l'analisi

I rischi dell’Internet of Things: gli attacchi più gravi e le contromisure necessarie

Il mercato dell’IoT evolve e i sensori diventano sempre più centrali per le imprese e per i singoli. Una maggiore attenzione alla cybersecurity, oltre a essere imprescindibile, diventerà volano per l’intero settore. Ecco quali sono i rischi e cosa dovrebbero fare i produttori

Pubblicato il 09 Feb 2023

Sofia Scozzari

CEO & Founder @Hackmanac | Board Member @Clusit and @Women For Security

Anna Vaccarelli

Dirigente Tecnologo IIT CNR

(Immagine: https://pixabay.com/thedigitalartist)

L’Internet of Things (IoT) è in crescita e la cybersecurity rischia di esserne il tallone d’Achille. Occorre che i produttori si dimostrino più determinati nel risolvere le lacune nella sicurezza, perché potrebbe risentirne l’intero settore. Con l’evolvere della tecnologia evolvono anche le strategie degli attaccanti.

Sicurezza e manifattura 4.0, la priorità è supervisionare IT e OT: ecco le soluzioni per le imprese

Il mercato dell’IoT

Le prime volte che si è cominciato a parlare di Internet delle cose (Internet of Things, IoT) in modo più ricorrente negli ambienti tecnici e di ricerca, è stato verso la metà degli anni 2000.

Oggi gli oggetti connessi e attivi in Italia sono 110 milioni, poco più di 1,8 per abitante. Alla fine del 2021 si contavano 37 milioni di connessioni IoT cellulari (+9% rispetto al 2020) e 74 milioni di connessioni abilitate da altre tecnologie di comunicazione (+25%).

Nel 2021 in Italia è cresciuto anche il mercato dell’IoT che valeva circa 7,5 miliardi di euro, di cui circa 3 miliardi di euro (pari al 40% del totale) relativi ai soli servizi, con un +25% rispetto al 2020 (dati dell’Osservatorio Internet of Things del Politecnico di Milano, aprile 2022).

Il Piano Nazionale di Ripresa e Resilienza (Pnrr) prevede complessivamente 29,78 miliardi di euro dedicati direttamente o indirettamente al settore dell’Internet of Things: possiamo immaginare quindi un ulteriore sviluppo nella diffusione di questa tecnologia.

IoT, ambiti di applicazione

Tra i campi di applicazione citiamo i wearable ossia, per esempio, le scarpe o le t-shirt che trasmettono dati sulle prestazioni dell’atlete che le indossa oppure gli smartwatch che monitorano le attività fisiche. Va citata anche la Smart agricolture, i sensori che raccolgono i parametri micro-climatici a supporto dell’agricoltura per migliorare la qualità dei prodotti, ridurre le risorse utilizzate e l’impatto ambientale e, non da ultimo, le Smart car che comunicano informazioni in tempo reale ai passeggeri o si cambiano informazioni tra loro o con l’infrastruttura circostante per la prevenzione e la rilevazione degli incidenti.

Impossibile non citare le Smart city, costrutti per il monitoraggio e la gestione dei mezzi di trasporto, dell’illuminazione pubblica, dei parcheggi, dei parametri di inquinamento, eccetera.

La Smart mobility, ovvero la raccolta di informazioni da treni o veicoli sulle autostrade per il controllo del traffico, la gestione di incidenti, l’ottimizzazione dei percorsi, la Smart home e Smart building mediante la quale vengono realizzate soluzioni per la gestione in automatico e/o da remoto degli impianti e degli oggetti dell’abitazione connessi in rete, permettendo così di migliorare il comfort e di ridurre i consumi energetici, di migliorare la sicurezza dell’abitazione e di chi ci vive.

Lo Smart metering, mediante i cui contatori (misuratori) connessi in rete controllano i consumi energetici, la loro corretta fatturazione e la telegestione.

Va citato anche tutto il settore Industria 4.0, che prevede la connessione dei macchinari, degli operatori e dei prodotti a specifici sistemi di controllo digitale e robotico per promuovere e realizzare nuove logiche di gestione della produzione e infine la Smart health (dispositivi medici collegati in rete capaci di trasmettere e ricevere i dati e i parametri dei pazienti).

Questi sono solo alcuni degli esempi principali, che già oggi sono una realtà.

L’espansione dell’IoT è in crescita esponenziale ed è legata allo sviluppo di nuovi sensori e alla capacità di collegarne alla rete un numero sempre maggiore.

Gli aspetti positivi e le potenzialità di questa tecnologia sono molti e costituisce un facilitatore in molti campi tecnici come nella nostra vita quotidiana, ma qual è il risvolto della medaglia?

I rischi

Tutti i sensori e i dispositivi connessi in rete dovrebbero implementare by design strumenti e misure di sicurezza che li proteggano da attacchi e violazioni, alla stregua di qualunque computer o smartphone.

Basti pensare a cosa accadrebbe se qualcuno prendesse il controllo dei sensori a bordo della nostra auto, attaccando il sistema in qualche suo punto vulnerabile: potremmo perdere completamente il controllo dell’auto.

Oppure potrebbe essere alterata la misura dei consumi dei contatori di casa o, ancora peggio, a essere alterati potrebbero essere i parametri rilevati sui pazienti da dispositivi biomedicali come, per esempio, un pacemaker!

Purtroppo, questo non è uno scenario improbabile perché manca ancora l’abitudine a progettare la sicurezza nativamente per tutti questi sensori e il loro collegamento in rete.

L’impatto dei rischi aumenta per esempio nel settore industriale (si parla in questi casi di IIoT, Industrial Internet of Things), negli ospedali, nel settore energetico, e in altri ancora.

In generale, i danni connessi ai rischi cyber dell’IoT possono derivare da una sottovalutazione d’insieme, perché spesso li consideriamo come oggetti di uso comune: chi si preoccupa della sicurezza della lavatrice? Eppure, è connessa in rete al pari di smarthone e pc e, come questi, dovrebbe essere protetta.

Inoltre, bisogna tenere presente che la connessione può avvenire attraverso la rete Ethernet (il comune cavo di rete), il Wifi o altri protocolli come il Bluetooth: la sicurezza su ciascuno di questi canali viene garantita in forme diverse e con diversi livelli, ma quasi mai possiamo essere noi a scegliere il canale meno rischioso perché l’oggetto è progettato per connettersi solo attraverso quello specifico canale: come vengono controllati gli accessi? Come è garantita l’autenticazione?

Posso configurare la lavatrice in modo che sia su una rete diversa da quella con al quale lavoro? Infine, il software che fa funzionare gli oggetti connessi non è sempre facilmente aggiornabile per caricare le patch che risolvono i problemi di vulnerabilità note: chi di noi si preoccupa di verificare gli aggiornamenti della smart TV?

Gli attacchi recenti

Nel periodo dal 2018 al 2021 sono stati classificati 45 cyber attacchi globali e di pubblico dominio incentrati sull’IoT, con una media di quasi un attacco al mese (i dati forniti sono stati raccolti da Hackmanac Global Cyber Attacks Report 2018 – 2021).

Questi rappresentano solo gli incidenti andati a buon fine e che hanno avuto risonanza mediatica, ma quasi certamente il numero di attacchi totali avvenuti è maggiore.

Prendendo in esame questo campione, si nota che oltre due terzi degli attacchi (62%) hanno una gravità alta, ovvero hanno comportato ripercussioni notevoli alle vittime e/o ad ulteriori entità coinvolte a causa dell’incidente. Il restante terzo si divide tra eventi con severity media (20%), critica (13%) e bassa (5%). Di tutti gli attacchi IoT, l’84% è causato dal cybercrime (nella media degli attacchi ad altri target non IoT), mentre il 7% è generato da spionaggio o sabotaggio e un ulteriore 7% è causato da attività di Hacktivism, (un fenomeno che nella media degli attacchi totali nel 2021 è pari all’1%). Infine, una minoranza degli attacchi (2%) deriva da operazioni di Information Warfare / Cyber Warfare, cioè tutte le attività cyber correlate con i conflitti armati.

Le più diffuse tecniche di attacco

Il malware è la tecnica di attacco utilizzata in quasi la metà dei cyber attacchi (49%), in linea con i trend globali (circa 40% del totale) ossia il worm, il trojan o il ransomware.

La variante che mette più a rischio i dispositivi IoT è certamente la botnet, un malware in grado di infettare sistemi smart che possono successivamente essere controllati per lanciare attacchi di tipo DDoS. L’exploit delle vulnerabilità dei dispositivi, che siano note o meno note (come nel caso degli 0-day), viene utilizzato in un terzo degli attacchi (31%).

In quasi un decimo dei casi (9%), invece, viene utilizzata più di una tecnica per perpetrare gli attacchi verso questi dispositivi, mentre nel 7% dei casi le tecniche sono addirittura sconosciute.

In minoranza si fa invece ricorso a phishing o tecniche di ingegneria sociale (2%).

Infine, le tecniche correlate con i furti di identità digitale e la compromissione degli account vengono utilizzate in egual misura nel 2% dei casi per portare a termine attacchi contro i dispositivi IoT.

È interessante anche valutare la distribuzione geografica dei cyber attacchi in ambito IoT, in larga maggioranza questi vanno a colpire più località contemporaneamente (62%), come ad esempio nel caso di vittime distribuite in diversi paesi. Un quinto degli attacchi (20%) si verifica sul continente americano, meno della metà di quanto avviene nella tendenza globale, dove la percentuale si attesta sul 45-47% del totale. Una minoranza di incidenti, infine, avviene in Asia (11%) e in Europa (7%).

I 10 cyber incidenti più gravi (finora) in ambito IoT

Sebbene l’IoT comporti evidenti rischi per la sicurezza e la privacy dei suoi utenti, la diffusione di oggetti connessi è inarrestabile perché è impossibile rinunciare a questa evoluzione tecnologica.

Alcuni incidenti che si sono verificati sono stati particolarmente gravi per gli effetti, le implicazioni e i pericoli che hanno comportato.

Abbiamo selezionato dieci più significativi per gli insegnamenti che hanno fornito.

Stuxnet

Fu lanciato tra il 2010 e il 2014 per sabotare l’impianto di arricchimento dell’uranio a Natanz, in Iran, con lo scopo principale dell’attacco di disabilitare le centrifughe impedendo la rilevazione dei malfunzionamenti e della presenza del malware. Si stima che siano state distrutte fino a 1.000 centrifughe.

Era basato sul famoso malware Stuxnet e ha mostrato un elevato livello di sofisticatezza, evidenziando che chi lo ha progettato aveva una buona conoscenza della rete informatica dell’impianto.

Questo attacco ha insegnato che i dispositivi mission-critical non devono essere raggiungibili da una rete esterna, a meno che non sia strettamente necessario e, in quest’ultimo caso, è bene assicurarsi che l’accesso sia opportunamente protetto.

Attacchi sofisticati: difendersi con intelligenza artificiale, machine learning e automazione

La botnet Mirai

Nel 2016 la botnet Mirai ha infettato numerosi dispositivi IoT, principalmente router e telecamere IP datate o con software non aggiornati.

Successivamente i dispositivi infettati sono stati utilizzati per inondare con un attacco DDoS (Distributed Denial of Service) Dyn, una società che fornisce un servizio di Dns (Domain name system) dinamico, mettendo in ginocchio gran parte delle reti Internet in Europa e negli Stati Uniti, arrecando danni e rendendo indisponibili per ore importanti siti web come Twitter, the Guardian, Netflix, Reddit, CNN, GitHub, Shopify, SoundCloud, Spotify, Etsy e molti altri.

Il malware ha compromesso dispositivi progettati con versioni obsolete del sistema operativo Linux e che utilizzavano credenziali predefinite, dal che risulta evidente che è importante progettare dispositivi IoT che prevedano l’aggiornamento del sistema operativo per essere sicuri di poter mitigare le vulnerabilità e che è fondamentale modificare le credenziali predefinite degli IoT per non consentire un facile accesso ai criminali informatici.

I dispositivi cardiaci del St. Jude

Nel 2017, l’americana Fda (Food and Drug Administration) ha confermato che i dispositivi cardiaci impiantabili (pacemaker e defibrillatori) del St. Jude Medical erano affetti da una vulnerabilità che avrebbe potuto consentire ad un cyber criminale di accedere e compromettere gli strumenti, esaurendo la batteria o, peggio, somministrando al paziente stimolazioni o shock.

La vulnerabilità è stata rilevata nel sistema che questi strumenti utilizzavano per leggere i dati e condividerli da remoto con i medici, consentendo l’accesso al dispositivo ad un cyber criminale con intenti malevoli: si evidenzia, quindi, quanto sia importante proteggere correttamente le connessioni dei dispositivi IoT, in particolare in ambito medicale dove un cyber attacco di questa portata potrebbe costare vite umane.

I condomini in Finlandia

Nel novembre 2016, i criminali informatici hanno interrotto il riscaldamento di due condomini nella città di Lappeenranta, in Finlandia.

L’attacco è stato portato a termine con un DDoS che, andando a colpire i regolatori smart del riscaldamento degli edifici, li obbligava a riavviarsi continuamente, impedendo di fatto di erogare il riscaldamento.

L’attacco è avvenuto in un periodo dell’anno in cui le temperature in Finlandia scendono ben al di sotto dello zero, creando non pochi disagi ai residenti.

La situazione è stata ripristinata solo interrompendo la connessione a Internet degli edifici.

La Jeep Cherokee

Nel 2015 un gruppo di ricercatori è stato in grado di assumere il controllo totale di un SUV Jeep Cherokee.

Sfruttando una vulnerabilità dell’aggiornamento del firmware, i ricercatori hanno dirottato il veicolo sulla rete cellulare Sprint, riuscendo in seguito a modificare il funzionamento di diversi sistemi, dall’aria condizionata ai tergicristalli.

Il test ha dimostrato, inoltre, che un attaccante sarebbe stato in grado di manomettere il veicolo facendolo accelerare, rallentare e persino virare fuori strada, potendo così causare gravi incidenti.

Sebbene in questo caso si sia trattato solo di una dimostrazione, è evidente che un cyber attacco di questa portata potrebbe comportare la perdita di vite umane.

La webcam TRENDnet

Dal 2010 al 2012 l’azienda TRENDnet ha commercializzato le sue telecamere SecurView che si sono rivelate affette da una grave vulnerabilità: l’azienda, infatti, trasmetteva le credenziali degli utenti in chiaro su Internet e, inoltre, le telecamere memorizzavano in chiaro le informazioni di accesso, perfettamente leggibili da qualsiasi dispositivo mobile.

Questo avrebbe potuto permettere a un cyber criminale (e non è detto che non sia accaduto) di poter accedere alle webcam e al contenuto salvato nei dispositivi. L’incidente ha quindi rappresentato un enorme rischio per la privacy dei suoi utenti.

È evidente che un dispositivo IoT deve essere in grado di crittografare sia le credenziali di accesso che i dati salvati nel dispositivo, così come le informazioni trasmesse su Internet.

Il baby cardiofrequenzimetro Wi-Fi Owlet

Nel 2016 un ricercatore ha scoperto una grave vulnerabilità nel cardiofrequenzimetro Wifi Owlet, un sensore che i bambini indossano in un calzino e che monitora il battito cardiaco, inviando un avviso agli smartphone dei genitori se qualcosa non va.

Mentre la stazione base del dispositivo crittografava i dati inviati e ricevuti dai server del produttore, il ricercatore ha scoperto che la rete Wifi ad hoc che collegava la stazione base al sensore era completamente non crittografata e non richiedeva alcuna autenticazione per accedervi.

Questo comportava la possibilità di spiare la connessione e perfino prendere il controllo del dispositivo impedendo l’invio di avvisi. Ancora una volta risulta fondamentale verificare la protezione con cui questi dispositivi si connettono sia ad Internet, sia tra i vari componenti del sistema.

Il baby monitor

Nel 2014 una coppia ha sentito una voce maschile nella camera del figlio di 10 mesi. La voce proveniva dal baby monitor che i genitori utilizzavano per monitorare il bambino, evidentemente hackerato da uno sconosciuto.

L’attaccante era stato anche in grado di muovere la telecamera a suo piacimento. Sebbene sia passato diverso tempo dall’incidente e nel frattempo i baby monitor connessi ad Internet siano stati dotati di appositi sistemi di protezione, questo incidente ha insegnato l’importanza di valutare attentamente i rischi di privacy che questi apparati comportano e di verificare con attenzione che siano protetti in modo corretto.

Il sensore del Casinò

Nel 2018, un casinò americano è stato hackerato tramite un termometro smart installato nell’acquario della hall.

Per quanto possa apparire improbabile, i criminali informatici sono stati in grado di sfruttare una vulnerabilità nel termostato per violare la rete del casinò e da qui accedere al database ad alto rischio dei giocatori d’azzardo per poi esportarlo e pubblicarlo in Internet.

Anche un sistema apparentemente insignificante come il sensore di un acquario può mettere a rischio dati molto sensibili.

I dispositivi Nest

Nel 2019 una coppia ha sorpreso con un orrore uno sconosciuto parlare al figlio di 7 mesi dalla webcam Nest che utilizzavano per monitorare il bambino. Successivamente hanno scoperto che anche il loro termostato Nest era stato compromesso e non erano più in grado di impostare la temperatura desiderata in casa: tutti i loro dispositivi Nest erano stati evidentemente hackerati.

Nonostante altri clienti di Nest abbiano segnalato incidenti simili, la società, posseduta da Google, ha continuato a negare di aver ricevuto un data breach sui propri sistemi. Solo successivamente la società ha finalmente distribuito una patch per risolvere la vulnerabilità.

L’incidente ha chiarito inequivocabilmente che i produttori hanno le loro responsabilità nel progettare apparati IoT più sicuri già in fase di design, e gli utenti devono essere pronti a configurali al meglio.

Le soluzioni

Lo scenario è preoccupante: il numero sempre maggiore di oggetti connessi e la scarsa attenzione alla sicurezza, facilita il “lavoro” ai cyber criminali. Il quadro tecnico normativo si sta affinando con l’emanazione delle norme ISO/IEC 27400 ma nel frattempo sono i produttori e gli utenti a doversi preoccupare dei livelli di sicurezza degli oggetti connessi.

I produttori, in fase di design, dovrebbero provvedere a fornire:

  •   un sistema di cifratura dei dati salvati
  •   una modalità sicura di invio dei dati via Internet
  •   l’utilizzo di autenticazione e, possibilmente, la modifica obbligatoria delle credenziali di default
  •   la verifica periodica di eventuali vulnerabilità e l’invio tempestivo di patch per risolverle
  •   la possibilità di aggiornare agevolmente il firmware.

Da parte loro, gli utenti dovrebbero (almeno) assicurarsi di modificare le credenziali di accesso di default, separare la rete su cui comunicano i dispositivi IoT da quella su cui per esempio ci si connette per lavoro, aggiornare costantemente i dispostivi (software e firmware), stabilire delle policy utente in modo che alcuni dispositivi non possano accedere a risorse più sensibili e critiche.

È indispensabile tenersi aggiornati, le minacce e le tipologie di cyber attacchi sono in continua evoluzione ed anche la tecnologia si evolve rapidamente:

  •   il 5G consentirà il collegamento di molti più dispositivi e quindi anche di molti più oggetti intelligenti
  •   la sensoristica sta progredendo sia negli ambiti di applicazione sia nell’hardware: i sensori sono sempre più piccoli, più precisi e più raffinati
  •   le tecniche di analisi dei dati raccolti diventano sempre più sofisticate.

Anche in questo campo, la consapevolezza dei rischi e delle minacce che gli IoT comportano è alla base di qualunque soluzione e contromisura efficace.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3