Quello dell’Internet of Things e in particolare delle vulnerabilità dell’IoT, complice anche la recente evoluzione della tecnologia e delle reti 5G, è indubbiamente uno dei temi maggiormente dibattuti.
Per due motivi: il primo riguardante gli aspetti relativi alla sicurezza dei protocolli Internet per lo scambio dei dati. Il secondo riguarda, invece, la visione strategica e la governance sulla condivisione e sostenibilità dei Big Data originati dalle interconnessioni eterogenee tra device, ma anche sulla loro strutturazione effettuata attraverso strumenti di AI per renderli sempre più qualitativi ed anche per favorire l’automazione di interi processi.
Indice degli argomenti
Vulnerabilità dell’IoT: i possibili rischi
L’internet delle cose (IoT) è la rappresentazione sempre più diffusa e consolidata di un ecosistema digitale caratterizzato da una fitta rete di connessioni (sempre) più eterogenee di dispositivi.
In tale ambiente digitale, tutti i dispositivi “smart” interagiscono tra loro con varie tipologie di connessione per finalità di controllo, monitoraggio, attivazione di funzioni da remoto, trasferimento di informazioni e tanto altro ancora.
Ed infatti, l’integrazione dei dispositivi si caratterizza per l’uso di applicazioni connesse a Internet, in grado di elaborare informazioni attraverso la componente tecnologica del device che, per questo, diventa intelligente.
Si pensi ad esempio alla gestione della domotica, oppure ai dispositivi medicali, oppure ancora agli orologi smart che monitorano le performances di chi li indossa.
In tale scenario, le connessioni eterogenee determinano quello che in information security si definisce tecnicamente un “aumento della superficie esposta”, con una estensione esponenziale delle vulnerabilità hardware e software, collegate a potenziali rischi di exploitation da parte dei criminali informatici.
Uno degli attacchi più significativi e purtroppo in continua espansione dell’ecosistema IoT è il DDoS (Distributed Denial of Service) che sfrutta le vulnerabilità del protocollo correlato all’IoT per perpetrare, più spesso, attacchi sistemici.
Ciò, attraverso una sempre maggiore proliferazione delle botnet “infettate” da malware e server vulnerabili che generano automaticamente ulteriori attacchi contro obiettivi a loro volta vulnerabili.
In molti casi di attacchi DDoS, i criminali informatici tendono a falsificare l’indirizzo IP di un target connesso all’IoT al fine di inviare ad un server vulnerabile una serie di richieste di informazioni che generano una quantità amplificata di risposte (packet amplification) verso l’indirizzo IP della vittima, vanificando di fatto le capacità di difesa del server colpito.
Molti devices eterogeneamente connessi all’IoT, infatti, pur disponendo di una buona connettività, accedono a segmenti di rete non monitorati, rendendosi così vettori di un volume significativo del traffico degli attacchi DDoS, anche per la loro ridotta capacità di elaborazione.
In tali casi, non è infrequente che i dispositivi dell’IoT vengano anche utilizzati come proxy e, per questo, la compromissione di un device connesso ad una rete rende inevitabilmente vulnerabile tutte le altre risorse internamente ed esternamente connesse.
In genere, gli attacchi DDoS sfruttano i protocolli Internet più diffusi e consolidati come Network Time Protocol (NTP), risolutori DNS (Domain Name System) e SSDP (Simple Services Discovery Protocol) e si caratterizzano per la falsificazione dell’indirizzo IP ed il cosiddetto “packet amplification”.
Vi sono tuttavia anche nuove rilevate vulnerabilità che risultano correlate all’uso del protocollo Constrained Application Protocol (CoAP).
Si tratta, in particolare, di un protocollo Machine-to-Machine (M2M) che può essere eseguito su smart device con memoria e capacità di elaborazione limitate, parimenti vulnerabile tanto alla falsificazione “reflective” dell’IP quanto alla packet amplification, tipici del dell’attacco DDoS.
Vulnerabilità dell’IoT: il pericolo dei mobile malware
I criminali informatici sono sempre più abili nell’exploitation di vulnerabilità hardware e software di dispositivi connessi all’IoT al fine di penetrare in modo pervasivo reti aziendali per perpetrare attacchi più sistemici, con impatti ben più gravi anche in termini di continuità operativa dei processi primari aziendali.
I mobile malware consentono ai cyber criminali di assumere il controllo degli smart device forzandone le password di protezione dei dispositivi (spesso di default) o anche con algoritmi di risoluzione (negli attacchi cosiddetti brute force), al fine di utilizzarli sia negli attacchi DDoS sia anche nel mining malevolo di cryptovalute ovvero, ancora, per l’inserimento di dispositivi in reti botnet per ulteriori attacchi sistemici.
Diversi sono i malware rilevati negli attacchi ai dispositivi connessi all’IoT.
Secondo il report IoT di Kaspersky Lab, nella prima metà del 2018, i dispositivi IoT sono stati attaccati da più di 120.000 varianti di malware (più del triplo della quantità di malware IoT registrati in tutto il 2017).
Viene, tra l’altro, rilevata una crescita vertiginosa dei mobile malware con un trend che già nel 2017 era aumentato di ben dieci volte rispetto al 2016.
Nel rapporto SonicWall 2019 viene, addirittura, rilevato un aumento del 55% degli attacchi malware IoT rispetto ai primi due trimestri del 2018, con evidenza di un aumento delle connessioni ad internet di dispositivi senza adeguate misure di sicurezza, nonché di una loro exploitation per dispensare payload di malware.
Molti mobile malware sfruttano la tecnologia di comunicazione peer-to-peer (P2P) che per la connessione dei dispositivi all’IoT non richiede una procedura di autenticazione e, soprattutto, non utilizza alcun algoritmo di crittografia per proteggere il traffico di rete.
In tale contesto, il server di back-end collegato ai device dispone di un range di numeri seriali noti dei devices connessi e al criminale informatico basterà solo scansionarli per individuarli e, dunque, accedervi senza controllo.
Altri malware, come ad esempio Mirai, utilizzano i dispositivi come nodi di una botnet poi utilizzata per attacchi sistemici su larga scala.
Anche IoTroop/Reaper è una botnet che attacca i dispositivi vulnerabili dell’IoT non aggiornati da patch di sicurezza.
VPNFilter, infine, è un malware che colpisce sia i router sia alcuni dispositivi di storage di rete.
Vi sono poi tipologie di attacco cryptojacking che sfruttano, invece, la potenza di calcolo dei dispositivi colpiti e, soprattutto, la loro connessione permanente per minare criptovalute.
Uno scenario di rischio nella Industrial IoT
Queste tipologie di attacco si rilevano particolarmente pervasive ed incidenti, soprattutto nell’Industrial Internet of Things (IIoT), laddove vengono presi di mira i sistemi di controllo di infrastrutture critiche ed è altamente strategico investire anche nella tecnologia operativa (OT) per mitigare il rischio malware.
Ed infatti, come ampiamente desumibile dagli ultimi report sulla sicurezza informatica, i dispositivi connessi all’IoT o all’IIoT rappresentano per i criminali informatici un importante elemento di vulnerabilità da exploitare per colpire con attacchi sistemici.
E così anche un circuito di videosorveglianza, ove non monitorato ai fini del risk assessment, può agevolmente costituire un seria minaccia per una rete interna, sia sotto il profilo dello spionaggio sia, nei casi più gravi, del sabotaggio.
È anche vero che in molte aziende, soprattutto industriali, l’introduzione di forme di lavoro smart e sempre più flessibili ha determinato le condizioni per una maggiore connettività all’IoT, attraverso un maggiore uso di dispositivi con accesso da remoto ai sistemi informativi aziendali al fine di favorire l’incremento della produttività aziendale.
In tale scenario, l’aumento della superficie esposta richiede la governance ed il presidio dei dispositivi mobili, in molti casi di proprietà dei dipendenti, al fine di monitorarne ogni rischio valutabile onde mitigarne gli impatti, nell’ambito di una rigida gestione dei privilegi degli accessi.
Vulnerabilità IoT: le best practice di sicurezza
Per questo, in information security, è molto importante elaborare una rigida policy BYOD (Bring Your Own Device) che disciplini l’uso e le best practice dei device mobili per assicurare la sicurezza dell’infrastruttura IT e mitigare il rischio di vulnerabilità della rete aziendale, proteggendo il patrimonio informativo aziendale e le informazioni afferenti ai dati personali, anche in compliance al GDPR.
È dunque essenziale che il dispositivo mobile venga preliminarmente registrato servendosi di un software ad hoc per il Mobile Device Management (MDM) che ne assicuri anche la previa ed imposta installazione di un software di sicurezza antimalware ed antivirus supportato che preveda, tra l’altro, la protezione del device con password forte (sequenze alfanumeriche, caratteri speciali, autenticazione a due fattori, expiration time ed aggiornamento) e blocco schermo (PIN, password, impronta digitale o riconoscimento facciale) nonché aggiornamenti costanti del firmware del device e l’installazione della patch di sicurezza.
