Proteggere i dispositivi è importante. Sono molti gli articoli online che trattano di come hacker e ricercatori siano riusciti a trovare vulnerabilità e ad alterare i sistemi delle moderne auto, dei frigoriferi, degli hotel e degli allarmi per case, dispositivi raggruppabili sotto la feconda etichetta di “Internet delle cose”, la cui protezione è al centro di numerosi dibattiti. Il problema principale di queste ricerche è che non possono essere svelate nella loro interezza. Quando ho iniziato a pensare all’argomento di questo post, mi sono chiesto: se non riusciamo a proteggerci dalle minacce attuali, come faremo a proteggerci da quelle più avanzate? Una casa moderna può avere circa 5 dispositivi connessi alla rete locale e non parlo solo di computer, tablet e telefoni cellulari; mi riferisco a dispositivi intelligenti come smart TV, stampanti, console per videogiochi, network storage device o altri dispositivi connessi alla rete, media player o ricevitori satellittari.
Una casa moderna può avere circa 5 dispositivi connessi alla rete locale e non mi riferisco solo a computer, tablet e telefoni cellulari.
Tweet
Ho deciso così di avviare un progetto di ricerca che verta sull’analisi dei sistemi e dei dispositivi intelligenti di casa mia. Le domande che mi sono posto sono: i dispositivi connessi alla mia rete di casa sono vulnerabili? Cosa potrebbe fare un hacker se riuscisse a compromettere questi dispositivi? La mia casa è tra quelle che possono essere hackerate facilmente? Prima di iniziare lo studio, ero convinto che la mia casa fosse sicura; ho lavorato nell’industria della sicurezza informatica per 15 anni e sono abbastanza paranoico in quanto a sicurezza. Ero fermamente convinto che ci fossero case più facili da hackerare della mia perché in realtà pensavo di non avere così tante cose “hi-tech” in casa.
La mia analisi non verte su computer, tablet o telefoni cellulari, ma su altri tipi di dispositivi connessi alla rete di casa. Soprendentente ho scoperto di avere un sacco di cose connesse a Internet, molte delle quali sono televisioni intelligenti, ricevitori satellitari, lettori DVD/Blue Ray, network storage device (dispositivi di immagazzinamento condivisi su rete) e console per videogiochi; ma l’elenco non finisce qui. Qualche tempo fa ho traslocato e ho contattato la mia azienda di sistemi antifurto che mi ha suggerito di acquistare per la nuova casa l’ultimo sistema di allarme che si connette alla rete di casa e può essere controllata via dispositivo mobile. Ora non sono più sicuro che sia stata una buona idea.
Tra i dispositivi collegati alla mia rete ci sono i seguenti:
- Sistemi NAS – Network Attached Storage di un famoso rivenditore che chiamerò #1 (gli NAS sono dispositivi collegati ad una rete la cui funzione è quella di condividere tra gli utenti della rete una memoria di massa)
- NAS di altri vendor #2
- Smart TV
- Ricevitori satellitari
- Router dal mio ISP
- Stampante
Perché si possa parlare di un “hackeraggio di successo”, si deve raggiungere almeno uno dei seguenti obiettiti:
- Ottenere accesso ad un dispositivo, per esempio, ottenere accesso ai file delle unità NAS;
- Ottenere l’accesso amministrativo al dispositivo;
- Essere in grado di trasformare/modificare il dispositivo per interessi personali (backdoor).
Prima di realizzare la ricerca, ho aggiornato tutti i dispositivi con l’ultima versione del firmware. Durante il processo, ho osservato che non tutti i dispositivi disponevano del sistema automatico di aggiornamento, il che complicava l’intero processo. Inoltre, ho scoperto che la maggiorparte dei prodotti erano fuori commercio da più di un anno o non esistevano più aggiornamenti per quei prodotti.
