IoT: Internet of Things o InSecurity of Things?

Pierguido Iezzi

Smart TV, Webcam, videocamere di sicurezza, baby monitor, GPS per animali, assistenti vocali e tanti altri dispositivi IoT sono facilmente accessibili a qualsiasi Criminal Hacker

Quante volte in un film hai visto i personaggi insospettirsi perché vedono la lucina della webcam accesa anche se loro non la stanno usando?

Questo tipo di attacco informatico è facile per un qualsiasi Criminal Hacker: prendere il controllo della tua webcam, Smart Tv o dispositivo IoT è un gioco da ragazzi.

Prima di spiegare le tecniche e come i Criminal Hacker riescano ad hackerare i sistemi di IoT, diamo qualche veloce definizione.

Cosa sono le IoT?

 
IoT: Cosa sono le Internet of Things?
 

Internet of Things, spesso abbreviato IoT, è un termine che è entrato nel nostro dizionario e quotidiano da qualche anno.

Ma cosa sono le Internet of Things?

Qualsiasi oggetto che può connettersi ad internet e comunicare con gli altri oggetti o sistemi informatici. Sono oggetti intelligenti che dispongono delle seguenti principali funzionalità: identificazione, connessione, localizzazione, capacità di elaborare dati e capacità di interagire con l’ambiente esterno.

Se prendiamo il nostro frigorifero e lo dotiamo di un sistema “connesso” e di una intelligenza software diventa un sistema IoT. È in grado di poterci comunicare se dobbiamo fare la spesa, se sta finendo o sta andando in scadenza qualche prodotto. Adesso immaginiamo tutto quello che abbiamo in casa: ecco, tutto può diventare un sistema IoT.

Ma i sistemi IoT sono anche la base portante delle Smart City. Una città dove tutto è/sarà a portata di smartphone e tutto parla/parlerà con te.

Gartner, in uno studio di qualche anno fa, indicava una crescita esponenziale con un installato previsto nel 2020 di circa 20,4 miliardi di unità.

Questi oggetti sono e saranno estremamente invasivi nella nostra quotidianità e nella nostra stessa privacy.

Dovrebbero garantire un livello di sicurezza elevato... ma non è così.

Scopriamo insieme il perché.

 

IoT: Internet of Things e CyberSecurity
 

Sono state scoperte diverse vulnerabilità e criticità su molti sistemi IoT come Smart TV, Webcam, videocamere di sicurezza, baby monitor, GPS per animali, … tali da renderli particolarmente esposti ad attacchi hacker.

Di seguito alcune delle tecniche e vulnerabilità rilevanti.

 

IoT e CyberSecurity: IoT Malware
 

La tecnica si basa sull’attaccare, prima di tutto, i dispositivi Wi-Fi.

Un esempio è VPNFilter. È un Malware IoT.

Cisco ha identificato una gigantesca Botnet di oltre 500.000 dispositivi infetti (Botnet: rete controllata da un botmaster – Criminal Hacker- e composta da dispositivi infettati da malware specializzato, detti bot o zombie).

I dispositivi colpiti da VPNFilter sono le apparecchiature di rete di fascia "consumer":

-       Linksys;

-       MikroTik;

-       NETGEAR;

-       TP-Link;

-       NAS.

Il cyberattack avviene utilizzando vulnerabilità note, conosciute da tempo e con le patch (le patch sono gli aggiornamenti del software) disponibili e pubbliche.

La Botnet è stata creata infettando dispositivi sparsi in 54 Paesi.

ll malware funziona in tre fasi.

  1. Infetta il dispositivo e ottiene la persistenza dell'avvio. Nessun malware IoT era in grado di sopravvivere al riavvio del dispositivo;
  2. Sovrascrive il codice firmware del dispositivo rendendolo inutilizzabile;
  3. Sniffa ( cattura) pacchetti di rete, verifica protocolli SCADA Modbus, comunica con il server C & C (il server di comando della Botnet) tramite la rete Tor (una rete anonimizzata).

IoT Malware: SMART TV e AMAZON FIRE TV
 

Gli IoT malware stanno di fatto spopolando e molti sono specifici per alcuni dispositivi.

È il caso del malware ADB.miner.

Il Target sono tutti i dispositivi Android di Smart TV e la stessa AMAZON FIRE TV.

Questo virus sfrutta la porta TCP 5555 che è utilizzata dal servizio Android Debug Bridge (ADB).

Il servizio ADB svolge diverse azioni necessarie per il dispositivo, tra cui l’installazione e il debug di app (corregge eventuali errori).

Tra le altre cose, fornisce l’accesso ad una Shell Unix (una sezione del sistema operativo) che è possibile utilizzare per eseguire una varietà di comandi.

ADB è uno strumento per gli sviluppatori che richiede un collegamento “fisico” via usb

Ma alcuni produttori hanno pensato bene di impostare il servizio raggiungibile tramite Wi-Fi.

L’accesso consente di eseguire comandi usando Shell Unix con permessi di amministratore, prendendo il controllo del dispositivo.

