SAN FRANCISCO – C’è chi sostiene che l’industria della sicurezza informatica stia fallendo nella sua missione di proteggere i computer e le reti e tutta la grande quantità di dati trasmessi via Internet.
Non c’è dubbio: proteggere i computer e i dispositivi è una sfida difficile, soprattutto per quanto riguarda la protezione dei dispositivi mobile che negli ultimi anni sono quelli che hanno conosciuto un maggior sviluppo. Dunque non è troppo azzardato affermare che al momento gli hacker (e i malware) si trovano in vantaggio in quella che è la grande battaglia per la protezione dei computer tradizionali e dei dispositivi mobili.
Camminando lungo i padiglioni della conferenza RSA di San Francisco se ne vedono di tutti i colori. Sono milioni i dollari investiti negli stand dei distribuitori con lo scopo di vendere una marea di prodotti e servizi di sicurezza ad un’altrettanta marea di professionisti del settore. Nel frattempo, nonostante i grandi investimenti necessari per sviluppare questi prodotti, persone come Billy Rios (famoso per la sua presentazione su come possono essere hackerari gli aeroporti) e David Jacoby hanno dimostrato come sia possibile assumere il controllo totale dei sistemi automatici presenti nelle case moderne, delle reti e dei dispositivi consumer.
Internet delle cose inutili: (in)sicurezza presso l’#RSA di San Francisco #IoT
Tweet
Ad essere sinceri l’RSA non è una conferenza indirizzata ai consumatori ma alle aziende, essendo il suo spirito fondamentalmente “business to business”. Tuttavia le questioni sollevate interessano tutti. I titoli delle maggiori riviste e giornali e le varie discussioni tenutesi presso le numerose conferenze nel campo della sicurezza informatica lo dimostrano: i computer non sono sicuri, sia quelli personali che si trovano nelle case che quelli in ufficio. Nonostante ciò, l’industria hi-tech non fa altro che collegare a Internet una marea di nuovi prodotti, promuovendone la vendita. Si chiama “Internet delle cose” o IoT, nella sua sigla in inglese, e vi assicuro che nemmeno questi dispositivi sono sicuri.
Dunque non ci sorprende che Billy Rios, fondatore dell’azienda di sicurezza informatica Laconicly, abbia sfruttato una vecchia vulnerabilità presente in un dispositivo Home Automation System della marca Vera che gli ha dato accesso alla rete a cui sono connessi tutti i computer e dispositivi di casa.
So @XSSniper is going to demo a home automation hack at @RSAConference, using Pac-Man to illustrate it: http://t.co/LJW27SsAWJ
— Kelly Jackson Higgins (@kjhiggins) April 16, 2015
Rios ha sfruttato una vulnerabilità cross-site di falsificazione presente nell’Home Automation System di Vera e l’ha forzato ad accettare un aggiornamento del firmware modificato. Entrando nello specifico, Rios ha usato uno schema di phishing spingendo la sua (ipotetica) vittima a visitare un sito web dannoso mediante tecniche di maladvertising.
Il meccanismo di aggiornamento del firmware di Vera è stato così disattivato e Rios ha caricato il suo firmware che, in questo caso, era una copia di Pac Man. Pac Man non crea problemi, ma il punto è che l’esperto avrebbe potuto caricare qualsiasi cosa su di un dispositivo che controlla centinaia di altri dispositivi IoT, come chiusure centralizzate ed elettroniche, termostati, luci, sistemi di allarme e porte del garage, per nominarne alcuni.
Kelly Jackson Higgins di Dark Reading ha annunciato che Vera risolverà il bug con un aggiornamento del firmware.
Nice wrap up of #IoT-related talks at #TheSAS2015: "Internet of Crappy Things: https://t.co/ORygHSJs9W
— Eugene Kaspersky (@e_kaspersky) February 20, 2015
Qualche giorno dopo, David Jacoby, senior security researcher di Kaspersky Lab, ha utilizzato un cocktail di codici dannosi, exploit e tecniche di phishing per compromettere un dispositivo di storage incluso nella rete della sua casa in Svezia. Questa presentazione è parte di un progetto di home hacking ben più ampio, di cui abbiamo già parlato qui su Kaspersky Daily.
Researcher @JacobyDavid on home hacking at #RSAC: pic.twitter.com/InHS8GcBhj
— Securelist (@Securelist) April 22, 2015
Jacoby ha insistito molto sulla questione perché alla maggior parte dei vendor non importano le varie vulnerabilità di sicurezza. La segmentazione della rete, ha detto, è forse la migliore soluzione a questi bug, ma sfortunatamente è una soluzione un po’ complicata per la maggior parte degli utenti.
Circa 20 minuti dopo la presentazione di Jacoby, Yier Jin un hacker di hardware e assistente presso la University of Central Florida, ci ha mostrato un backdoor presente in un termostato intelligente della marca Nest.
A few demos generated by a customized toolchain on the Nest Thermostat is released. https://t.co/KCg3Wdy8gV
— Yier Jin (@jinyier) August 12, 2014
Jin ha scoperto che la backdoor gli permetteva di installare un firmware dannoso sul dispositivo. Inoltre, ha trovato il modo di monitorizzare i dati che i dispositivi Nest affidano ai server cloud di Nest. Tra questi, ha spiegato l’esperto, ci sono spesso dati sensibili. Con un’attenta analisi, un hacker potrebbe venir a sapere quando l’utente di Nest si trova in casa. Gli utenti possono fare ben poco per opporsi alla raccolta di informazioni e, se ciò non fosse sufficiente, l’accesso root di Jien può permettergli di forzare altri dispositivi appartenenti alla stessa rete, conoscere le credenziali in plain-text della rete e molto altro.
Nonostante i miliardi di dollari investiti in sicurezza, oltre ai dispositivi appartenenti al mondo di Internet delle cose (inutili), i computer tradizionali rimangono esposti agli attacchi.