ottobre 28, 2016
L’Internet delle cose pericolose
Nei primi anni 2000 sono salito sul palco e ho previsto il panorama cibernetico del futuro, così come continuo a farlo anche oggi. In quell’occasione ho avvisato del fatto che, un giorno, il vostro frigorifero invierà spam al vostro microonde, e insieme attaccheranno con un DDoS la caffettiera. No, sul serio.
Il pubblico alzerebbe le sopracciglia, riderebbe sotto i baffi, applaudirebbe e a volte approfondirebbe la questione con un articolo sui discorsi di quella specie di “professore pazzo”. Ma complessivamente la mia sindrome di Cassandra è stata considerata qualcosa di più di una battuta, dal momento che le incalzanti cyberminacce del momento non venivano considerate abbastanza preoccupanti. Alla faccia del “professore pazzo”…
…aprite i giornali di oggi.
Qualsiasi casa, oggi, non importa quanto sia vecchia, ospita al suo interno tantissimi dispositivi “intelligenti”. Alcune ne hanno giusto un paio (telefono, TV…), altri ne hanno parecchi (incluse le telecamere IP, frigoriferi, microonde, caffettiere, termostati, ferri da stiro, lavatrici, asciugatrici, braccialetti per il fitness e molto altro. Al giorno d’oggi molte case sono state progettate con dispositivi intelligenti già inclusi nelle specifiche. Tutti questi dispositivi intelligenti connessi al Wi-Fi di casa aiutano a costruire l’enorme, autonomo (e molto vulnerabile) Internet delle Cose, le cui dimensioni sono più grandi dell’Internet Tradizionale che tutti conosciamo così bene fin dai primi anni ’90.
Connettere a Internet qualsiasi cosa, perfino il lavello della cucina, si fa per un motivo. Essere in grado di controllare tutte le apparecchiature elettroniche domestiche in maniera remota attraverso il vostro smartphone può essere utile (per alcuni). È anche piuttosto di moda. Ad ogni modo, il modo in cui questo Internet delle Cose si è sviluppato suppone che la mia sindrome di Cassandra sia diventata una realtà.
Qualche evento recente:
Lo scorso venerdì più di 80 grandi siti web (inclusi Twitter, Amazon, PayPal e Netflix) non funzionavano o funzionavano a intermittenza. Si è scoperto che la causa di tutto questo è stato un attacco DDoS all’azienda Dyn, che fornisce i servizi DNS ai siti colpiti. Potreste pensare “ah, un attacco DDoS (queste cose ogni tanto accadono su Internet)”. La questione è che, dopo aver indagato a fondo, si è scoperto che la Dyn è stata attaccata dalla botnet Mirai (formata da…telecamere IP, videoregistratori e altri dispositivi dell’Internet delle Cose).
Mirai è un malware abbastanza semplice che scansiona Internet per i dispositivi di IoT, si connette ad essi utilizzando login e password predefinite, protegge i diritti dell’amministratore ed esegue gli ordini degli hacker. E dal momento che è raro che un utente cambi il login e la password predefinita di tali dispositivi, reclutare centinaia di migliaia di zombie per la botnet era una cosa abbastanza semplice.
Quindi, una semplice botnet creata da dilettanti e formata da tutti i tipi di dispositivi intelligenti era in grado di bloccare per qualche tempo alcuni dei siti Internet più grandi al mondo. La botnet era già comparsa prima: nel più potente attacco DDoS finora conosciuto che ha avuto come obiettivo il blog di Brian Krebs (con una potenza di picco di circa 665 Gbps).
Credo che nel prossimo futuro serviranno tanti popcorn (o antidepressivi).
Si stima che la grandezza di Mirai sia di circa 550.000 bot, mentre l’intero IoT è formato dai sette ai 19 miliardi di dispositivi (in cinque anni si pensa che arriverà a sfiorare i 50 miliardi). Quindi, quanti dispositivi tra questi sono vulnerabili? Come è possibile che molti vengono scelti per effettuare gli attacchi hacker? È un po’ complicato rispondere, ma è certo che Mirai ha tanto ma TANTO potenziale per causare TANTO ma TANTO fastidio. In particolar modo da quando il codice sorgente del malware è stato pubblicato su un forum clandestino; questo vuol dire che le tecniche sono disponibili per chiunque provi qualche interesse per la questione (e questo include i dilettanti con manie di grandezza di Erostrato.
