L’adozione di dispositivi IoT è in grande crescita, grazie al rapido evolversi delle tecnologie coinvolte: da una parte i sensori, sempre più sofisticati e sempre più piccoli, dall’altra la capacità di connettere a Internet un numero sempre maggiore di oggetti insieme alla capacità di raccogliere e analizzare enormi moli di dati. Tuttavia, almeno fino ad oggi, nella progettazione e nell’installazione di molti di questi dispositivi non è stata posta sufficiente attenzione agli aspetti di sicurezza, introducendo in molti contesti rischi non noti e non adeguatamente gestiti.
Ad esempio, i dispositivi IoT sono spesso presi di mira per essere inseriti all’interno di botnet, reti di dispositivi connessi alla rete utilizzati per effettuare operazioni a loro insaputa, come eseguire attacchi di tipo DdoS (Distributed Denial of Service).
I rischi dell’Internet of Things: gli attacchi più gravi e le contromisure necessarie
I rischi legati ai dispositivi domestici
Si pensi quando a settembre 2016 una serie di attacchi DDoS Mirai ha scosso Internet.
Mirai, software dannoso sviluppato al solo scopo di infettare un dispositivo, è stato progettato per prendere di mira principalmente dispositivi domestici come termostati, videocamere, frigoriferi, baby monitor. Sfruttandone le vulnerabilità, il malware Mirai è stato in grado di collegare in una rete i dispositivi infetti, conosciuta come botnet Mirai, e utilizzarli per condurre attacchi su larga scala col fine di rendere irraggiungibile un servizio o un dispositivo.
Purtroppo, la compromissione dei dispositivi IoT è possibile perché la maggior parte sono protetti da sistemi di sicurezza domestici, acquistati solitamente sotto forma di programmi e installati sui computer di casa o, peggio ancora, sono privi di protezione.
In molti casi, i dispositivi IoT vengono installati utilizzando solo le credenziali predefinite o pensando che i produttori del dispositivo abbiano già effettuato tutte le attività di hardening necessarie, cioè quell’insieme di configurazioni dei dispositivi che mirano a rafforzare la sicurezza dei dispositivi stessi, quali arresto dei servizi non necessari, disabilitazione di privilegi e/o account amministrativi o di assistenza, limitazioni a connessioni di rete, etc.
Fortunatamente, a causa del fatto che la maggior parte degli utenti domestici non dispone di una larghezza di banda elevata, l’utilizzo di reti residenziali per attacchi di botnet DDoS ha un’efficacia limitata, tuttavia, questi tipi di attacchi possono essere utilizzati come amplificazione rispetto ad attacchi diretti.
I rischi legati alle componenti hardware
Ci sono, inoltre, dei rischi legati alle componenti hardware. I dispositivi IoT sono spesso basati su componenti utilizzati in diversi contesti. Tali componenti si trovano installati su dispositivi aventi sia funzionalità che marche diverse come router e lavatrici. Oltre a comportare un vantaggio economico per il produttore del dispositivo, questo può rendere più semplice la ricerca di vulnerabilità, non avendo necessità di strumenti specifici per l’ambito IoT.
La ricerca delle vulnerabilità dei dispositivi IoT
La ricerca delle vulnerabilità dei dispositivi IoT è spesso il punto di partenza di un attacco informatico.
Prima di sferrare un attacco, gli attaccanti eseguono una fase di ricognizione e “footprinting” dove si occupano di raccogliere tutte le informazioni utili rispetto all’obiettivo dell’attacco, quali ad esempio versioni dei firmware, account di default, indirizzi IP, posizione geografica.
La raccolta delle informazioni da parte dell’attaccante dipende dal livello di interesse che può trarre dall’attacco stesso, il quale può variare nel corso del tempo: ciò che è privo di valore oggi non è detto che lo sia anche domani.
Analogamente, un dispositivo ubicato in una certa area geografica può avere un valore diverso rispetto ad un dispositivo situato altrove. L’attaccante avrà quindi necessità di localizzare il dispositivo.
Gli obiettivi del footprinting
Gli obiettivi del “footprinting” sono quindi la raccolta di
- informazioni di rete,
- informazioni di sistema,
- informazioni sulle organizzazioni.
Più informazioni vengono raccolte sul target, maggiore è la probabilità di ottenere risultati rilevanti per un potenziale attacco ma anche per definire la propria strategia di difesa.
La raccolta di queste informazioni può avvenire in modalità passiva, senza una diretta interazione con l’infrastruttura o il dispositivo target, oppure in modalità attiva con diretta interazione con l’oggetto dell’analisi.
Per eseguire attività di “ricognizione” o Cyber-Threat Intelligence (CTI), cioè la ricerca di vulnerabilità tramite risorse online quali motori di ricerca, siti governativi, siti web di aziende pubbliche o private, quotidiani online, immagini satellitari, social media, si possono utilizzare diversi servizi online in grado di fornire informazioni relative alla rete, ai sistemi e alle organizzazioni semplicemente perché sono presenti sul Web.
Le tecniche di OSINT
Le tecniche utilizzate per la ricerca e raccolta di tali informazioni sono dette di OSINT (Open Source Intelligence).
Proprio i social media, e in particolare Twitter, costituiscono una delle fonti di CTI più popolari utilizzate per raccogliere informazioni su vulnerabilità, minacce e incidenti.
Nello studio “Social Media Monitoring for IoT Cyber-Threats”, finanziato dal programma di ricerca dell’Unione Europea nell’ambito del programma di ricerca e innovazione Horizon 2020, è analizzato il contenuto dei tweet raccolti, al fine di individuare le principali categorie di vulnerabilità di specifici software, per capire quali sono i fattori che influenzano il retweet dei post sulle vulnerabilità di tali software.
Per le organizzazioni ma anche per i singoli cittadini diventa quindi importante comprendere come un uso corretto di questi servizi e, in particolare, un’adeguata attenzione alle informazioni che si sceglie di condividere, possa aiutare a prevenire furti di identità, perdite di dati nonché a tutelarsi da futuri attacchi informatici.
Ne è un esempio il difetto di iParcelBox scoperto attraverso tecniche di OSINT dai ricercatori di McAfee, che proprio grazie alle ricerche di informazioni pubblicamente disponibili sono stati in grado di trovare e abusare di vulnerabilità del software presente sul dispositivo IoT.
Per conoscere le risorse OSINT sono disponibili diverse fonti che ne spiegano o supportino nella ricerca.
Un esempio è l‘OSINT Framework, predisposto da Justin Nordine e concentrato proprio sulla raccolta di informazioni da strumenti o risorse gratuiti.
Il framework fornisce collegamenti ad una vasta gamma di risorse, utili anche per ricerche nel dark web.
Gli strumenti OSINT più diffusi
Nel documento “Comparative study of osint tool for iot” redatto da Journal of Emerging Technologies and Innovative Research (JETIR) viene descritto in modo esaustivo cosa si intende per OSINT e i tipi di strumenti adottabili, confrontandoli tra di loro, indicando pro e contro di ogni strumento, evidenziando come la combinazione di strumenti come Shodan con NMap e molti altri forniscono informazioni dettagliate sul dispositivo IoT in analisi, mettendo gli utenti in grado di ottenere risultati più accurati ed efficaci nel contrastare le minacce a cui i dispositivi sono esposti.
Vediamo di seguito, più nel dettaglio, alcuni di questi strumenti.
Shodan
Come abbiamo visto, nel documento comparativo redatto dal JETIR, tra gli strumenti utili alla ricerca di informazioni in ambito IoT troviamo Shodan.
Shodan è un motore di ricerca utile a individuare dispositivi connessi a Internet, con semplici ricerche e l’utilizzo di filtri tra i quali:
- “city:” per la ricerca di dispositivi per città specifiche,
- “os:” per la ricerca di determinati sistemi operativi,
- “port:” per la ricerca di una specifica porta aperta,
- “hostname:” per cercare host che corrispondono ad una determinata stringa,
- “product:” per la ricerca di prodotti specifici è possibile trovare router, webcam, pannelli di amministrazione di stazioni idriche o sciistiche ed in via più generale dispositivi industriali gestibili da remoto, utilizzando Internet non solo per i siti web ma per scoprire di tutto.
I dati vengono raccolti World-Wide e il suo database è aggiornato costantemente.
I banner, cioè le informazioni che descrivono un servizio su un dispositivo, sono l’informazione di base che può essere reperita tramite Shodan.
È bene precisare che a differenza dei banner per i siti web, i banner degli Industrial Control System (di seguito, ICS) forniscono informazioni sul firmware, serial number e altri dettagli più tecnici che descrivono il dispositivo.
Queste informazioni sono raccolte indipendentemente dal protocollo utilizzato per l’attribuzione di indirizzi IP ai dispositivi connessi a una rete.
Se volessimo per esempio sapere se vi sono vulnerabilità presenti su quello specifico modello, potrebbe essere utile una ricerca nell’elenco delle CVE (Common Vulnerabilities and Exposures) che fornisce identificatori comuni per le vulnerabilità di sicurezza informatica note pubblicamente.
L’elenco delle CVE è una vera e propria base dati nella quale sono censite vulnerabilità in modo tale che chiunque possa avervi accesso. L’elenco è costantemente aggiornato e, oltre ad essere utilizzato come standard in vari istituti di ricerca, è molto utile per individuare vulnerabilità e conoscerne la gravità. Infatti, ogni vulnerabilità è classificata in base al Common Vulnerability Scoring System (CVSS), standard che assegna un valore di gravità da 1 a 10.
I parametri presi in considerazione sono: Vettore di Attacco (AV) ovvero la modalità, complessità dell’attacco (AC), permessi richiesti (PR), necessità di interazioni da parte dell’utente (UI) e infine l’impatto in termini di riservatezza, integrità e disponibilità dei sistemi o delle loro funzionalità.
Nel caso in oggetto, la ricerca per modello ha identificato una vulnerabilità CVE-2017-17101 la cui descrizione riporta:
“È stato scoperto un problema nel software Apexis APM-H803-MPC, utilizzato con molti modelli diversi di telecamere IP. Un metodo CGI non protetto all’interno dell’applicazione web consente a un utente non autenticato di bypassare la schermata di accesso e accedere ai contenuti della webcam, tra cui: streaming video in diretta, file di configurazione con tutte le password, informazioni di sistema e molto altro. Con questa vulnerabilità, chiunque può accedere a una webcam vulnerabile con privilegio di ‘super amministratore’”.
Già dalla descrizione possiamo notare come questa vulnerabilità sia pericolosa per l’utente, ma se volessimo ulteriori informazioni è possibile consultare il National Vulnerability Database (NVD), l’archivio governativo statunitense che consente di automatizzare la gestione delle vulnerabilità.
Nella figura sotto riportata, è possibile reperire la classificazione della vulnerabilità CVE-2017-17101, che in base ai parametri precedentemente descritti, ottiene un punteggio di 9.8 – Critico.
Come è possibile notare, con due semplici ricerche è stato possibile recuperare informazioni che potrebbero essere utili per un potenziale attacco.
Ovviamente nel caso di specie non abbiamo ancora la certezza che la vulnerabilità sia sfruttabile sul dispositivo individuato tramite Shodan, ma facendo ulteriori ricerche e utilizzando diversi tool potrebbe essere possibile costruire un attacco mirato.
