Lo diciamo da tempo: i dispositivi per l’Internet delle Cose vanno selezionati e gestiti correttamente perché saranno sempre più presi di mira dai criminali informatici e utilizzati come “testa di ponte” per provocare danni all’interno dell’infrastruttura di rete, aziendale o domestica che sia.
Negli articoli Come rendere la rete sicura sia in azienda che a casa e Accedere a PC remoto, al router, a una videocamera o un dispositivo in rete locale abbiamo esaminato le problematiche connesse con l’utilizzo di dispositivi IoT e device smart realizzati da produttori poco conosciuti e non completamente affidabili.
Per evitare di correre rischi, è opportuno disattivare sempre il supporto UPnP sul router, evitare di aprire porte in ingresso, installare eventualmente un server VPN per collegarsi alla rete locale da remoto, isolare i prodotti smart dal resto della rete e possibilmente scegliere sempre oggetti che offrono garanzie in termini di affidabilità e sicurezza, anche se si prevedesse di usare solo le funzionalità cloud e non si esponessero porte sull’interfaccia WAN.
Gartner stima che entro il 2020 il numero di dispositivi IoT raggiungerà i 20,4 miliardi, con un tasso di crescita sbalorditivo – pari al 143% in soli tre anni –.
È quindi fondamentale applicare i suggerimenti illustrati negli articoli citati in precedenza per scegliere bene i dispositivi IoT nonché per mettere in sicurezza loro e la rete cui essi vengono connessi.
“Già oggi il numero dei dispositivi IoT è maggiore di quello delle persone e si stanno moltiplicando a un ritmo di crescita superiore a quello della popolazione globale“, ha osservato David Warburton, Senior EMEA Threat Research Evangelist di F5 Networks. Il controllo della sicurezza dei dispositivi IoT e delle stesse reti è purtroppo sempre più lassista comportando “rischi potenziali anche per le vite umane. Basti pensare ad esempio ai casi in cui vengono compromessi dispositivi IoT che offrono gateway verso infrastrutture critiche“.
Secondo i tecnici dei laboratori di ricerca di F5 Networks – gli F5 Labs – i dispositivi IoT che sono stati maggiormente infettati e aggiunti ad esempio a bot controllate da parte di criminali informatici sono i router delle piccole e medie imprese, le telecamere IP, i videoregistratori DVR e le telecamere a circuito chiuso.
I dispositivi caduti sotto il controllo dei malintenzionati vengono sfruttati per sferrare attacchi DDoS (Distributed Denial of Service) anche se quest’anno i cyber criminali hanno iniziato a usarli per installare server proxy utili al fine di lanciare attacchi più complessi.
Una volta caduti nelle mani di utenti malintenzionati remoti, i dispositivi IoT sono sfruttato per avviare tattiche di crypto-jacking, per l’installazione di nodi Tor e di packet sniffer, per effettuare dirottamenti DNS (utili per porre in essere attività phishing), raccogliere credenziali, dati personali e installare trojan.
Come abbiamo visto nei nostri articoli, gli esperti degli F5 Labs confermano che il metodo di attacco più gettonato parte dalla scansione di ampi gruppi di indirizzi IP in rete alla ricerca di porte e servizi di amministrazione remota lasciati aperti: vedere Port scanning: un’arma a doppio taglio. Difendetevi.
I protocolli Telnet e Secure Shell (SSH) sono stati i più sfruttati, seguiti dai protocolli HNAP (Home Network Administration Protocol), Universal Plug and Play (UPnP), iSOAP (Simple Object Access Protocol) e da molte altre porte TCP lasciate aperte sui device IoT. Vulnerabilità comuni e specifiche di alcuni dispositivi IoT hanno ovviamente rappresentato una più facile “porta di accesso”.
“È molto preoccupante: abbiamo a che fare con oltre 8 miliardi di dispositivi IoT in tutto il mondo che, nella maggior parte dei casi, privilegiano la facilità di accesso alla sicurezza“, ha aggiunto Warburton. “Le organizzazioni devono prepararsi all’impatto che questi avranno, perché le opportunità di attacco dell’IoT sono praticamente infinite. (…) Nel frattempo, è essenziale disporre di controlli di sicurezza in grado di rilevare e scalare in base alla portata dell’attacco“.
Basti pensare che Mirai, malware progettato per infettare i dispositivi connessi a Internet e diffondersi ulteriormente attraverso questi ultimi (minaccia scoperta ad agosto 2016), è ancora diffusissimo.
Anche se il numero dei sistemi Mirai infetti è complessivamente diminuito, almeno di poco, F5 Labs spiega che l’Europa rimane l’unica regione in cui le sono rimaste relativamente stabili da dicembre 2017 a giugno 2018.
E non solo la minaccia originale è ancora presente ma esistono almeno altre 10 varianti di Mirai da considerare (Annie, Satori / Okiru, Persirai, Masuta, Pure Masuta, OMG, SORA, OWARI, Omni e Wicked) dotate tra l’altro di funzionalità decisamente più evolute.
Suggeriamo anche la lettura del nostro approfondimento Sicurezza informatica, come difendersi dalle minacce più moderne in ufficio e in azienda.