Gli esperti di IoT Inspector, società tedesca che ha realizzato una piattaforma automatizzata per la scansione del firmware dei dispositivi per l’Internet delle Cose alla ricerca di eventuali vulnerabilità di sicurezza, ha svolto un interessante test concentrando l’attenzione sui modelli di router utilizzati da utenti privati e piccole imprese.
IoT afferma di aver individuato un totale di 226 potenziali vulnerabilità nei 9 modelli di router AVM, D-Link, Netgear, Edimax, TP-Link, Synology e Linksys utilizzati nel corso del test. Si tratta di dispositivi utilizzati da milioni di persone in tutto il mondo.
Non tutte le vulnerabilità sono ugualmente critiche ma al momento del test, secondo Florian Lukavsky, CTO di IoT Inspector, tutti i router presi in esame hanno mostrato evidenza di vulnerabilità di sicurezza significative.
Di quali problemi si parla? E come hanno reagito i produttori di router chiamati in causa da IoT Inspector?
Innanzi tutto va detto che come sottolineano gli stessi ricercatori alcune delle problematiche sono “potenziali”. Uno dei “nei” più ricorrenti consiste ad esempio nel mancato aggiornamento del kernel Linux: l’integrazione di un nuovo kernel nel firmware è costosa quindi sono pochi i produttori che si attrezzano in tal senso.
Anche il software utilizzato come base per il firmware risulta, sempre secondo IoT Inspector, troppo spesso obsoleto. In molti casi viene utilizzato uno strumento standard come BusyBox e anche i servizi aggiuntivi che oltre a gestire le funzionalità di routing si occupano ad esempio del funzionamento di VPN e gestione dei contenuti multimediali.
IoT Inspector osserva che in molti casi i dispositivi usano credenziali predefinite che in molti casi possono essere lette ed estratte in chiaro. In alcuni casi sono state scoperte credenziali hardcoded all’interno del firmware.
L’azienda che ha realizzato il report fa presente che tutti i produttori dei 9 router presi in esame sono stati contattati ed è stata offerta loro la possibilità di rispondere.
Senza alcuna eccezione tutte le note aziende chiamate in causa hanno reagito aggiornando il firmware dei loro dispositivi risolvendo buona parte delle lacune segnalate. C’è ancora lavoro da fare ma IoT Inspector aveva evidentemente un obiettivo ovvero quello di evidenziare come una piattaforma come quella da loro proposta aiuti a far emergere sviste e problematiche di sicurezza che sono passate inosservate.
Caricando da Web qualunque firmware sulla piattaforma IoT Inspector dopo pochi minuti essa restituisce un rapporto dettagliato e una valutazione del rischio connesso con ciascuna vulnerabilità rilevata.
In qualità di impresa con sede in Germania, IoT Inspector ha voluto ricordare che a Berlino è stato deciso di investire i produttori di dispositivi di maggiori responsabilità. I produttori sono responsabili per i danni causati dalle vulnerabilità di sicurezza rilevate nei loro dispositivi se causate da comportamenti negligenti.
Il legislatore ha insomma voluto far pressione sull’industria per esortare i produttori a rendere sempre più sicuri i loro device con l’obiettivo di evitare richieste di risarcimento danni.
Come difendersi e proteggere i dati contenuti nei dispositivi collegati con il router
In un nostro articolo abbiamo visto le cose da fare dopo aver acquistato e installato un router mentre in un altro approfondimento ci siamo concentrati sui consigli per rendere sicura la rete in azienda e a casa.
Cambiare le password del router (accesso alla WiFi e al pannello di amministrazione) sin dal primo utilizzo e abilitare la funzione di aggiornamento automatico del firmware dovrebbero essere due attività basilari dalle quali non si dovrebbe mai prescindere. “Il pericolo maggiore, oltre alle vulnerabilità inavvertitamente introdotte dai produttori, è usare un dispositivo secondo il motto plug, play and forget“, ha dichiarato Jan Wendenburg, CEO di IoT Inspector. Un router, come qualunque dispositivo IoT, non deve essere collegato e dimenticato una volta messo in funzione: la sua configurazione e il suo stato devono essere periodicamente e scrupolosamente controllati.
Da parte nostra aggiungiamo che è importante non attivare porte in ingresso che non servono, verificare che il pannello di configurazione non sia esposto sulla rete Internet, assicurarsi che la funzione UPnP (Universal Plug and Play) sia disabilitata, che in caso di utilizzo del server VPN si utilizzi una versione aggiornata ed esente da problemi di sicurezza, che i dispositivi più importanti connessi in rete locale siano separati dagli altri (segmentazione della rete, utilizzo di VLAN).