Sono in atto attività di network scan della rete da parte dei Criminal Hacker per identificare i dispositivi vulnerabili.

Il worm ADB.miner deriva da Mirai, un noto virus per IoT per fare il mining della criptovaluta.

 

 IOT e CyberSecurity: Cyberattack di prossimità
 

Sono attacchi che prevedono che il Criminal Hacker sia vicino al target in modo da permettergli di sfruttare una specifica tecnica/vulnerabilità.

Un esempio è la vulnerabilità Z-shave.

Nello specifico è stata identificata una vulnerabilità nel protocollo Z-Wave.

Z-Wave è un protocollo wireless progettato appositamente per la domotica, il cui ambito di utilizzo comprende l'automazione negli ambienti residenziali, commerciali, ricettivi e assistenziali e le cui applicazioni spaziano dalla domotica alla telesorveglianza e alla telemedicina, per continuare con l'intrattenimento domestico, il controllo accessi, i sistemi di efficientamento e di risparmio energetico (Wikipedia).

La criticità è presente nel protocollo pairing (scambio e verifica del codice d’identificazione tra i dispositivi).

La vulnerabilità di fatto consente di

  • Forzare il sistema di autenticazione;
  • Prendere il controllo dei dispositivi.

Questa vulnerabilità (Z-Shave) consente attacchi di prossimità. Il protocollo Z-Wave è utilizzato da almeno 2.400 produttori.

All'inizio il sistema di pairing utilizzava il sistema di protezione chiamato S0, sostituito successivamente con lo standard S2.

La differenza tra i due standard è la chiave per le comunicazioni tra il controller e i vari dispositivi. S0 utilizza una chiave crittografica predefinita (composta da zeri). S2, invece, è più robusto, sicuro e affidabile (almeno per il momento).

La cosa preoccupante è che Z-Wave Alliance ha mantenuto attivo lo standard S0 per ragioni di compatibilità con i vecchi dispositivi.

Questa scelta consapevole espone tutti i dispositivi ad attacchi di Criminal Hacking, permettendo ad un terzo di "downgradare" il pairing S2 a S0.

 

Attacchi di prossimità: Baby Monitor e Pet Tracker
 

I collari intelligenti per animali - i pet tracker - e altri dispositivi GPS, tipo tracker per auto o bambini, i classici GPS gadget - sono a rischio hacking.

Questi dispositivi sono soggetti a cyberattack con il rischio di esporre tutte le informazioni presenti nel dispositivo, le coordinate GPS, i numeri di telefono, il modello del dispositivo, i numeri IMEI e ....

COME?

  1. Tramite il Bluetooth Low Energy (BLE): non richiede l'autenticazione tra dispositivi (es: dispositivo dell'animale con quello dell'umano);
  2. Man-in-the-middle (MITM: l'attaccante si posiziona tra le parti che comunicano tra loro): l'attaccante è in grado di intercettare, leggere e modificare le comunicazioni;
  3. Difetti della gestione dei certificati e meccanismi di trasferimento dei dati permettono il MITM;
  4. ...

Semplici gadget IoT?

Questi Gadget sono una porta verso i nostri dispositivi/rete. Una porta facile da aprire.
 

IoT e CyberSecurity: Hardware Hacking
 

In questo elenco, non esaustivo, di attacchi informatici dobbiamo anche aggiungere gli attacchi di Hardware Hacking.

Sono gli attacchi mirati al firmware (è il software dell’hardware- tipo le schede tecniche o microprocessori) dell’hardware.

È di qualche giorno fa la scoperta di alcuni ricercatori di VDOO: oltre 800.000 dispositivi di una nota marca di videocamere che sono risultate vulnerabili a circa 7 vulnerabilità che offrono libero accesso ai Criminal Hacker.

In particolare, queste vulnerabilità permettono a terzi di di accedere al video stream e ottenere un controllo totale e completa del dispositivo.

IoT e CyberSecurity: Sicurezza Informatica
 

Non potevamo non menzionare gli attacchi informatici dovuti all’assenza completa dei principi base della sicurezza informatica.

Un esempio eclatante è un Internet Service Provider brasiliano che ha messo online circa 5.000 router senza una password. Tutti dispositivi letteralmente disponibili a chiunque.

Non mancano i casi di sistemi IoT con apparati che hanno le password di default (password standard rilasciate dal produttore e quindi conosciute da tutti) o configurazioni di sicurezza completamente sbagliate.

 

IoT e CyberSecurity: La Morale
 

Internet of Things o Insecurity of Things?

L’evidenza dimostra che il vero problema è la completa assenza delle misure minime di sicurezza che la storia e le best practice ci hanno insegnato.

Ma allo stesso tempo, l’innovazione non gestita correttamente perde il suo valore.

Guardare al domani, correre vero il futuro, è una delle prerogative dell’uomo.

Dimenticarsi del nostro passato è un errore.

Questo vale per il mondo digital ma anche per la nostra Società.

È una questione morale.

Di più su questi argomenti: