IoT: Insecurity of Things. What's the challenge?

Pubblicato il 20 luglio, 2018 da Marco Obid

Nel precedente articolo di Insecurity of Things abbiamo cercato di fare chiarezza su cosa siano i device IoT e cosa comporti averci a che fare. Ma qual è la vera sfida?

Sebbene abbiamo modo di constatare ogni giorno i benefici di questo mondo, usufruendo delle infinite possibilità che ci mette a disposizione, molto meno evidenti sono le problematiche di sicurezza che questi dispositivi introducono.

Purtroppo basta una veloce ricerca in Internet con poche parole chiave come “IoT, Malware, Security, Hacking” o simili, per trovarsi di fronte a una lista praticamente infinita di report, notizie o veri e propri epitaffi riguardanti le problematiche quotidiane di sicurezza che vengono a galla, inerenti l’IoT.

A proposito delle “Big Challenge” che si affrontano nel tema IoT Security, possiamo distinguere due categorie fondamentali:

  • Vulnerabilità software:

Solitamente sono indicate con la sigla CVE (Common Vulnerabilities and Exposures) e rappresentano delle vulnerabilità insite nel software o nei protocolli utilizzati dal device. Un attacco che sfrutta queste vulnerabilità può portare ad una Privilege Escalation, ottenendo accesso diretto alla console dell’apparato che a quel punto diventa terreno fertile per qualsiasi tipo di compromissione: installazione Malware, attacco Command & Control remoto o creazione di Botnet.

Per porre rimedio a questo tipo di vulnerabilità -nella maggior parte dei casi- la miglior soluzione è affidarsi agli aggiornamenti rilasciati periodicamente dal produttore, assicurandosi che risolvano il/i Bug del sistema o, nel caso il prodotto non sia più supportato, rivolgersi al proprio fornitore per trovare insieme una soluzione efficace al problema.

  • Misconfiguration:

Una configurazione errata o incompleta può portare spesso ad effetti ben più disastrosi di problematiche o Bug Software. Password non cambiate dal default, porte lasciate aperte senza necessità (http, telnet, etc.), scambio di dati confidenziali non criptati: queste sono tutte Security Issues generate da configurazione non ottimale dei device connessi in rete.

Per capire la portata del danno che questa può provocare, basta pensare a dispositivi IoT in campo Medical & Healthcare. Questo genere di errori o disattenzioni nella configurazione provoca la compromissione su larga scala di dispositivi IoT, che diventano nella maggior parte dei casi delle vere e proprie cellule dormienti. Queste ultime fanno parte di un organismo che può comprendere svariate migliaia di device, pronte ad eseguire all'unisono una determinata azione (Distributed Denial of Service) coordinata dall’Attacker.

La soluzione in questo caso è:

  • innanzitutto configurare adeguatamente il dispositivo (seguendo attentamente le indicazioni del Vendor)
  • assicurarsi, tramite la propria infrastruttura di rete, che quest’ultimo sia autorizzato ad avere accesso soltanto alle risorse strettamente necessarie.

Così da garantirne il corretto funzionamento, monitorandone adeguatamente il comportamento (Behavior Analysis), al fine di rilevare eventuali anomalie in tempi brevi.

 

Secondo OWASP (Open Web Application Security Project), l’80% delle App IoT non è testato per possibili attacchi. Definisce quindi una lista delle vulnerabilità IoT, di cui la Top 10 comprende i seguenti elementi:

  1. Insecure Web Interface: quando il pannello di controllo tra gli utenti e il software in esecuzione su un web server non è sicuro.
  1. Insufficient Authentication/Authorization: l’utilizzo di password di default o credenziali di accesso semplici, comuni e deboli oppure disposizione di un solo profilo utente con accessi generali.
  1. Insecure Network Services: La mancanza o inadeguatezza di implementazione delle misure di sicurezza nei servizi di rete (come firewall e intrusion detection systems), che rendono vulnerabile la rete ad accessi non autorizzati e illeciti.
  1. Lack of Transport Encryption/Integrity Verification: La mancanza o il basso livello di complessità del linguaggio in codice per crittografare le informazioni trasmesse.
  1. Privacy Concerns: l’accesso ad informazioni personali altamente sensibili, che spesso sono conservate e gestite in modo inadeguato.
  1. Insecure Cloud Interface: quando la piattaforma Cloud viene utilizzata senza le precauzioni necessarie di sicurezza (password deboli, nullo/basso livello di crittografia, autenticazione con un unico fattore).
  1. Insecure Mobile Interface: Tutti i dispositivi mobili sono considerati “Crown Jewel” dagli hackers, per la quantità di dati sensibili contenuti nel device, l’accesso rapido a moltissime funzioni e la loro enorme diffusione poiché sono ovunque. Avere interfacce non sicure (password deboli e assenza di crittografia) può portare alla violazione di accesso e all’uso improprio, con conseguenze estremamente negative ad esempio per Smart Cars e dispositivi medici.
  1. Insecure Software/Firmware: quando il software non è regolarmente aggiornato per assicurare la sicurezza del dispositivo da vulnerabilità, Malware o altre tecniche di attacco.
  1. Insufficient Security Configurability: La mancanza o inadeguatezza delle regole di sicurezza impostate durante il processo di configurazione del dispositivo.
  1. Poor Physical Security: si verifica in presenza di un basso livello di sicurezza nell’accessibilità fisica dei device, permettendo di danneggiare il dispositivo oppure di rubare dati sensibili nel modo più semplice, come ad esempio introdurre una chiave USB nella Smart TV.

L’analisi in tempo reale del comportamento, il monitoraggio proattivo, l’introduzione della politica del “Least Privilege Access” (garanzia dei privilegi minimi), sono solo alcune delle strategie da adottare per impostare una baseline di sicurezza dei dispositivi IoT, permettendone l’utilizzo senza abbassare il livello di sicurezza generale dell’infrastruttura.

Seguici nel nostro prossimo articolo per scoprire insieme a noi come avere il controllo completo della tua infrastruttura IoT, minimizzando i rischi di compromissione senza pregiudicarne però la normale attività!

 

Vuoi proteggere i tuoi dati dalle vulnerabilità di sicurezza IoT?

Scopri tutti i nostri servizi

    SCOPRILI ORA

@ 2018 (Copyright) 4IT Solutions

Credits: Ander Group