Cosa hanno in comune una macchinetta per il caffè, un acquario, una vending machine, le serrature delle camere di un hotel ed un semaforo? Sono tutti dispositivi connessi, oggetti, “cose” che si sono ritrovati ad essere utilizzati per un attacco alla sicurezza della rete alla quale erano connessi, anche solo per pochi minuti.
Nello specifico, la macchinetta del caffè era erroneamente collegata ad una rete Wi-Fi invece che a un’altra, e ha fatto da ponte all’installazione di ransomware sui sistemi di controllo di una fabbrica. Le vending machine facevano richieste anomale sulla rete creando traffico eccessivo, saturando quindi le risorse. Il bellissimo acquario dotato di una centralina di ultima generazione per il controllo della temperatura e della qualità dell’acqua è stato il ponte per sottrarre informazioni riservate sui frequentatori dell’albergo e casino. I semafori rilevavano infrazioni inesistenti in quanto infetti da malware. Le serrature delle porte delle camere dell’hotel, connesse in rete, non hanno lasciato entrare in camera i clienti sino al pagamento di un riscatto da parte della proprietà dell’albergo.
Benvenuti nell’era di IoT, Internet of Things. Benvenuti soprattutto nel suo lato oscuro.
Come per tutte le nuove tecnologie, facciamoci alcune domande: è sicuro? Cosa devo sapere? Come approcciare la questione e quali considerazioni per la sicurezza è giusto avere in mente? Come tutte le novità, IoT non fa eccezione. Non nasce – purtroppo – con la sicurezza in mente e qualcuno ne sfrutta le debolezze, come negli esempi precedenti, tutti realmente accaduti.
Indice degli argomenti
Ma prima… Cos’è questo IoT (“Internet delle cose”)
Internet of Things è il fenomeno per il quale oggetti, sensori, dispositivi connessi e più generalmente “cose”, diventano digitali e si collegano alla rete locale, a internet, fra di loro.
Questo è alla base del processo di digitalizzazione, che porta tanti benefici noti: dati e informazioni in tempo reale, in base ai quali prendere decisioni, automatismi e moltissimo altro. Il mondo ed il funzionamento delle cose come lo abbiamo sempre conosciuto sino ad una decina di anni si evolve, diventando informatizzato, digitale. È in voga il termine smartper indicare un oggetto in grado di avere un ruolo più esteso. Ed è qui che i più attenti potrebbero iniziare ad alzare un sopracciglio. Questo ruolo più esteso è esclusivamente un bene o può comportare degli effetti collaterali?
Un esempio pratico di Internet of Things: ambiti applicativi
Se decido di controllare la qualità dell’acqua di un acquario, come ha fatto l’hotel nell’esempio iniziale, avrò tutti i vantaggi che mi aspetto: l’acqua sarà costantemente controllata, alla temperatura desiderata e con qualità sempre ottimale. Difficilmente si potrebbe ottenere lo stesso risultato in altro modo. E in più, lo stesso automatismo può dar da mangiare ai pesci automaticamente, ad intervalli regolari. E ancora, posso avere la comodità di avere il monitoraggio sempre sotto controllo sul mio smartphone.
Purtroppo, non è tutto qui. Per avere il monitoraggio remoto naturalmente il dispositivo deve essere collegato alla rete. E il collegamento alla rete può esser stato fatto da personale qualificato su acquari, ma non sulla sicurezza e sulle reti, senza interpellare i sistemi informativi. In effetti fa gola poter collegare e avere tutto funzionante in pochi minuti.
Successivamente si scoprirà che il dispositivo in questione, collegato alla rete, era evidentemente stato compromesso e prelevava dei dati da un server al quale aveva accesso, e questi dati erano inviati via internet chissà dove.
Evidentemente nessuno si è posto il problema della legittimità di accesso al server da parte di un dispositivo per l’acquario.
Lo scenario descritto è una approssimazione, non conosciamo i dettagli tecnici dell’accaduto, ma è verosimile.
