Il grande fratello dell’IoT

Centinaia di registrazioni di sicurezza esposte a rischio di manomissione, telecamere controllabili da remoto da attori ostili e digital video recorder utilizzabili in botnet per attacchi distribuiti in rete (DoS/DDoS – denial of service/distributed denial of service) utilizzati per creare disservizi su siti web tramite l’invio di numerose richieste impedendone il corretto funzionamento. La statunitense MITRE Corporation, organizzazione non governativa che conta oltre 8mila dipendenti e attiva in campi che spaziano dalla ricerca alla difesa, ha assegnato all’Offensive Team di Swascan (Tinexta Cyber) la scoperta di una vulnerabilità critica (CVSSv3 – 9.8), avvenuta durante una regolare attività di cyber security testing su un cliente, relativa al software Visual Tools prodotto dalla azienda spagnola AX Solution SL e impiegato all’intero di hardware di digital video recording (che gestiscono le registrazioni delle telecamere di sicurezza). A causa di questa vulnerabilità, un utente malintenzionato e senza alcuna credenziale di autenticazione, potrebbe ottenere accesso al dispositivo, con la conseguente acquisizione e manomissione dei video registrati dalle s telecamere collegate al dispositivo.

LEGGI ANCHE >>> Cybersecurity nel settore sanitario: il report

Questi software di Digital video recorder vulnerabili, sfortunatamente, sono già stati integrati in una botnet e risultano quindi essere asservibili a eventuali attacchi distribuiti in rete. Il prodotto è prevalentemente installato in sistemi di videosorveglianza per le aziende. Assumendone il controllo da remoto, oltre a poter osservare gli ambienti monitorati dalle telecamere, è possibile visualizzare e scaricare i video registrati, e anche cancellare o inserire singole immagini o video. Dei 541 DVR esposti a tale vulnerabilità, rilevate nel mondo attraverso Shodan, il principale motore di ricerca di dispositivi collegati a Internet, ben 235 sono installate in Italia.

Quali impatti secondo il CEO di Swascan?

“Bisogna maturare la piena consapevolezza dei rischi che si corrono, il sistema di videosorveglianza può essere sabotato per le più diverse finalità per arrecare danni alle aziende che dispongono di questi software. Per non parlare della possibile violazione della privacy, che sebbene possa apparire il minore dei mali è in realtà il più insidioso”, ha commentato il CEO di Swascan Pierguido Iezzi.

Il nuovo grande fratello?

Il mondo iperconnesso di oggi, che ci circonda di dispositivi IoT e IoX, sta rapidamente diventando quello che molti chiamano Internet of Everything – IoE. Questo significa che ogni oggetto di uso comune ben presto sarà un endpoint connesso alla rete. Di conseguenza questo potrebbe potenzialmente essere un punto di attacco per i Criminal Hacker. La proliferazione di dispositivi, anche se da un lato ha portato indubbi vantaggi per i consumatori sul fronte della fruibilità, della user experience e della produttività, nasconde, come ha evidenziato la scoperta, ancora inside lato security.

Perché l’IoT security non deve essere sottovalutata?

Una migliore sicurezza IoT, quindi, richiede un cambiamento nella cultura e nelle abitudini dei consumatori. Ma anche i produttori dovrebbero fare di più, con una migliore guida da parte del Governo. Ironia della sorte, la buona notizia nascosta nell’atroce sicurezza dei dispositivi Internet of Things (IoT) attualmente in commercio potrebbe essere che questo sta mettendo in luce il problema anche a quella parte di pubblico generale che solitamente non si avventura nel mondo della Cyber Security.

Le storie sulle Smart Cam hackerate (ricordiamo il caso Ring), per esempio, non vengono più coperte unicamente dalla parte più settoriale della stampa, sono i titoli di testa sui media tradizionali! Ma non dobbiamo confondere awerness con competenza. Gli utenti potrebbero sapere che i dispositivi di domotica compromessi dai Criminal Hacker potrebbero permettere agli aggressori di sbloccare le loro porte o di spiare loro e i loro figli, ma questo non significa che sappiano come rafforzare il perimetro della propria rete domestica.

In effetti, è un po’difficile aspettarsi che lo facciano. Detto con una metafora: tutti sappiamo utilizzare i freni della nostra auto e capire se ci sono problemi o meno, pochi di noi sanno come ripararli in caso di guasti. Nel caso dell’IoT, sfortunatamente non siamo ancora tutti in grado di capire “quando funzionano i freni o meno”. Cambiare la situazione attuale richieste uno sforzo combinato non indifferente. Lato consumatori, affrontare il problema richiederà un cambiamento culturale e di educazione. Ci devono essere campagne di formazione/sensibilizzazione per tutti su cose come l’autenticazione e la gestione dei permessi. Ma va anche detto che lato produttori e reseller dovrebbero esserci uno sforzo molto più concertato.

A cominciare dall’inasprire la sicurezza dei dispositivi e rendere più facile per gli utenti la loro configurazione e il loro controllo. Ciò richiederebbe un certo livello di profilazione delle minacce, in base al quale le applicazioni e i loro permessi sarebbero valutati da professionisti che sono a conoscenza degli ultimi casi di violazioni e vulnerabilità, settando gli standard di conseguenza. Abbiamo forse sacrificato troppo in nome della comodità e della user experience? Forse.

Quello che è certo, ricorda Iezzi, è che casi come questo rendono imprescindibile un ripensamento dei paradigmi di progettazione da parte dei produttori, che sempre di più dovranno adottare non solo, un approccio security first nel percorso di sviluppo dei propri software e hardware, ma anche modelli e sistemi di verifica continua e costante attraverso laboratori di ricerca in grado di garantire resilienza e interoperabilità nei contesti interconnessi.