Cosa succede se non si protegge l’ecosistema IoT

Da K7 Computing Italia, 07/11/2016 - 18:45
IoT

Iniziamo una breve serie di blog in due parti che tratterà i problemi alla sicurezza dell’internet delle cose (IoT), in termini un po’ più tecnici di quelli trattati precedentemente.

Immaginate di essere sulla via di casa in una macchina col pilota automatico e state navigando in rete con il cellulare. Quando vi trovate a 3 chilometri da casa, l’aria condizionata si accende automaticamente alla temperatura desiderata. Entrate nel garage, le porte si aprono automaticamente, e poi entrare in casa. Le luci si aggiustano in modo dinamico a seconda del tempo che fa fuori e le lasagne nel forno ora sono ben cotte.

Vent’anni fa, se qualcuno mi avesse detto una storia simile gli avrei riso in faccia e detto “guardi troppi film di fantascienza!”. Ma oggi questo scenario rientra nella realtà di tutti i giorni. La rivoluzione dell’IoT è finalmente arrivata e, in teoria, dovrebbe solo essere fonte di gioia e portare comodità nella vita delle persone. Ma c’è un aspetto negativo riguardo all’IoT: stanno diventando un bersaglio appetibile per i cybercriminali. L’aumento e la varietà dei dispositivi connessi hanno aperto a nuove possibilità di attacchi e con diversi metodi.
 
Le falle nella sicurezza dei prodotti smart sono già stati messi in evidenza da hacker e da ricercatori sulla sicurezza. Alcune delle violazioni che sono diventate notizie: case intelligenti, telecamere di sorveglianza, jeep (accessibili da remoto e e con la possibilità di bloccare i motori). Addirittura c'era una cabina di pilotaggio accessibile tramite i sistemi di intrattenimento in volo. E come se non bastasse, è stato dimostrato che anche i pacemaker e le pompe per insulina possono essere violabili.

Dando uno sguardo più da vicino a queste violazioni, si vedranno quanti problemi di sicurezza saltano fuori dagli ecosistemi IoT. Esaminiamo alcuni di questi problemi.

Canali di comunicazione

I dispositivi IoT comunicano principalmente in wireless tramite protocolli come LTE Advanced, cellulari 4G/LTE, 3G GPS/GPRS, 2G/GSM/EDGE, CDMA, EV-DO, WiMAX, Weightless, Wi-Fi, Bluetooth, UWB, Z-Wave, ZigBee, 6L0wpan, NFC and RFID. Ci sono falle nella sicurezza conosciute associate a questi protocolli, tuttavia continuano ad essere molto utilizzati. Ciò implica due scelte non banali:

1.    Risolvere i problemi di questi protocolli
2.    Progettare protocolli migliori e più sicuri

Entrambe le scelte non sono così facili da effettuare.

Autenticazione e autorizzazione

Le credenziali e i token sono essenziali per un metodo di autenticazione e autorizzazione tradizionale. La tecnologia smart ha però aggiunto nuove modalità: biometria, sensori, NFC, RFID e anche, indovinate un po’, nessun tipo di autenticazione! In tutti questi anni il nostro settore è stato in una costante  lotta per trovare un modo sicuro di memorizzare le credenziali. Ma ora abbiamo una nuova serie di autenticazioni e autorizzazioni da dover gestire.

Crittografia end-to-end

Le app, in particolare quelli di messaggistica, prima criptano i dati dell’utente sul dispositivo utilizzando algoritmi di cifratura all’avanguardia, lo standard del settore. Poi si implementano i sistemi di crittografia end-to-end e anti spia. Però lo stesso approccio non può essere adottato per i dispositivi smart perché i modi di comunicare sono fondamentalmente diversi. In questi casi, la comunicazione non è uno a uno ma uno a molti o molti a molti. I dati viaggiano attraverso molti nodi e canali di comunicazione. Inoltre, i protocolli di sicurezza utilizzati dai dispositivi possono variare.

Piccoli errori nella crittografia end-to-end possono rendere visibili credenziali, token e altre informazioni sensibili. Immaginate di avere un router che utilizza un algoritmo di cifratura all’avanguardia. Il router poi comunica con un termometro che memorizza la password di rete in testo non crittografato. Ora, per entrare nella rete, tutto quello che bisogna fare è puntare al termometro, bypassando così il framework di sicurezza di tutta la rete.

Interfaccia web/app scadente

Le interfacce web/app sono note per essere gli obiettivi preferiti degli hacker. Questo perché ci sono bug/difetti presenti nei framework sottostanti con cui si eseguono queste interfacce. Un'interfaccia vulnerabile può fornire all’hacker l’accesso al server o al cloud stesso. I problemi comuni associati a questo sono:

1.    Mancanza di meccanismi solidi di recupero password
2.    Nessuna protezione da cross-site scripting (XSS), iniezioni di codice/SQL, ecc.

Errori hardware

Impegnati a creare design eleganti e minimalisti, alcuni produttori tendono a trascurare bug nell’hardware. Questi bug, di conseguenza, permettono agli hacker di riavviare i dispositivi e le aree sensibili. Non è possibile fornire patch all’hardware via etere.

Dispositivi client non protetti

Gli utenti utilizzano desktop, laptop, tablet, cellulari, ecc. per gestire i dispositivi IoT che a loro volta aprono porte in remoto per il loro accesso. Tutti questi dispositivi purtroppo hanno una lunga e nota storia di vulnerabilità gravi. Pensate a un’azienda che produce lampadine smart con tutte quelle belle caratteristiche gestibili in remoto. Avranno un’app per cellulare, un’interfaccia web e un hardware incorporato altamente protetti e compatibili. Ma cosa succede se i clienti hanno una configurazione wireless debole, un sistema operativo per cellulare obsoleto o applicazioni desktop vulnerabili? A chi daremo la colpa per un’eventuale violazione???

Immagine per gentile concessione di:
eweek.com

Priyal Viroja
Vulnerability Researcher, K7TCL

Traduzione: Harry Blake Paz Bonzano
Originale: http://blog.k7computing.com/2016/04/problems-insecuring-iot-ecosystem/

Alla parte 2...

Category: