IoT e IoX possono rappresentare una seria minaccia per il nostro mondo. Un caso concreto di zero-day IoT – per fortuna scoperto e scongiurato – è quello contenuto nell’ultimo Vulnerability Disclosure realizzato da Swascan (Tinexta Cyber). L’Offensive Team dell’azienda di Cyber security italiana, nota per le diverse scoperte zero day, durante una attività di Penetration Test ha rilevato una vulnerabilità nel software contenuto all’interno di un prodotto IoX di controllo temperature adibito alla gestione di celle frigorifere nell’ambito della catena del freddo.
Questo prodotto, se compromesso tramite la vulnerabilità zero day identificata, potrebbe manomettere l’intero sistema impostando lo spegnimento o anche la modifica della stessa temperatura. Un danno non solo per i prodotti in stoccaggio, ma anche potenzialmente per tutti i relativi consumatori. È facile immaginare l’importanza del “freddo” per il mondo food, ma anche per materiali, materie prime fino ad arrivare al mondo del farmaco.
LEGGI ANCHE >>> Botnet, cresce la minaccia cyber in Italia: come proteggersi
Man mano che i dispositivi IoT/IoX diventano sempre più comuni e i vari settori dell’economia aumentano la loro dipendenza da questi dispositivi, saranno sempre di più i rischi legati a possibili attacchi cyber contro queste infrastrutture integrate ed intelligenti all’interno di organizzazioni ed enti. Due tendenze nel mercato IoT stanno convergendo per creare un problema di sicurezza significativo. I produttori di una pletora di dispositivi stanno aggiungendo funzionalità connesse per la gestione e gli aggiornamenti, così come per offrire servizi aggiuntivi, portando alla creazione di una maggiore superficie di attacco nella gran parte delle organizzazioni.
Ma la gestione di questi dispositivi non sempre tiene il passo con le dovute precauzioni, lasciando molti di loro vulnerabili agli attacchi. “All’orizzonte c’è la concreta possibilità che questi attacchi diventino un’occorrenza fin troppo frequente, quindi è ora necessario un cambio di paradigma. Le istituzioni ne hanno compreso l’importanza e non è un caso che diversi paesi e enti hanno iniziato a rilasciare diversi standard, framework e regulation di riferimento”, racconta il CEO di Swascan, Pierguido Iezzi.
Ma la problematica è comunque estremamente complessa. Bisogna considerare da un lato un aspetto legato al layer tecnologico e dall’altro un tema legato alla catena del valore. Ma prima è necessario dare uno sguardo alla portata del fenomeno al momento.
Anche se quando sentiamo parlare di IoT, pensiamo automaticamente ai dispositivi intelligenti – come elettrodomestici con connessione internet – non è quella l’area di maggior pericolo di questo mondo interconnesso. Le vulnerabilità si trovano, la maggior parte delle volte, nei kit di sviluppo software, nei sistemi operativi, nel firmware che alimentano l’hardware che fa sì che tutti questi dispositivi intelligenti si connettano a Internet e da ultimo nei protocolli di rete.
Nel layer “tecnologico” nondimeno dobbiamo minimizzare il valore della competenza necessaria degli installatori, responsabili anche della garanzia non solo dell’installazione e interconnessione dei sistemi ma soprattutto degli aggiornamenti costanti dei sistemi. Ma non è solo una profezia: nella sola prima metà del 2021 i cyberattacchi che hanno preso di mira i dispositivi IoT sono più che raddoppiati, come ha raccontato un recente report di Kaspersky lab. Da gennaio a giugno di quest’anno, infatti, hanno avuto luogo oltre 1.5 miliardi di violazioni di dispositivi Internet of Things, un aumento da 639 milioni nel 2020.
Numeri e contesto, quindi ci raccontano di quello che potrebbe essere il nuovo grande “vaso di Pandora” per la Cyber. Ma fortunatamente, in questo caso, abbiamo già in mano tutti gli strumenti necessari a spegnere le fiamme del cyber crime sul nascere, soprattutto alla luce del fatto che contemporaneamente all’aumento del numero di attacchi contro i dispositivi IoT è aumentato anche il numero di vulnerabilità zero day rilevate. Abbiamo chiuso il 2021 con il famoso zero-day di Log4j, ma l’anno che abbiamo appena salutato ha visto il numero degli zero-day di fatto raddoppiare. Il caso Swascan è uno dei tanti casi concreti di zero-day IoT – per fortuna intercettato ma non scongiurato. Infatti il dispositivo intercettato non è più supportato dal vendor dal 2018. Una opportunità per qualsiasi Criminal hacker.
La portata della questione non è da sottovalutare. Ma fortunatamente, gli strumenti esistono già per costruire gli argini in grado di difendersi da questo problema. “Ciò che è necessario cambiare è la mentalità, con un cambio di paradigma significativo. La sicurezza IoT deve iniziare in fabbrica con i produttori e continuare per tutto il ciclo di vita del dispositivo”, spiega il CEO della società milanese.
Da più parti si parla di misure più stringenti di cyber security sin dalla fase di progettazione dei prodotti. E come controllarle e verificarle in un mondo delle vulnerabilità in evoluzione? Come gestire i casi di Zero Day (immaginiamo dei centri di ricerca cyber “nazionali” dedicati a questo scopo)? Difficile da dire, quello che certo è che lo scenario è cambiato ancora una volta. Nel 2021 abbiamo parlato più volte di ransomware ma di fatto stiamo iniziando il nuovo anno in cui Zero Day, Backdoor e cyber-espionage saranno molto probabilmente le nuove keyword della cyber security. Cosa fare?
“Parliamo spesso di Security by design e Security by Default, necessari ma non più sufficienti. Diventa imperativo ragionare e adottare anche approcci di security by detection e by reaction”.