È poi parimenti importante l’adozione di metodi di connessione sicura e virtualizzata (VPN), soprattutto per gli accessi da remoto tramite Wi-Fi pubblico non protetto, adottando tecnologie di crittografia efficaci, con autenticazione periodica dell’utente del device, ovvero attraverso l’uso di uno stack di sicurezza basato su cloud per fornire, da qualunque luogo, un accesso sicuro a Internet su ogni dispositivo.
Inoltre, l’opportuno coordinamento tra la compliance al GDPR e la protezione dei sistemi informativi aziendale e del patrimonio informativo aziendale richiedono anche una rigida separazione tra dati aziendali e personali attraverso la best practice della segmentazione dei dati, per consentire di eliminare agevolmente ed in sicurezza i dati aziendali nel caso di termination of duties della risorsa umana aziendale che utilizza un dispositivo intelligente connesso.
Mettere al sicuro il patrimonio informativo aziendale
L’uso dei dispositivi connessi all’IIoT pone sempre il problema della vulnerabilità del patrimonio informativo aziendale esposto a data leak, in considerazione della circostanza che molti dati vengono ormai archiviati su dispositivi mobili.
In questi casi diventa essenziale imporre una policy ad hoc per assicurare che tutti i device mobili connessi alla rete soddisfino gli standard ed i protocolli di crittografia condivisi.
Inoltre, nel mobile management è fondamentale assicurarsi anche l’identificazione e la cancellazione da remoto di device cosiddetti “jailbreak” ovvero di quei dispositivi che consentano l’installazione di app, software e pacchetti di terze parti non sicuri che possono potenzialmente compromettere il sistema informativo aziendale.
Non vi è dubbio che l’azione dei criminali informatici è prevalentemente orientata verso lo sfruttamento delle vulnerabilità presenti nei dispositivi IoT e si aggiunge a quella tipica di accesso abusivo con credenziali di default.
Ed è proprio questa la nota dolente.
La presenza di vulnerabilità basilare nella sicurezza dei dispositivi intelligenti dell’IoT è oggi la principale minaccia collegata al più elevato rischio di diffusione di malware.
Dal recente report 2019 di Honeypot è emerso che i nuovi dispositivi IoT subiscono in meno di un giorno il tentativo di fare leva sulle vulnerabilità note e sono soggetti in meno di 5 minuti a tentativi di accesso con forza bruta, mediante le credenziali IoT predefinite.
A questo proposito, è utile ricordare che il Cybersecurity Act, entrato in vigore lo scorso 27 giugno, favorirà la realizzazione di un mercato unico digitale anche attraverso l’introduzione di standard europei per la certificazione di prodotti e processi afferenti alla protezione del dominio cibernetico, secondo il paradigma, invero mutuato dal Regolamento (UE) 2016/679, della security by design.
Non vi è dubbio che, in punto di progettazione dell’architettura della sicurezza, entrambe le normative regolamentari presentino un denominatore comune che trae origine dalla esigenza di proteggere i dati “sensibili” che possono costituire anche patrimonio informativo delle aziende produttrici, nonché informazioni classificate degli operatori dei servizi essenziali o di fornitori di servizi digitali, intesi questi ultimi come infrastrutture critiche per la loro importanza strategica e, talvolta, per la sicurezza nazionale.
Conclusioni
In questo scenario, anche il tema della privacy by design disciplinato dal GDPR, dovrà essere sempre più integrato nella nuova accezione di security by design, ed in quanto principio fondamentale di tutela, costituirà un requisito essenziale per i titolari e i responsabili del trattamento, soprattutto, in materia di appalti pubblici.
Inoltre, la creazione di un mercato unico digitale, nella cornice di un sistema europeo di certificazione (entro il 2021) di prodotti e servizi con l’attribuzione di un mandato permanente con poteri di intervento a supporto degli Stati membri delle crisi cibernetiche attribuito all’Enisa, Agenzia Europea per la sicurezza informatica, renderà ancora più concreto l’impegno dell’Europa nella protezione sempre più efficace del dominio cibernetico e nella proattiva sicurezza e resilienza dei sistemi.
Di recente poi l’adozione delle linee guida in tema di sicurezza cibernetica delle infrastrutture critiche ha anche creato un framework nazionale per la cybersecurity che verrà condiviso con i 465 operatori dei servizi essenziali (Ose) individuati nel dicembre 2018 nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile, al fine di indicare gli strumenti e le procedure necessari per innalzare la sicurezza di reti e sistemi, e garantire, quindi, la resilienza dell’intero sistema-paese.