L’Internet of Things ha bisogno di molta ricerca sulle vulnerabilità per sopravvivere
Harry Sintonen, Senior Security Consultant di F-Secure, la scorsa settimana è apparso a Disobey a Helsinki per impartire al pubblico una lezione su come gli attaccanti siano in grado di usare a loro vantaggio i dispositivi non protetti. Harry ha fatto una dimostrazione dopo aver scoperto molte vulnerabilità in un dispositivo NAS (Network Attached Storage) di QNAP. E per dimostrare che queste vulnerabilità potrebbero essere usate per attaccare il dispositivo, Harry ha sviluppato un attacco proof-of-concept (POC) – un pezzo di codice che usa vulnerabilità per compromettere sistemi – che gli ha permesso di prendere il controllo del dispositivo.
Non è il caso di scendere nei dettagli tecnici (puoi guardare la presentazione di Harry qui). Ma in sostanza, il POC di Harry manipola il dispositivo quando tenta di aggiornare il suo firmware. Si è trattato di un bersaglio facile per Harry a causa dei problemi sulle modalità in cui il dispositivo si aggiorna (ossia, senza utilizzare la crittografia per le richieste di aggiornamento).
Il POC ha permesso a Harry di prendere il controllo del dispositivo. Non ha tentato di fare altro se non questo. Ma un attaccante potrebbe andare oltre. Dopo aver preso il controllo del dispositivo, un attaccante potrebbe fare cose come accedere a dati archiviati, rubare password, o persino eseguire comandi a distanza (per esempio, dire al dispositivo di scaricare del malware).
Ti sembra preoccupante tutto ciò? Bene, la buona notizia è che gli attaccanti dovrebbero riuscire a inserirsi nelle comunicazioni tra il NAS e i server del produttore per intercettare il processo di aggiornamento prima che possano manipolarlo.
“Questo basta a scoraggiare gli attaccanti più opportunistici o quelli meno preparati,” ha spiegato Janne Kauhanen, un esperto di cyber security di F-Secure.
Ma la cattiva notizia è che questo genere di problemi stanno diventando sempre più frequenti nei dispositivi connessi a Internet. In questo caso, Harry ha informato QNAP circa le vulnerabilità riscontrate nel Febbraio 2016. Tuttavia, per quanto a conoscenza di Harry, il produttore non ha ancora rilasciato alcuna patch (sebbene QNAP dichiari di stare lavorandoci).
La ricerca sulle vulnerabilità è di importanza cruciale se vogliamo rendere sicuro l’IoT
Non è la prima volta che Harry scopre falle di sicurezza nei prodotti. La scorsa estate, ha scoperto una vulnerabilità nei router domestici di Inteno che li lasciano esposti agli attaccanti.
“E’ davvero incredibile come siano insicuri i prodotti che ci vengono venduti,” ha dichiarato Janne . “Noi e altre aziende di sicurezza scopriamo vulnerabilità in questi dispositivi in continuazione. I produttori e i loro clienti trascurano il firmware presente nei router e nei dispositivi IoT – non lo trascurano certamente gli attaccanti, che usano le vulnerabilità per dirottare traffico Internet, rubare informazioni, e diffondere malware.”
I ricercatori di sicurezza conducono questi tipi di verifiche poiché produttori e sviluppatori tipicamente non hanno risorse disponibili per farlo per conto proprio. E considerando la carenza di personale competente nella cyber security questo non sorprende.
Ecco perché le aziende (non solo quelle di sicurezza) investono nella ricerca sulle vulnerabilità. Un modo per farlo è con i programmi “bug bounty” (“trova la falla”). Microsoft, Facebook, e molte altre note aziende IT (inclusa F-Secure) offrono denaro a chiunque scopra delle vulnerabilità nei loro prodotti. La scorsa estate, un ragazzino di 10 anni ha ricevuto 10.000 dollari per aver individuato una vulnerabilità su Instagram.
Purtroppo però molte vulnerabilità restano nascoste fino a quando un utente non si imbatte in una di queste. O, peggio, quando un attaccante le sfrutta per colpire dei dispositivi.
I dispositivi IoT si stanno diffondendo. E le problematiche di sicurezza con loro. Serve non fare errori: se vogliamo evitare un altro Mirai, o anche qualcosa di peggio, serve che qualcuno investa tempo, per scoprire e risolvere problemi di sicurezza prima di un attacco.
[ Immagine di Tumitu Design | Flickr ]
Articolo tratto da “The IoT needs Vulnerability Research to Survive” di Adam Pilkey, Content Editor Corporate Communications F-Secure Corporation
Categorie