Oltre al banner, Shodan acquisisce anche i meta-dati sul dispositivo, come la posizione geografica, l’hostname, il sistema operativo e tante altre informazioni, alcune delle quali a disposizione solo per sviluppatori che utilizzano le API (Application Programming Interface) messe a disposizione, per l’integrazione di Shodan nelle loro applicazioni.
Molto più semplice, sempre tramite Shodan, è verificare quanti e quali dispositivi connessi hanno per esempio impostate le credenziali di default (e quali sono).
Per supportare gli utenti nella verifica di sicurezza dei dispositivi presenti in casa e connessi a Internet è sufficiente eseguire un test tramite scanner gratuiti online appositamente creati per IoT come, per esempio, Bullguard IoT Scanner.
Questo servizio automatizza la ricerca su Shodan, verificando se i dispositivi presenti nella rete casalinga sono pubblici, quindi accessibili al pubblico.
Google Dorking
L’attività di “Footprinting” può essere svolta anche con altri metodi come il “Google Dorking”, che prevede una conoscenza avanzata dei comandi, chiamati operatori, di Google e l’inserimento di particolari stringhe (Google Dorks o Google Hacks) all’interno della ricerca di Google.
Tramite Dork semplici (utilizzo di un solo operatore) o Dork avanzati (utilizzo di più operatori all’interno della stessa stringa) è possibile trovare siti web, database vulnerabili e dispositivi IoT. La sintassi risulta molto semplice e intuitiva: operatore:stringa da cercare.
Ad esempio, se volessi cercare le pagine di login di IP Camera potrei utilizzare l’operatore “intitle” per restringere i risultati della ricerca ai documenti contenenti la parola chiave “Login” nel titolo e poi cercare tramite l’operatore “intext” tutte le occorrenze della parola chiave “IP camera”:
intitle:”Login” intext:”IP camera”
I risultati potrebbero condurre a siti di produttori o forum con le indicazioni di accesso a IP Camera, o portare direttamente a pagine di login.
A semplificare ulteriormente l’utilizzo di Google, nel 2000 Johnny Long ha creato il Google Hacking Database, o GHDB.
Il suo utilizzo così come l’utilizzo di Shodan o altri sistemi analoghi, se utilizzati per controllare lo stato di sicurezza del proprio sito o dispositivo non sono illegali, ed è bene conoscerli per individuare errori di impostazione dei propri sistemi.
Nel sito Exploit Database, dove una sezione è proprio dedicata ai Google Dork, si possono trovare diversi modi di sfruttare vulnerabilità (codice exploit) o dimostrazioni di fattibilità dell’attacco ovvero le proof-of-concept (PoC).
Conoscere se vi sono exploit, cioè modalità di sfruttamento di una vulnerabilità mediante percorsi noti e definiti, è un altro elemento essenziale per conoscere i rischi del connettere i propri dispositivi su Internet.
Ricerca di vulnerabilità e NMAP
La ricerca di vulnerabilità non è limitata alla modalità passiva, ma può essere svolta anche in modalità attiva.
Gli strumenti a disposizione per la ricerca attiva di vulnerabilità in ambito IoT sono i medesimi di quelli che potremmo utilizzare in ambito IT. Tuttavia, i rischi di blocco di dispositivi a causa degli scan sono elevati.
Quindi, soprattutto se i dispositivi devono essere sempre attivi, è opportuno utilizzare metodologie di ricerca passive, dove vengono solo rilevate le vulnerabilità o problematiche di aggiornamento.
Con le modalità di ricognizione attiva, si possono rilevare in modo più rapido le medesime informazioni rilevabili in modalità passiva quali indirizzi IP dei dispositivi IoT, servizi TCP/UDP attivi, porte aperte, protocolli utilizzati, password di default, etc. mediante attività di network scan o vulnerability scan.
In particolare, le porte consentono ad app e programmi di comunicare con la rete. Alcuni dispositivi IoT, richiedono che vengano aperte delle specifiche porte per il controllo remoto del dispositivo, col rischio di esporre pubblicamente delle vulnerabilità sfruttabili per attaccare la rete, aziendale o domestica.
