L’insicurezza delle “cose”: chiudere le falle di sicurezza nei dispositivi IoT

Come tutte le nuove tecnologie, l’Internet of Things, IoT, si è rapidamente evoluta da idea interessante a corsa per arrivare primi sul mercato. Questa frenesia produttiva è stata accolta con entusiasmo da aziende e consumatori che desiderano automatizzare e connettere tutto, dalle automobili agli impianti di climatizzazione. Tuttavia, sembra che nella corsa al mercato molti produttori abbiano trascurato di rendere questi dispositivi sicuri contro gli attacchi informatici. Poiché gli utenti finali percepiscono i dispositivi IoT come “realizzati ad hoc”, spesso si convincono anche che siano sicuri. Sono convinti che il produttore sia esperto di sicurezza e abbia la responsabilità di fornirla. In realtà, i dispositivi IoT sono di fatto gli stessi computer e sistemi operativi che utilizziamo ogni giorno, semplicemente inseriti in oggetti di uso quotidiano, con gli stessi vantaggi e svantaggi, e soprattutto con le stesse vulnerabilità agli attacchi.

Jeep e Tesla hanno entrambe mostrato le vulnerabilità dell’IoT lo scorso anno, quando i computer di bordo della Cherokee e della Model S furono violati consentendo di prendere il controllo del veicolo da remoto. Il team che conduceva ricerche sulla vulnerabilità della Jeep dimostrò di poter controllare la vettura a distanza in molti modi, dal cambiare le impostazioni dello stereo e del climatizzatore al disinnestare la trasmissione mentre l’auto era in movimento. Sulla Tesla, gli hacker utilizzarono l’accesso fisico ai cavi di rete della vettura per ottenere privilegi di accesso sul sistema di infotainment, avviando e spegnendo il veicolo da remoto.

Fortunatamente, i ricercatori hanno condiviso i loro risultati con i costruttori, in modo che potessero rilasciare delle patch. Tuttavia il recente Dell Security Annual Threat Report prevede che i produttori e gli utenti di veicoli intelligenti che non presentano appropriate misure di sicurezza IoT non saranno sempre così fortunati. Con l’aumento delle attività di ransomware mirate ai dispositivi Android nel 2015, il rapporto prevede la possibilità di attacchi ransomware sulle autovetture che impediranno al guidatore di scendere se non paga un piccolo riscatto, e questo è solo uno dei tanti bizzarri modi in cui un criminale informatico può trarre vantaggio dalla violazione di un veicolo personale o aziendale.

Secondo Gartner, ento il 2020 ci saranno 20,8 miliardi di dispositivi connessi e in questo scenario il futuro degli attacchi IoT continuerà a seguire il modus operandi delle violazioni a Jeep e Tesla, prendendo il controllo di un dispositivo in modo da utilizzarlo in maniera impropria. Tuttavia altri attacchi potranno utilizzare i dispositivi IoT come punti di accesso per accedere a dati di valore, in modo potenzialmente più redditizio.

Nel 2015, il partner di Dell Security iPower Technologies ha scoperto il worm malware Conficker annidato nelle fotocamere di sicurezza di una forza dell’ordine cliente. In un post sul blog di Dell, il CEO di iPower racconta la storia:

I tecnici di iPower hanno collegato la videocamere USB a uno dei nostri computer. Appena questo è avvenuto, diversi sistemi di sicurezza nel nostro ambiente di prova sono stati avvisati di una nuova minaccia. Si trattava di una variante del worm Conflicker e l’abbiamo immediatamente isolato. Un’altra videocamera è stata collegata a un PC del laboratorio virtuale non provvisto di antivirus. Il firewall SonicWALL di nuova generazione ha immediatamente avvisato iPower del tentativo da parte del virus di diffondersi nella LAN, impedendogli di comunicare con i server di comando e controllo nel dominio pubblico di internet.

