Minacce IoT: l’esplosione di dispositivi ‘smart’ che riempono le nostre case portano a rischi crescenti
Quanti dispositivi o “oggetti” insicuri sono connessi a Internet nella tua casa? Come li proteggerai tutti quanti?
Il ritmo con cui “le cose” vengono collegate alla rete sta crescendo incredibilmente. Cisco prevede che oltre a smartphone, tablet e PC, una persona media in Nord America avrà 14 dispositivi in rete entro il 2020. Un europeo occidentale ne avrà 9.
Gli assistenti personali, come Amazon Alexa o Google Home, testimoniano la crescita esplosiva dei dispositivi connessi. Questa categoria di device esisteva a malapena nel 2015. Entro il 2018, questi dispositivi potrebbero essere trovati in quasi un quarto delle case americane e nel 12% delle famiglie europee.
Questa enorme quantità di potenza di calcolo accumulata in casa si sta rivelando un’attrattiva per i criminali.
Il nuovo report di F-Secure, IoT Threat Landscape: Old Hacks, New Devices, rivela che il 2018 potrebbe rappresentare il punto di svolta. Le minacce che prendono di mira i dispositivi IoT vulnerabili non possono più essere ignorate, specialmente da quei consumatori che ricercano l’accesso a Internet.
Nuovi dispositivi, stessi errori
Nella prima metà del 2018, sia Interpol che FBI hanno avvertito i consumatori che i dispositivi IoT, come router, telecamere e DVR, devono essere protetti così come proteggiamo i nostri PC e dispositivi mobili.
“I criminali informatici in genere compromettono i dispositivi che hanno un’autenticazione debole, oppure firmware senza patch o altre vulnerabilità software, o mettono in atto attacchi brute force su dispositivi con nomi utente e password predefiniti“, ha affermato l’FBI.
Le minacce IoT hanno preso di mira password deboli per oltre un decennio. I produttori non se ne sono occupati. Negli ultimi anni, la diffusione del codice sorgente per il malware IoT finito online “per scopi di ricerca” ha contribuito a far apparire minacce più avanzate.
“Password deboli, vulnerabilità conosciute, aggiornamenti che raramente (e in certi casi mai) vengono fatti. Abbiamo visto tutto questo fino a oggi,” sottolinea Tom Gaffney, F-Secure Operator Consultant. “Stiamo facendo gli stessi errori che abbiamo fatto negli anni ’90. Solo ora però non abbiamo più scuse. Dovremmo avere più conoscenza.”
Prede facili – in particolare i router
Secondo uno studio del 2018 condotto dall’American Consumer Institute, l’83% di router domestici e d’ufficio sono risultati vulnerabili all’hacking. Lo studio ha preso in considerazione cinque dei sei marchi principali. È del tutto possibile che un router sia stato violato senza che l’utente ne fosse a conoscenza. Con una tecnica chiamata DNS hijacking, gli hacker possono reindirizzare il traffico verso un sito Web di phishing, dove gli utenti finiscono col fornire un numero di carta di credito o credenziali di accesso.
Il numero di minacce IoT osservate dai Laboratori di F-Secure è raddoppiato nel 2018, passando da 19 a 38 nello spazio di un anno. Ma molte di queste minacce usano ancora tecniche prevedibili e conosciute per compromettere i dispositivi. Le minacce che mirano a credenziali deboli/predefinite, vulnerabilità prive di patch, o entrambe, costituiscono l’87% delle minacce osservate.
Sono emerse numerose minacce IoT incentrate sul mining delle criptovalute. Molte di queste minacce sono state ricavate dal codice sorgente del malware Mirai, che dirotta i dispositivi Linux per utilizzare la potenza di calcolo come parte di una botnet di macchine zombie, spesso per eseguire attacchi DDoS (denial of service).
IoT o dispositivi connessi – vale ancora questa differenza?
Degli attacchi osservati dagli honeypot di F-Secure nel 2018, per il 59%, si è trattato di attacchi rivolti a Telnet, una tendenza che F-Secure Labs attribuisce alla diffusione del malware Mirai. Jarno Niemelä, Principal F-Secure Labs Threat Researcher, ha affermato che “i tipi di nuovi dispositivi che Mirai attacca non hanno alcun interesse ad essere visibili su Internet”.
Questi dispositivi IoT a cui non sono state applicate patch sono bersagli facili per i criminali. E se un attacco a questi dispositivi non è così ovvio come gli attacchi ransomware, può permettere di succhiare risorse di sistema per interrompere o rallentare le connessioni Internet.
I più grandi produttori come Amazon sono stati in grado di rafforzare efficacemente i loro dispositivi domestici connessi a Internet grazie all’aiuto di hacker etici come Mark Barnes, che ha eseguito il primo hack di un Echo. Ma ci sono ancora innumerevoli dispositivi vulnerabili in uso. Inoltre, il PC e i dispositivi mobili, su cui molte persone fanno affidamento più che su qualsiasi altro dispositivo “intelligente”, spesso non sono protetti.
Proteggi qualsiasi cosa, dentro e fuori casa
Le “smart home” stanno diventando sempre più ecosistemi. La sicurezza di un dispositivo potrebbe potenzialmente influire sull’affidabilità degli altri.
Nonostante la massiccia adozione, gli utenti che hanno case connesse a Internet esprimono continuamente preoccupazioni per la privacy. La ricerca mostra che più gli utenti conoscono l’IoT, maggiori sono le preoccupazioni che tendono ad avere.
“In una casa connessa, la tua smart TV potrebbe connettersi alla tua stampante wireless. La tua console di gioco potrebbe iniziare a comunicare con la tua lampadina intelligente“, ha dichiarato Timo Laaksonen, F-Secure’s Head of Operator Business, Americas. “Ma non hanno motivo per intraprendere tali azioni“.
Il pensiero di avere un dispositivo hackerato in cucina o in camera da letto che può fungere da “intercettatore” ha giustamente preoccupato gli utenti. Ma gli smartphone che portiamo in tasca hanno la stessa probabilità di ascoltarci come il nostro Echo. Anche il nostro sistema di sicurezza “intelligente” potrebbe essere in ascolto con un microfono che non sapevamo di avere.
La sicurezza della nostra casa dipende sempre più da come proteggiamo tutti i dispositivi, indipendentemente dal fatto che siano dentro o fuori casa.
Categorie