L’hackeraggio
Dopo aver analizzato le unità connesse alla rete, ho scoperto 14 vulnerabilità che permetterebbero a un hacker di eseguire comandi di sistema in remoto dotandogli alti privilegi amministrativi. I due dispositivi non solo avevano una interfaccia web vulnerabile, ma la sicurezza locale delle unità era molto povera. I dispositivi avevano password molto deboli, un sacco di file di configurazione avevano permessi con errori e contenevano persino password in plain text. Potete trovare maggiori informazioni sulla versione completa del post, disponibile su Securelist (articolo in inglese).
Durante lo studio mi sono imbattuto in qualche dispositivo che aveva caratteristiche “nascoste”; uno di questi dispositivi era il mio router DSL che era fornito dal mio service provider. Ho osservato che c’erano un sacco di funzioni a cui io non avevo accesso. Di conseguenza ho dedotto che il mio fornitore di servizi Internet o il vendor avesse il PIENO CONTROLLO sul dispositivo e potesse fare quello che voleva con esso e aver accesso a tutte le funzioni su cui io non avevo i permessi. Dai nomi delle funzioni nascoste, sembrava che il service provider potesse, per esempio, creare tunnel di modo da connettersi a qualsiasi dispositivo della rete. Che succederebbe se queste funzioni finirebbero nelle mani sbagliate? Posso capire che queste funzioni dovrebbero principalmente aiutare il service provider a realizzare funzioni di supporto, ma quando ci si logga usando l’account amministrativo, uno non ha il pieno controllo su quello che dovrebbe essere il suo dispositivo e questo è piuttosto preoccupante, se non spaventoso, soprattutto quando i nomi sono altrettanto spaventosi come “Webcam”, “Telephony Expert Configure”, “Access Control”, “WAN-Sensing” e “Update”.
Attualmente sto ancora facendo ricerche per vedere come funzionano queste cose. Se scoprirò altri fatti interessanti, aspettatevi presto un altro mio post sull’argomento.
Per hackerare una smart TV e dispositivi di riproduzione musicale ho dovuto essere creativo; ho immaginato di essere un hacker che aveva già violato due network storage device e a quel punto mi sono chiesto: che cosa posso fare ora? I lettori multimediali staranno probabilmente leggendo le informazioni attraverso le unità di storage già compromesse. A questo punto ho iniziato a fare qualche ricerca per vedere se era possibile sfruttare una potenziale vulnerabilità eseguendo un codice, ma dato che i dispositivi in questione li ho pagati davvero molto, non mi sono spinto oltre. Non è solo perché sono oggetti costosi, ma non posso immaginare la faccia dei miei ragazzi quando gli dico che mandato in tilt la nuova smart TV LED e che non possono guardare Scooby Doo. Ciononostante sono riuscito a identificare un’altro aspetto importante da non sottovalutare legato alla sicurezza della mia smart TV. Quando un utente accedere al menù principale delle impostazioni, tutte le immagini in miniatura e i widget vengono scaricati dai server del vendor nel caso il dispositivo abbia accesso alla rete. La televisione, quando scarica il contenuto, non usa nessun tipo di autenticazione o crittografia, il che significa che un hacker potrebbe realizzare un attacco man-in-the-middle sulla TV e modificare le immagini nell’interfaccia amministrativa; inoltre, l’hacker potrebbe avere i file JavaScript della TV – il che non è una buona cosa. Un potenziale vettore di attacco è usare JavaScript per leggere i file locali dal dispositivo e usare il contenuto dei file per trovare addirittura altre vulnerabilità; ma questo è un tema su cui sto lavorando insieme al vendor. Vedremo se sarà possibile o no. Ora per darvi una prova del mio attacco, ho cambiato l’immagine di un widget con una foto del grandissimo Borat! Yakshemash!