I proprietari dei dispositivi infetti non si saranno resi conto che il loro dispositivo ha partecipato all’attacco, proprio come adesso non sapete se la vostra telecamera IP è stata utilizzata per un attacco DDoS in qualche risorsa di rete rispettata. E gli utenti non saranno motivati dall’impercettibile salto nel traffico in uscita per proteggere un po’ i propri gadget (qualcosa di semplice come un nuovo login e una nuova password). Ad ogni modo, esistono altre cyberminacce che sono molto meno innocue e che possono trasformare una casa intelligente in un incubo, mentre svuotano il portafoglio del proprietario.
La minaccia immaginaria
Non mi prenderò la briga di calcolare quanti miliardi di dollari hanno fatto i cyber estorsori negli ultimi anni. Nonostante le azioni coordinate di diverse forze dell’ordine e dell’industria di sicurezza IT, si è diffusa un’epidemia così grande di cryptor e locker su Internet che ormai è praticamente impossibile sia che un utente attivo non sia stato attaccato sia non conoscere personalmente qualcuno che è stato attaccato.
L’industria dei ransomware sta lavorando bene, ma ogni industria del pianeta vuole sempre fare meglio. Introduce miliardi di dispositivi IoT vulnerabili (al momento giusto). Purtroppo, i proprietari dei frigoriferi intelligenti e delle asciugatrici credono che i propri dispositivi non interessino ai cybercriminali. Beh, in un certo senso, hanno ragione: i cybercriminali non sono interessati ai frigoriferi e alle asciugatrici (vogliono però ottenere un riscatto grazie ad essi). Avete visto dove siamo finiti?…
…Siamo finiti qui, ad esempio (un termostato):
Il portone di casa non si apre? Il riscaldamento si spegne nel mezzo dell’inverno? La caffettiera non smette di emettere espresso, qualsiasi tentativo facciate? La TV è invasa dai poltergeist? L’aspirapolvere sta facendo cose strane? Sfortunatamente questi esempi di attacchi hacker non sono fantascienza; sono cose che possono accadere sul serio nella realtà.
Come spesso accade con i nuovi mercati, nella gara per ottenere la migliore funzionalità, i produttori di IoT hanno trascurato il fattore sicurezza.
Sì, ovviamente siamo qui, pronti per aiutarvi con esperti specializzati e soluzioni già pronte all’uso (sì, il nostro laboratorio inizierà a sembrare un negozio di elettrodomestici). Noi però veniamo avvisati solo dopo l’incidente, quindi possiamo aiutarvi solo dopo che qualcosa non è andato per il verso giusto: nessuno ci consulta durante la fase di progettazione, dal momento che la sicurezza non viene ritenuta importante e gli utenti non capiscono quanto siano vere queste minacce.
Non per nulla i dispositivi intelligenti vengono spesso chiamati “intelligenti” (tra virgolette). Dopo tutto, i cervelli di questi dispositivi hanno la capienza di una piccola parte di memoria di un telefono cellulare. I produttori hanno tanta strada da fare prima che si possa evitare di usare le virgolette per parlare di dispositivi intelligenti. Ed è difficile dire adesso quanto tempo ci voglia per diventare “davvero” intelligenti; perciò “salvare il mondo” e i vostri portafogli è completamente nelle nostre mani. Di conseguenza, vi consiglio, cari lettori, di pensare subito a una sicurezza base per tutti i vostri dispositivi IoT, inclusi i router, le stampanti e qualsiasi altra cosa:
1: Cambiate il login e le password, anche se non sono quelle predefinite.
2: Installate gli ultimi aggiornamenti dai sito del produttore.
3: Scrivete un promemoria sul vostro cellulare o sulla vostra agenda per ricordarvi di fare le cose appena citate.
Brian Krebs e tutto Internet ve ne saranno grati; in più, non assisterete più a cose del genere:
Quale potrebbe essere la prossima minaccia all’Internet delle Cose? @e_kaspersky spiega i #ransomware che hanno come obiettivo l’IoTTWEET