In questo caso l’obiettivo dell’hacker era probabilmente di utilizzare del videocamere semplicemente come vettore di attacco per accedere ai dati delle forze dell’ordine. Non è chiaro se i dati sarebbero poi stati utilizzati per scopi politici o estorsivi. Gli utenti presumono erroneamente che i dispositivi IoT non siano probabili vettori di attacco e quindi sono portati a fidarsi. La scoperta di iPower Technologies dimostra due cose: primo, che i dispositivi IoT sono spesso semplici computer e sistemi operativi inseriti in un diverso contenitore e quindi altrettanto vulnerabili; secondo, che i produttori non necessariamente hanno la consapevolezza di che cosa possa entrare nei loro sistemi al momento della produzione o distribuzione. Ha inoltre dimostrato la necessità di pratiche di difesa per e dei dispositivi IoT che vengono installati. Queste vulnerabilità potrebbero presto portare ad ampie violazioni di dati, soprattutto se è vera la previsione di BI Intelligence che le pubbliche amministrazioni saranno i secondi maggiori utenti di tecnologie IoT nei prossimi anni.

Il più grande utente? Le aziende, che secondo BI Intelligence possono utilizzare l’IoT per ridurre i costi operative, accrescere la produttività ed accrescere le quote di mercato dei loro prodotti. Tuttavia, come evidenziato dal Dell Security Annual Threat Report, le aziende sono già obiettivo di un numero sempre crescente di attacchi informatici, con 2.170 miliardi di attacchi IPS e 8,19 miliardi di attacchi malware nel solo 2015. Quindi, per godere dei vantaggi degli attuali dispositivi IoT, le aziende dovranno implementare programmi di sicurezza end-to-end.

Vi sono alcuni modi per farlo:

  1. Adottare un approccio olistico alla sicurezza: assicurare che i dati siano in sicurezza e criptati già dal data center o cloud fino all’endpoint, coprendo tutti i passaggi intermedi. Guardare alla sicurezza dell’endpoint, della rete, dell’identità, della gestione dell’accesso e altro ancora.
  2. Conoscere i dispositivi: Capire quali funzioni svolgono i dispositivi IoT, quali dati raccolgono, con quali altri dispositivi comunicano e dove si trovano, chi possiede i dati e quali valutazioni di vulnerabilità o certificazioni di sicurezza hanno i dispositivi in oggetto.
  3. Valutare la rete: stabilire i livelli di sicurezza prima di installare un dispositivo in modo da comprendere meglio l’impatto sul traffico della rete. Effettuare una valutazione per capire quali dispositivi accedono attualmente alla rete e in quale momento, che cosa fanno quando vedono i dati, con che cosa comunicano e dove si trovano i destinatari. Successivamente, rivalutare le prestazioni della rete dopo l’installazione del nuovo dispositivo e identificare quali cambiamenti sono avvenuti.
  4. Suddividere il traffico su diversi compartimenti: adottare una politica di “non fiducia” per i dispositivi IoT, installandoli in un segmento separato o su una LAN virtuale (VLAN) in modo che non possano accedere e/o interferire con i dati aziendali critici.
  5. Aggiornare il personale: Con l’evoluzione dell’IoT, è fondamentale assicurarsi che il personale IT, di sicurezza e addetto alle reti sia aggiornato sui più recenti dispositivi, standard e problematiche.

È questione di tempo prima che inizieremo a vedere i produttori inserire un maggior numero di impostazioni di sicurezza nei loro dispositive IoT, ma nel frattempo l’onere di proteggersi dagli attacchi informatici è sui consumatori e sulle aziende. Questo non deve allontanare gli utenti interessati dai dispositivi IoT, ma piuttosto guidare le loro pratiche e strategie di selezione, implementazione e manutenzione dei prodotti.

L’IoT è una delle più grandi opportunità di business degli ultimi anni e le organizzazioni hanno il diritto di implementare infrastrutture connesse ed efficienti. Semplicemente è necessario assicurarsi che l’implementazione del più recente dispositivo connesso non porti l’azienda a compiere un costoso errore in termini di sicurezza.