Le falle di sicurezza nei device IoT. Intervista al direttore del centro R&D di Bitdefender

Gli attacchi alle reti e dispositivi di IoT costituiscono una realtà che già da qualche anno è emersa negli studi e report di analisi della minaccia di sicurezza informatica a causa delle molte vulnerabilità correlate a questo ambito tecnologico. Vale ricordare a titolo di esempio l’attacco DDOS partito dalla botnet MIRAI costituita da più di 400.000 dispositivi IoT, che nel 2016 fu caratterizzato da 292.000 richieste al minuto, per una durata di 13 giorni. Ma ancora nel 2019 i malware basati su Mirai continuavano a infettare dispositivi IoT creando pericolose botnet (Fonte report Netscout ).

Un primo approfondimento sul tema delle vulnerabilità ai device IoT aveva permesso di evidenziare come questi fossero facilmente “attaccabili” a causa della mancanza di meccanismi di protezione nei dispositivi e nei servizi IoT di fascia bassa, sottolineando la necessità di architetture di sicurezza e dell’adozione di buone pratiche di protezione IoT. A distanza di un anno la situazione è ancora critica. Anzi, il team di ricerca di Bitdefender che da oltre 4 anni studia solo ed esclusivamente le vulnerabilità e gli 0-day per IoT evidenzia comportamenti cronici di poca attenzione alla sicurezza informatica da parte dei vendor.

Se vi domandate quanti possano essere gli 0-day che un team di ricerca può scoprire in 4 anni in tema di vulnerabilità nell’IoT, potreste rimanere meravigliati dalla quantità e dalla rilevanza con cui tali 0-day sono utilizzati anche oggi mediante vettori di attacco riutilizzabili. Le vulnerabilità più critiche sono state identificate in più di 20 marchi di cui alcuni pubblicati ed altri no a causa delle mancate risposte dei fornitori; in effetti la prassi della “vulnerability disclosure” richiede di avvisare prima i vendor tecnologici come diretti interessati per permettere loro di effettuare il bug fixing e solo dopo tre mesi divulgare responsabilmente la criticità.

L’intervista all’esperto

Ne abbiamo parlato con Alex “Jay” Balan, Direttore della Ricerca sulla sicurezza in Bitdefender che da oltre cinque anni ha focalizzato le ricerche del suo dipartimento in questo ambito. Balan, è uno dei maggiori esperti esperti sul tema. Ogni anno tiene uno speech ad hoc alla RSA Conference degli Stati Uniti e quest’anno il suo intervento era focalizzato proprio sulle vulnerabilità degli IoT. Fino ad oggi il suo gruppo di ricerca ha pubblicato circa undici documenti dedicati a specifiche vulnerabilità e molti sono ancora i bug fix e le patch in sospeso, che quindi rappresentano un pericolo reale per lo sfruttamento di massa.

Può dare un’indicazione del “modello di minaccia” maggiormente legato agli IoT, ovvero, quali sono gli scenari di attacco e le minacce più frequenti in cui sono usati gli IoT?

In termini di consapevolezza ci sono due tipi principali di attacchi: di massa e targhetizzati. Nel primo tipo è “preso di mira l’intero pianeta” e la minaccia si applica a tutto. Succede quando si prova a “sparare a tutti e per vedere se si colpirà qualcuno”. Il caso peggiore in questo tipo di scenario è legato ai device IoT direttamente esposti su internet. Scansionando ogni IP in Internet gli attaccanti cercano di vedere se qualche dispositivo IoT è visibile su quell’IP e cercano di “hackerarlo” trovando vulnerabilità, accedendo o abusando di esso. Questo genere di attacchi apporta tuttavia la massima consapevolezza per tutti, perché quasi tutti ne comprendono il rischio correlato e soprattutto capiscono subito il danno potenziale. Questo tipo di attacchi genera consapevolezza e motiva le persone a fare qualcosa al riguardo.

Il secondo tipo è legato agli attacchi mirati su cui è difficile generare consapevolezza perché le persone non sanno chi le attaccherà, né come potrà avere luogo la compromissione. Le principali motivazioni per gli attacchi targetizzati risiedono nello spionaggio aziendale con lo scopo di sottrarre dati all’organizzazione e nello spionaggio di una certa figura politica o giornalista, effettuando attacchi nella casa del target, perché violare la casa di qualcuno si rivela un task relativamente semplice. Infatti, le persone non proteggono le reti interne (non applicano nessuna password non controllano né cambiano le configurazioni di default per le reti domestiche n.d.r.). Gli attacchi lanciati tra i dispositivi interni ad una rete domestica tentano di intercettare le comunicazioni e di aumentare l’infezione tra i dispositivi della stessa rete.

Nell’ultimo e terzo tipo di attacchi che usano IoT si riscontra la motivazione della gelosia per effettuare l’abuso domestico, in cui marito e moglie si spiano.  Purtroppo, questo tipo di azione si sta verificando anche fra adolescenti e nell’ambito dei rapporti fra le persone con la sola regola per cui “qualcuno ti ‘hackera’ perché può”.

Cosa ha presentato alla RSA Conference su Iot e Cybersecurity?

Ho presentato una panoramica sulla sicurezza dei dispositivi IoT di uso comune. Fino ad oggi le vulnerabilità hanno riguardato moltissimi vendor ma non tutti ci rispondono come se non avessero ricevuto la mail.  Voglio dire che sarebbe già un grande risultato farsi rispondere ed avere la certezza che stanno lavorando alla patch. In teoria dopo 90 giorni sarebbe possibile divulgare il bug ma in tanti casi non abbiamo proceduto alla pubblicazione per non avvantaggiare gli attaccanti.

Qual’è l’ultima vulnerabilità che ha studiato?

L’ultima vulnerabilità scoperta a riguarda i baby monitor di diversi brand (D-Link, Adobe, Netatmo, Eero, Ring, Guardzilla, etc.). In particolare, abbiamo segnalato per diversi modelli di baby monitor dei difetti di sicurezza che consentivano ai criminali digitali di prendere il sopravvento, a volte guardando e persino interagendo con il bambino. Sarebbe stato possibile anche caricare registrazioni, trovare l’ID del dispositivo della videocamera, estrarre le informazioni personali degli utenti utilizzando tale ID e persino controllare la videocamera. Molti dei brand contattati però non hanno mai risposto.

Che particolarità hanno gli attacchi agli IoT?

Alcuni attacchi che affliggono i device IoT possono collettivamente essere ricompresi nel cosiddetto attacco basato sulla prossimità mediante “wi fi password hijack”. In pratica l’attaccante può ascoltare e vedere il traffico che passa in chiaro e intercettare le configurazioni iniziali durante il set up del device.  Ma anche se il set up fosse ben eseguito, gli attaccanti forzano la disconnessione del device in modo che il setup riparta dall’inizio e possano approfittarne. Il caso più rappresentativo in questo senso è quello legato ai dispositivi Ring Video Doorbell Pro di Amazon in cui abbiamo rilevato una vulnerabilità che avrebbe consentito agli aggressori di intercettare le password Wi-Fi di chiunque utilizzasse il dispositivo, permettendo l’intromissione nella a comunicazione tra il campanello smart e il proprietario. lo stesso poteva avvenire per gli interruttori Smart Plug Edimax. Anche nel caso degli August Smartlock passibili della vulnerabilità CVE-2019-17098 era possibile sottrarre la password Wi-fi. Oggi la patch stata rilasciata ma, solo un anno dopo dal nostro primo annuncio. Avevamo scoperto che il dispositivo comunicava con l’applicazione di configurazione sullo smartphone in modo crittografato, ma la chiave di crittografia era codificata nell’app, consentendo ad un potenziale aggressore nel raggio di azione di intercettare il traffico e intercettare la password Wi-Fi.

