Il dispositivo IoT come ostaggio
La rete globale continua a progredire, ma le interdipendenze dell'era digitale creano anche una nuova superficie di attacco per i criminali informatici.
Purtroppo, gli ultimi anni hanno visto tappe ingloriose nella storia dello sviluppo dell'Internet of Things (IoT): alla fine del 2016, un attacco informatico su larga scala sotto forma di malware Mirai ha avuto successo per la prima volta, utilizzando centinaia di migliaia di dispositivi IoT come router, telecamere, stampanti e smart TV per creare una botnet. Ciò ha causato attacchi DDoS in tutto il mondo, anche a società come Twitter, Amazon e Deutsche Telekom. L'entità delle lacune di sicurezza dell'IoT è stata dimostrata anche alla Def Con Hacking Conference di Las Vegas, dove i ricercatori di sicurezza hanno mostrato come un termostato abilitato all'IoT possa essere violato e bloccato con un attacco ransomware mirato.
In primo luogo, è importante distinguere tra il ransomware tradizionale, che di solito prende di mira PC e server, e gli attacchi ai dispositivi IoT. Il ransomware classico infetta il computer di destinazione e cripta i dati presenti al suo interno per poi estorcere un riscatto per la loro decriptazione. Sebbene sia possibile ripristinare i dati colpiti con un backup dei dati, alcune vittime sono costrette a cedere alla richiesta di riscatto a causa di backup inadeguati. Pertanto, questo metodo rimane un'attività redditizia per gli aggressori, come hanno dimostrato in modo impressionante le massicce ondate di ransomware di WannaCry e Petya. Dato il basso livello di sicurezza dei dispositivi IoT, possiamo quindi aspettarci attacchi ransomware su misura per loro nei prossimi anni.
Obiettivo del ransomware IoT: prendere in ostaggio il dispositivo
Il furto di dati non vale la pena con i dispositivi IoT. Di norma, non contengono quasi nessun dato sensibile, o non ne contengono affatto. La strategia degli aggressori si concentra quindi sul blocco dell'accesso al dispositivo da parte dell'utente e sul prendere in ostaggio il dispositivo finale, per così dire.
A prima vista, questo potrebbe sembrare un inconveniente. Ma anche un esempio relativamente innocuo come l'hacking del sistema informatico di un hotel a quattro stelle in Carinzia, che ha fatto notizia nel 2017, mostra le conseguenze di vasta portata che un attacco del genere può avere: I criminali hanno manipolato il sistema di chiusura delle camere, che non potevano più essere aperte agli ospiti. Gli aggressori hanno portato a termine con successo questo attacco per tre volte di seguito in cambio di un riscatto. Lo stesso vale per l'hacking di Def Con del termostato bloccato: Se questo esempio viene trasferito ai termostati per il controllo delle unità di refrigerazione in un magazzino alimentare o al sistema di climatizzazione di un centro dati, la nuova minaccia rappresentata dal ransomware IoT diventa evidente.
La dubbia storia della sicurezza dell'Internet delle cose
Purtroppo, un gran numero di dispositivi IoT attualmente in uso sono estremamente vulnerabili agli attacchi ransomware IoT, in quanto l'ondata di popolarità dell'IoT ha visto negli ultimi anni molti produttori sviluppare e vendere milioni di dispositivi IoT il più rapidamente possibile, con la conseguenza che la sicurezza dei dispositivi è passata in secondo piano. Di conseguenza, la maggior parte dei dispositivi IoT oggi dispone di autorizzazioni predefinite, utilizza configurazioni e protocolli insicuri ed è notoriamente difficile da aggiornare, rendendoli altamente vulnerabili ai tentativi di compromissione e quindi un obiettivo redditizio per i criminali informatici.
A peggiorare la situazione, l'emergere di hack di protocollo di basso livello come Krack (Key Reinstallation Attack) offre agli aggressori nuove opportunità per aggirare l'infrastruttura IoT e manipolare i dispositivi iniettando codice diverso. Ciò ha conseguenze particolarmente gravi se i dispositivi devono sincronizzarsi o ricevere comandi di controllo da un'applicazione cloud.
Tre punti per valutare la sicurezza dei dispositivi IoT
Per poter garantire operazioni sicure, è essenziale una valutazione completa della sicurezza dei dispositivi da diversi punti di vista quando si utilizzano i dispositivi IoT. La valutazione deve sempre riguardare le tre aree seguenti:
Hardware: La sicurezza fisica dovrebbe sempre svolgere un ruolo importante nella valutazione di un nuovo dispositivo. Gli interruttori fisici possono essere utilizzati per proteggere il dispositivo dalle manomissioni, garantendo che i singoli componenti del dispositivo non possano essere accessibili e decodificati senza autorizzazione. Ad esempio, un pulsante mute può essere utilizzato per disattivare i microfoni e i ricevitori audio su tutti i dispositivi.
Software: Lo stesso vale per i dispositivi IoT: il software deve essere sempre aggiornato. Quando si sceglie un produttore di dispositivi, è quindi importante assicurarsi che il software venga aggiornato e patchato regolarmente.
Rete: Lo scambio di dati tra i dispositivi IoT, la gestione del backend o le soluzioni di archiviazione deve avvenire esclusivamente tramite protocolli web sicuri come HTTPS e l'accesso deve avvenire esclusivamente tramite metodi di autenticazione multilivello. Inoltre, è necessario modificare immediatamente le credenziali predefinite fornite con il dispositivo con stringhe alfanumeriche forti.
L'implementazione di questi principi di sicurezza di base costituisce una valida difesa contro molte delle minacce emergenti, come la nuova tipologia di attacchi ransomware IoT. Tuttavia, se il mondo IoT deve diventare veramente sicuro, è giunto il momento di trattarlo come qualsiasi altro sistema IT e di garantire che la sua protezione sia altrettanto solida, efficace e a prova di futuro.
Testo: Christoph M. Kumpa, Direttore DACH & EE di Digital Guardian
