Tra Black Friday, Cyber Monday e l’arrivo imminente delle festività natalizie è un dato di fatto che vedremo un’impennata nelle vendite di Smart TV, ma non molti si rendono conto che anche questi device sono potenzialmente vulnerabili ad attacchi da parte di criminal hacker e quindi esposti ad un elevato rischio privacy e botnet.
L’avvertimento questa volta arriva direttamente dall’altra parte dell’Atlantico – addirittura dall’FBI – che ha messo in guardia sul fatto che le Smart TV connesse alla Rete potrebbero essere una porta d’ingresso per degli aggressori.
Lo spettro delle possibili azioni che questi potrebbero compiere va dal livello più basso, come giocare con il volume o proiettare contenuti inappropriati, fino a trasformare la Smart TV in un vero e proprio strumento di sorveglianza, utilizzando il microfono per registrare le conversazioni dell’ignara vittima.
Come se non bastasse, ci sono altre problematiche a livello security che riguardano questi device: infatti, come per la maggior parte dei dispositivi IoT, nel caso fossero compromessi potrebbero essere usati per violare l’intera rete Wi-Fi interna e prendere il controllo di tutti gli altri dispositivi connessi alla LAN di casa.
Un criminal hacker potrebbe non essere in grado di accedere direttamente al nostro computer bloccato, ma è possibile che la Smart TV non protetta possa fornirgli una backdoor attraverso il router, con rischio privacy e botnet connesso.
Indice degli argomenti
Smart TV, rischio privacy e botnet: lo scenario
Un’altra grave problematica legata alla diffusione massiva di questi dispositivi – comune a tutta la domotica IoT – è la suscettibilità di questi a essere usati come “pedine” negli attacchi botnet.
Per botnet si intende una collezione di dispositivi connessi alla Rete compromessi da un threat actor. Questi agiscono come un moltiplicatore di forza per tutti coloro (dal singolo fino al gruppo organizzato di criminal hacker) che intendono sferrare cyber attacchi per violare dei sistemi o causare disservizi.
Il loro utilizzo più frequente è negli attacchi DDoS (Distributed Denial of Service), dove mettono a frutto la potenza computazionale complessiva delle macchine infette per inviare enormi volumi di spam, sottrarre credenziali su ampia scala e per spiare persone e organizzazioni.
I criminal hacker costruiscono le loro reti di bot infettando dispositivi connessi alla rete attraverso un malware e li controllano utilizzando un server di C&C (Command and Control).
Ciò che rende ancora più pericoloso questo metodo di attacco è che una volta compromesso un singolo device tutti i dispositivi presenti sulla stessa Rete sono esposti al rischio d’infezione.
Un attacco botnet ben congeniato può sicuramente risultare devastante. Basti ricordare il tristemente noto Mirai che, nel 2016, aveva colpito e di fatto “spento” colossi come CNN e Netflix. In quel caso Mirai si era appoggiato a numerosissimi dispositivi IoT, in particolare le telecamere di sicurezza. Ma il 2016 non è stata l’ultima “epidemia” di Mirai. Il botnet è ancora in funzione e – secondo una recente analisi – ha persino aggiunto nuove funzionalità tra cui la possibilità di trasformare le macchine infette in device per il cryptomining.
Proprio quest’ultimo aspetto è uno dei più grandi fattori per l’incremento nell’utilizzo di queste tecniche: permette all’aggressore di utilizzare l’hardware della vittima – hardware proprio come una Smart TV – e la sua elettricità per estrarre criptovalute come Bitcoin o Ethereum.
Una delle più grandi difficoltà nel fermare questo tipo di attacchi è proprio collegata all’esponenziale aumento dei dispositivi non sicuri che vengono introdotti ogni giorno sul mercato, collegato all’altissima difficoltà nell’isolare le macchine infette già presenti in Rete.
È anche una questione di cultura. Il consumatore che si accinge ad acquistare un nuovo televisore connesso guarderà a tre principali fattori: le caratteristiche tecniche, il brand e soprattutto il prezzo. La sicurezza raramente impatta la decisione di acquistare o meno uno di questi accessori. La tecnologia IoT è diventata così economica che le possibilità di ricevere un competente e rapido piano di aggiornamento firmware è molto bassa, anche nel caso dei brand più noti.
Anamnesi di una botnet
Come accennato, le botnet sono controllate da un server di C&C, logicamente quindi il corso logico d’azione per combatterli dovrebbe essere abbattere il server per poi seguire il traffico verso i dispositivi infetti e ripulirli. Tutto semplice, no?
Nel caso delle reti più grandi, i vari Internet Service Provider (ISP) – come è successo nel caso di Mirai – si attivano per capire il da farsi e riescono a diminuire drasticamente il “bombardamento”. Ma nel caso di botnet più piccole è difficile che si attivi un’azione di concerto così massiccia, considerando anche la difficoltà di poter rintracciare questi attacchi.
Una delle caratteristiche più insidiose di questi fenomeni è la loro abilità di mascherare le proprie origini, spesso simulando con tecniche di “spoofing” IP di compagnie e brand noti.
Un’altra grande difficoltà è insita nel numero enorme dei dispositivi solitamente coinvolti e di conseguenza nel processo di patching delle vulnerabilità. In primo luogo, perché – vista la cornucopia di versioni e device – non esiste la possibilità di aggiornamento da remoto.
Per molti dispositivi come Smart TV o videocamere di sorveglianza non è semplicemente fattibile eseguire attività di remediation.
Come se non bastasse, molti device potrebbero non essere supportati o semplicemente non possono essere aggiornati. A questo dobbiamo aggiungere il fatto che – anche se infetti – questi continuano regolarmente a svolgere le loro attività, non incentivando particolarmente i proprietari a rimediare all’infezione o a sostituirli.
Il discorso è diverso nel contesto aziendale, dove sono presenti altri e più approfonditi strumenti di controllo, ma anche in questo caso scovare le botnet per i responsabili IT non è sempre una priorità. Il discorso è quasi comprensibile: si concentrano sugli attacchi che colpiscono le proprie risorse e meno su quelli che vengono lanciati dalle proprie risorse.
Smart TV, rischio privacy e botnet: la prevenzione
Come accennato le botnet fioriscono dove ci sono vulnerabilità non “patchate”. Il primo e fondamentale passo per difendersi è, di conseguenza, quello di mantenere tutti i propri dispositivi e macchine aggiornate all’ultima versione.
Per quanto riguarda quei prodotti – sia hardware sia software – che non sono più supportati a livello di aggiornamenti è fortemente sconsigliato sia per i privati sia per le aziende di interromperne prontamente l’uso.
Un altro step cruciale è quello di applicare – laddove possibile – tutte le best practice per il controllo degli accessi: dall’autenticazione multi fattore ai processi di “least privilege”. Questo perché le botnet, dopo aver infettato una singola macchina, sono state osservate a fare leva sulle credenziali sottratte per diffondersi. Di conseguenza, mantenendo protocolli di Sicurezza stringenti si è in grado di bloccare l’infezione alla singola macchina infetta.
Nel suo avviso l’FBI non aveva direttamente menzionato il pericolo delle reti bot ma, come accennato, tutti i dispositivi IoT come le Smart TV sono bersagli molto popolari. I criminal hacker creano veri e propri server infettando migliaia di questi device. Questi server compromessi agiscono poi come nodi in un attacco e insieme creano una botnet.
Adottare le misure di sicurezza adeguate, quindi, in questo caso non è solo una misura di autoconservazione per proteggere la propria privacy e i propri dati, ma può significare diminuire considerevolmente il potere distruttivo degli attacchi botnet.