In generale tramite gli IOT Network Security Scanner è possibile rilevare i dispositivi presenti nella rete Wi-Fi degli utenti raccogliendo informazioni sui dispositivi rilevati, individuare eventuali vulnerabilità, eseguire scansioni di porte aperte,etc.
Strumenti come Nmap permettono di creare una mappatura della rete ed è estremamente utile per la configurazione dei dispositivi IoT o per un malintenzionato per reperire informazioni circa le porte da cui il dispositivo può accedere al mondo esterno e gli indirizzi IP associati.
Nmap scan report for **.**.**.**¶
Host is up (0.063s latency).¶
MAC Address: nn:nn:nn:nn:nn:nn (Technicolor CH USA)¶
La ricerca di porte aperte sui router può essere eseguita anche mediante servizi online come Hide My Name, basato su Nmap, inserendo il proprio indirizzo IP pubblico.
Per conoscere il proprio indirizzo pubblico, ancora una volta la ricerca su web ci viene in aiuto. Basta inserire come stringa di ricerca “my IP” e, a seconda del motore utilizzato, può venire visualizzato direttamente l’indirizzo IP o i siti da cui è possibile recuperare l’informazione. Sempre tramite questi siti, oltre a sapere il proprio indirizzo IP è possibile reperire per qualsiasi indirizzo IP informazioni quali ISP (Internet Service Provider) e dati di geolocalizzazione come latitudine e longitudine.
A livello aziendale, esistono diverse soluzioni che possono identificare comportamenti anomali della rete e tenere traccia delle modifiche locali sui dispositivi.
Le organizzazioni possono quindi proteggersi dalle vulnerabilità dei dispositivi IoT, identificando e seguendo le best practice che garantiscono la sicurezza dell’Internet of Things.
Tuttavia, le vulnerabilità IoT devono essere prevenute da tutte le parti interessate.
I produttori dei dispositivi devono essere in grado di mettere in sicurezza tutto il processo produttivo effettuando vulnerability assessment e penetration test in laboratorio per limitare la possibilità che vi siano vulnerabilità in fase di produzione, rilevare e risolvere nel più breve tempo possibile le vulnerabilità note nei loro prodotti, rilasciando patch, segnalando in modo proattivo quando il supporto termina.
Protezione dei dispositivi
Gli utenti devono comprendere i rischi per la sicurezza dell’IoT e sapere che è necessario modificare le password predefinite, rimanere aggiornati su quando il dispositivo entra in “end-of-life”, mantenere aggiornato il firmware e il software del dispositivo abilitando gli aggiornamenti automatici ove possibile, e quali siano le impostazioni sicure da implementare sul dispositivo.
Tra le impostazioni di sicurezza che possono aiutare a non essere censiti nei database di Shodan o servizi simili vi è l’adozione di un server VPN (Virtual Private Network) all’interno della propria rete locale, sia questa una rete domestica o aziendale.
La VPN è il modo migliore per nascondere il proprio indirizzo IP in quanto permette la creazione di canale privato di comunicazione, detto tunnel, che permette il transito di informazioni in modo completamente “invisibile” a soggetti non autorizzati, nonostante venga sfruttata una connessione pubblica su Internet.
Oltre all’adozione di una VPN per l’accesso alle interfacce di amministrazione dei dispositivi, è opportuno assicurarsi che sul router siano aperte solo le porte necessarie al funzionamento del dispositivo.
In conclusione, l’aggiornamento periodico del firmware dei dispositivi e l’utilizzo di VPN, sono le migliori soluzioni per limitare l’esposizione a rischi.
Per maggiori approfondimenti si rimanda alla pubblicazione “Cybersecurity e IoT: come affrontare le sfide di un mondo connesso” a cura della community Women for Security.