Conclusione
In questo post non si è voluto appositamente nominare nessun venditore o marca di TV, unità NAS e router. L’obiettivo non è vantarsi di aver scoperto vulnerabilità sconosciute o dimostrare che esistono seri problemi di sicurezza in questi dispositivi. Le vulnerabilità esistono e sempre esisteranno, non si può negarlo, ma con questo non voglio dire che dobbiamo rassegnarci; quello che intendo suggerire è che abbiamo bisogno di fare qualcosa a propositivo. Dobbiamo conoscere l’impatto che ha e rendersi conto che i nostri dispositivi potrebbero essere compromessi. Per questa ragione dobbiamo mentalizzarci che questi prodotti sono vulnerabili e che i criminali possono e cercheranno di accedere ad essi.
Voglio concludere questa ricerca sottolineando che tutti noi, singole persone e aziende, dobbiamo renderci conto che i dispositivi connessi ad una rete possono correre dei rischi. Le nostre informazioni non sono sicure solo perché abbiamo una password forte o usiamo un antivirus che ci protegge da codici dannosi. Sono tante le cose su cui non abbiamo il controllo e nella maggior parte dei casi siamo nelle mani dei venditori di software e hardware. Mi è costato solo 20 minuti trovare e verificare alcune serie vulnerabilità in un dispositivo in teoria sicuro, di cui avevo fiducia, e su cui si è soliti immagazzinare tutte le informazioni che non vogliamo ci vengano rubate.
Dobbiamo dunque trovare soluzioni alternative che possano aiutare le singole persone e le aziende a migliorare la loro sicurezza perché non si tratta di problemi che possono essere risolti semplicemente installando un prodotto o una patch. Per questa ragione voglio concludere questo post ricordando a tutti che, nonostante l’industria della home entertainment non si sofferma troppo sulla sicurezza dei propri dispositivi, Kaspersky Lab lo sta facendo. Se solo adottassimo alcuni piccoli accorgimenti, sono sicuro che tutti noi potremmo aumentare almeno di un pochino il nostro livello di sicurezza. Forse alcuni fabbricanti leggeranno questa ricerca e cercheranno di aumentare i parametri di sicurezza dei propri software, ma fino a quel momento, vi consigliamo di seguire questi consigli:
- Assicuratevi che tutti i vostri dispositivi siano aggiornati con gli ultimi aggiornamenti di sicurezza e le ultime versioni del firmware. È un problema comune, sia per i dispositivi business che home, ma la è cosa migliore se si vuole evitare di cadere alla mercé delle vulnerabilità conosciute. Questo vi aiuterà anche a capire se il vostro prodotto ha bisogno di aggiornamenti, se ancora ne esistono oppure se è un prodotto ormai senza futuro.
- Assicuratevi di cambiare username e password di default; questa è la prima cosa che un hacker cercherà di verificare quando cercherà di compromettere il vostro dispositivo. Ricordate che l’interfaccia amministrativa è spesso vulnerabile ad attacchi seri anche nel caso di dispositivi apparentemente “semplici”, come ricevitori satellitari o unità NAS.
- Usate la crittografia anche per quei file che immagazzinate sulle unità NAS. Se non disponete di strumento per la crittografia, potete semplicemente mettere i vostri file in un file ZIP protetto da password. Meglio questo che nulla.
- La maggior parte dei router domestici e degli interruttori possono essere impostati in DMZ o in VLAN. Questo significa che potete impostare la vostra rete privata per i vostri dispositivi di rete, il che restringe l’accesso alla rete da e verso il dispositivo.
- Usate il senso comune e ricordate sempre che tutto può essere hackerato, persino i vostri hardware.
Se volete essere particolarmente prudenti, potete sempre monitorare il traffico di rete in outbound da questi dispositivi per vedere se avvengono cose strane; tuttavia questo richiede conoscenze tecniche. Un altro buon consiglio è quello di fare in modo che alcuni dispositivi di rete non abbiano accesso ai siti a cui non devono accedere; fate in modo che questi dispositivi possano solo scaricare update e nient’altro.