Infine dall’ implementazione poco protetta del servizio S3 di AWS si possono imparare diverse lezioni. Amazon Simple Storage Service, o S3, è un servizio popolare a cui oggi molti sviluppatori si affidano per creare rapidamente applicazioni. Nel tempo, S3 è diventato un bersaglio popolare per gli aggressori, causando un gran numero di fughe di dati. I tre vettori di attacco più comuni che lo riguardano sono relativi a configurazioni errate e alle credenziali rubate del bucket S3 e alle vulnerabilità delle applicazioni. In ogni casistica è possibile implementare accorgimenti di protezione e di sicurezza ma è necessario che siano parte del processo di sviluppo. Lo stesso AWS ha rilasciato informazioni dettagliate su come proteggere i bucket S3.

Perché la sicurezza IoT è così sottovalutata?

Principalmente non si ha una corretta mentalità verso la sicurezza e non ci si sente obbligati ad averla. Vi è anche un importante problema di competenze di sicurezza a livello mondiale. Aggiungerei anche un problema di coding (programmazione n.d.r.) in termini di tecniche di sviluppo e di attenzione alla security fin dalle fasi di design. Ma la risposta a mio avviso non è negli standard e nelle certificazioni: è necessario aumentare la R&D sulla sicurezza per trovare vulnerabilità e poi correggere problemi.

Ma a suo avviso i vendor si occupano di verificare la sicurezza per i loro prodotti? 

Durante uno dei casi di cui mi sono occupato, quello dei baby dei monitor di Guardzilla, ho chiesto alla società se avessero fatto dei pentest e loro lo hanno confermato, ma era evidente come avessero investito decisamente male i loro soldi perché noi avevamo trovato i bug in soli 5 minuti!

In generale consiglio di non comprare devices o apparati “economici” perché è molto probabile che secondo il criterio dell’economicità siano stati scelti i loro componenti Hw e SW ed è quindi molto probabile che non si sia investito nella sicurezza fisica e logica a nessun livello della catena produttiva.

La mia esperienza mi ha portato nel tempo a imparare dalla community di sicurezza mediante un programma di bug bounty. Solitamente rispondono persone serie desiderose di contribuire per guadagnare soldi e noi gli siamo grati per quello che ci aiutano a scoprire. Certo ci sono aziende che temono di essere attaccate da questi stessi ricercatori ma tanto avverrebbe comunque, anche da gruppi specializzati cinesi, russi, ucraini, o Nordcoreani e quindi almeno aprendo un bug bounty program si può essere più preparati alle conseguenze.

Cosa è cambiato in questi anni sull’IoT? E cosa dovrebbe cambiare ancora?

Buone iniziative riguardano il fatto di forzare una prima password per i device al primo setup. Ma a parte questo Iot attack aumenteranno tremendamente perché è facile; mi spiego: le aziende non curano la security e non ci tengono a scoprire le vulnerabilità. Si dovrebbe diffidare delle aziende che non sono trasparenti sui loro programmi di bug fixing, vulnerability disclosure e patching. Secondo la mia opinione l’ambito IoT sarà l’APT del futuro perché sono facilmente violabili e nessuno lo sa o presta attenzione.

Quali sono le principali misure di sicurezza di protezione e come implementarli senza immobilizzare i processi aziendali?

Suggerisco di includere la sicurezza IoT nella valutazione della “postura di sicurezza aziendale” (includendo telefoni VOIP, PBX, e qualsiasi smart device), effettuare audit di security su tutti i device di tipo smart includendo sia gli apparati SCADA sia gli apparati industriali di IoT. È utile ricordare poi che una crittografia di livello militare non garantisce la sicurezza nella maggior parte degli attacchi moderni, a causa delle tattiche e modalità di attacco che i criminali informatici adottano per intromettersi nei sistemi violandoli anche prima che i dati siano scambiati in modalità crittografata. Infine, nei device che supportano la connettività è necessario scegliere solo fornitori di fiducia che abbiano SLA ragionevoli e specifici per la sicurezza. Ma in generale nella scelta dei fornitori è necessari investigare se abbiano certificazioni di sicurezza e se davvero includano la security nei loro processi.