Dispositivi smart: come non essere spiati

di Alessio Aceti  - CEO di Sababa Security, azienda italiana di cybersecurity

È cronaca nota: due organizzazioni criminali di Milano rivendevano in rete video e foto di case, spogliatoi di palestre, piscine e camerini di negozi riprese dai sistemi di videosorveglianza. Con 20 euro si potevano spiare, anche live, i sistemi violati. Il fatto riporta in superficie il tema della sicurezza dei dispositivi smart: dai citofoni smart che ci consentono di rispondere al corriere da remoto, alle telecamere IP per monitorare casa e figli da smartphone, come pure caldaie, domotica e sistemi d’allarme che si comandano da app e via internet. Il problema è che gli utenti, ma spesso nemmeno le aziende, non sono consapevoli dei rischi che corrono.

Oggi chiunque utilizza un PC o uno smartphone ne conosce in qualche modo i rischi di sicurezza, anche solo per sentito dire. È quindi molto più probabile che su questi dispositivi gli utenti installino un antivirus, utilizzino password, impronta digitale o il phase ID, o che eseguano prontamente gli aggiornamenti - anche perché i sistemi operativi come Windows, Android e iOS mandano continue notifiche sulla necessità di aggiornare il dispositivo. I sistemi “smart”, invece, vengono considerati dagli utenti, soprattutto quelli domestici, come oggetti “disconnessi”, che nella maggior parte dei casi vengono installati e dimenticati. 

Rischio elevato

Il problema è che tutti i dispositivi smart, telecamere incluse, sono connessi ad internet, e al loro interno hanno un sistema operativo sicuramente del software, come ad esempio web server. Inoltre, sono spesso integrati con altri sistemi e servizi in cloud. Gli attaccanti utilizzano le vulnerabilità di questi sistemi per rubare immagini, disattivare allarmi e, perché no, perpetrare attacchi DDoS verso terzi (come nel caso della botnet “Mirai”). È quindi fondamentale aggiornare i dispositivi all’ultima versione di firmware, non pubblicarli su internet senza precauzioni, non utilizzare le credenziali di default e utilizzare un’autenticazione a più fattori.

Come fanno?

Ma come fanno gli attaccanti a rilevare i dispositivi smart vulnerabili? Ci sono due modalità principali:

• questi dispositivi IoT, se pubblicati su internet, vengono indicizzati costantemente da “internet scanner”, come Shodan.io, che scandaglia costantemente il web alla ricerca di dispositivi pubblicati su internet. Se i dispositivi non sono aggiornati, sono vulnerabili e/o utilizzano credenziali di default, il gioco è fatto. Inoltre esistono liste di questi dispositivi, con relative credenziali di accesso, nei vari marketplace su dark/deep web.

• nella maggior parte dei casi sono i sistemi del produttore di dispositivi smart o il gestore (società di gestione dei sistemi di allarme/videosorveglianza), ad essere stati compromessi attraverso un supply chain attack. In questo modo si compromette in contemporanea la sicurezza di centinaia di migliaia di utenti finali.

Questione culturale

Purtroppo non esiste una filiera formata sui cyber rischi in quanto chi installa e gestisce questi dispositivi (sistemi di allarme, sistemi di videosorveglianza, domotica ecc), sicuramente esperto della sua materia, spesso non possiede però altrettanta consapevolezza sui rischi cyber, per cui utilizza le stesse password su tutti i clienti, non aggiorna i dispositivi installati presso i clienti e connette i clienti alla sua centrale operativa in maniera non sicura.

E le imprese?

Il problema non riguarda solo i privati, ma anche le aziende di tutte le dimensioni. Oggi le società e i dipartimenti di cybersecurity e IT hanno a disposizione degli strumenti automatici per creare un inventario di tutti i client, server, device mobili e macchine virtuali presenti in rete, e di conseguenza mantenere questi sistemi aggiornati, mappare eventuali vulnerabilità e contenere i rischi con altri sistemi come virtual patching, IPS/IDS, regole firewall ecc. Invece per i sistemi IoT è tutto molto complesso: spesso sono in gestione al “shadow IT” (ad es. i sistemi di telecamere e controllo accessi sono in gestione a società appaltatrici esterne, che non aggiornano i device e che mantengono credenziali uguali su tutti i clienti). Inoltre spesso i dispositivi sono vecchi e “fuori supporto”, per cui il produttore non rilascia più aggiornamenti.

Che deve fare la Signora Maria?

Per non essere vittima di questi attacchi, i privati dovrebbero aggiornare regolarmente i dispositivi, utilizzare password complesse, rivolgersi ad un esperto in caso di dubbi e non pubblicare nessuna informazione su internet. Se si utilizzano installatori esterni, è necessario informarsi su quale sia la modalità corretta per proteggersi dai rischi cyber. Inoltre, è sempre meglio utilizzare brand conosciuti: meglio Alexa del device cinese comprato su Alibaba.

Che deve fare l’azienda Pinco Pallo?

Per quanto riguarda le aziende, esistono combinazioni di software e servizi in grado di:

• offrire un inventario di tutti i device smart/iot connessi alla rete aziendale

• gestire gli aggiornamenti dei firmware di tali dispositivi

• gestire le vulnerabilità

• gestire i dispositivi fuori supporto dal produttore

• individuare eventuali utilizzi di credenziali di default

• gestire le credenziali, e fornire un accesso sicuro ai colleghi e ai fornitori esterni, senza compromettere l’integrità delle credenziali stesse.