si occupino di informatica o di prodotti e impianti in settori più tradizionali, si dotino di strumenti adatti a gestire la minaccia cyber, in sintonia, come visto, con gli esperti di impianti tradizionali. In particolare, è indispensabile avere personale competente e specializzato oraganizzandolo in un team cyber che si occupi della valutazione dei rischi assieme agli esperti di impianti, che accompagni il management nella stesura di policy e procedure, che si occupi di gestire il ciclo di vita dei dispositivi nonché della valutazione dell’adeguatezza delle misure tramite test di penetrazione, e, infine, della gestione degli incidenti.
Per concludere, le parole di Perry Paderson, a capo del progetto dimostrativo Aurora, sembrano riassumere l’approccio assai lento con cui il problema è stato affrontato negli ultimi 10 anni.
Una difesa effettiva contro attacchi cyber fisici è basata sull’analisi dei sistemi e sui principi dell’ingegneria, non sul consenso²⁰.

1. “The Aurora project did demonstrate that the ability to exploit the capability of modern protective equipment and cause them to serve as a destructive weapon. I feel that the same results could be achieved by any competent power system protection engineer if provided access and the desire to do so.” Tratto da FOIA alla homeland security Agency, in http://s3.documentcloud.org/documents/1212530/14f00304-documents.pdf ↩︎
2. https://www.youtube.com/watch?v=LM8kLaJ2NDU ↩︎
3. La definizione data di Wikipedia Inglese è abbastanza articolata e spiega perfettamente quanto l’avanzare della tecnologia in diversi settori dell’informatica e dell’automazione sopravanzi enormemente la nostra capacità di delimitare l’ambito di tale termine. https://en.wikipedia.org/wiki/Cyber-physical_system ↩︎
4. https://en.wikipedia.org/wiki/SCADA ↩︎
5. https://ptolemy.berkeley.edu/publications/papers/06/CPSPositionPaper/Lee_CPS_PositionPaper.pdf ↩︎
6. I. Ahmad, M. K. Zarrar, T. Saeed and S. Rehman, “Security Aspects of Cyber Physical Systems,” 2018 1st International Conference on Computer Applications & Information Security (ICCAIS), Riyadh, Saudi Arabia, 2018, pp. 1-6, doi: 10.1109/CAIS.2018.8442009. ↩︎
7. “As an integration of embedded systems with communication devices, computation capabilities and control modules, the UAV network could build a closed loop from data perceiving, information exchanging, decision making to the final execution, which tightly integrates cyber processes into physical devices. Therefore, the UAV network could be considered as a cyber physical system (CPS)”. H. Wang, H. Zhao, J. Zhang, D. Ma, J. Li and J. Wei, “Survey on Unmanned Aerial Vehicle Networks: A Cyber Physical System Perspective,” in IEEE Communications Surveys & Tutorials, vol. 22, no. 2, pp. 1027-1070, Secondquarter 2020, doi: 10.1109/COMST.2019.2962207. https://ieeexplore.ieee.org/document/8943319 ↩︎
8. Il primo caso di incidente la cui causa potrebbe essere ricondotta ad un atto deliberato provocato attraverso collegamenti digitali risale al 1982, ma non è certo. https://en.wikipedia.org/wiki/At_the_Abyss ↩︎
9. Kim Zetter. 2014. Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon. Crown Publishing Group, USA. ↩︎
10. Warrick, Joby (15 February 2011). “Iran’s Natanz nuclear facility recovered quickly from Stuxnet cyberattack”. The Washington Post. https://www.washingtonpost.com/world/irans-natanz-nuclear-facility-recovered-quickly-from-stuxnet-cyber-attack/2011/02/15/ABUIkoQ_story.html ↩︎
11. https://arstechnica.com/tech-policy/2012/06/confirmed-us-israel-created-stuxnet-lost-control-of-it/ ↩︎
12. https://www.nytimes.com/2016/02/17/world/middleeast/us-had-cyberattack-planned-if-iran-nuclear-negotiations-failed.html ↩︎
13. https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/ ↩︎
14. https://kentindell.github.io/2023/04/03/can-injection/ e https://www.theregister.com/2023/04/06/can_injection_attack_car_theft/ ↩︎
15. https://www.pentestpartners.com/security-blog/netflix-mh370-the-plane-that-wasnt-hacked/ ↩︎
16. https://gizmodo.com/american-airlines-haunted-noises-emerson-collins-1849581010 ↩︎
17. https://www.pentestpartners.com/security-blog/causing-incidents-with-in-flight-entertainment-systems/ ↩︎
18. https://www.vmware.com/it/topics/glossary/content/zero-trust.html ↩︎
19. Rid, Thomas. (2012). Cyber War Will Not Take Place. Journal of Strategic Studies. 35. 5-32. 10.1080/01402390.2011.608939. ↩︎
20. “Effective defense against cyber-physical attacks is based on thorough system analysis and engineering principles, not on consensus.” Perry Paderson, https://www.langner.com/2014/07/aurora-revisited-by-its-original-project-lead/ ↩︎