Qualcosa di analogo potrebbe accadere in altri, numerosi ambiti. Il reparto manifatturiero è molto robotizzato, abbondano sensori e sistemi di controllo. Gli hotel hanno sistemi convergenti di telefonia, intrattenimento, internet, gestione degli ospiti. Gli uffici dal più piccolo al più grande hanno i sensori per il controllo degli accessi, sistemi convergenti di dati e telefonia, e molto altro. Le nostre stesse case si arricchiscono di termostati, videosorveglianza, elettrodomestici intelligenti.
Nulla fa eccezione al processo di digitalizzazione che tocca tutti, dalle grandi realtà all’ambito casalingo.
Quali sono i rischi di sicurezza informatica e cyber security collegati all’Internet of Things?
Things, cose, oggetti, sensori, controllori, automatismi: spesso si tratta di dispositivi connessi piccoli, con poca potenza e basso costo. In molti altri casi sono dispositivi preesistenti, adattati ad ospitare un collegamento alla rete, nel modo più rapido, economico e conveniente possibile. La sicurezza è spesso non pervenuta, e la battuta è dietro l’angolo: “Nell’acronimo IoT, la S sta per Sicurezza!” è una della più popolari.
Facciamoci alcune domande, in ordine sparso, riferiti ai generici oggetti.
I collegamenti alla rete come avvengono, via Wi-Fi o Ethernet? Una porta ethernet costa e prende spazio, e quando si tratta di un sensore grosso come una moneta diventa un problema enorme. Il Wi-Fi dal canto suo consuma batteria. I produttori quasi sempre guardano lo specifico caso di utilizzo che hanno in mente, e non una panoramica più ampia che passa per un protocollo comune. Nel caso dei dispositivi connessi casalinghi, ma non solo, sono molto diffusi protocolli senza fili diversi. Spesso, in particolare per dispositivi casalinghi, ogni oggetto ha la sua “base”, che si occupa di fare da “ponte” fra il collegamento radio dal dispositivo alla base stessa e una rete Wi-Fi o Ethernet già esistente. E sono poche le possibilità di avere buone funzionalità di sicurezza sul collegamento radio.
Eventuali altri collegamenti wireless come sono fatti? Sono tantissimi i protocolli disponibili: Bluetooth, 6LowPAN, Zigbee, NFC, LoRaWAN, per citarne alcuni. Possono essere usati per collegamenti a corto o lungo raggio, fra dispositivi connessi o per arrivare alla infrastruttura di rete. In alcuni casi, ad esempio nelle automobili, è utilizzata la rete cellulare. Sono collegamenti sui quali non sempre è possibile intervenire e che offrono funzionalità di sicurezza variabili da caso a caso, e spesso limitate. Sono parecchi i casi in cui autenticazione, cifratura, controllo del traffico sono semplicemente opzioni non disponibili. E, da utilizzatori/amministratori, quanto ne sappiamo di questi metodi di collegamento e quali e quante funzionalità di sicurezza sono disponibili? Spesso poco.
Molti sono i casi in cui i modi di collegamento hanno dei default di sicurezza ridicoli. Un esempio noto a tutti è che per collegare due oggetti in Bluetooth la combinazione 0000 funziona nella maggioranza dei casi. Non è detto che la situazione migliori per protocolli diversi. Spesso una significativa funzionalità di sicurezza è semplicemente il fatto che sono protocolli di collegamento senza fili a corto raggio.
I dispositivi connessi spesso sono dual homed host, ovvero hanno due collegamenti separati a due reti differenti. I sensori hanno spesso una configurazione di questo tipo, attestandosi su una base tramite una rete a corto raggio e la base sarà poi collegata ad una rete ethernet di produzione. Si tratta di dispositivi spesso piccoli, quasi sempre molto economici: le garanzie di funzionalità del controllo del passaggio del traffico fra le due reti sono nel migliore dei casi irrisorie.
Spesso questi dispositivi sono non autenticati, e molte volte l’autenticazione è un semplice PIN numerico di quattro cifre. Più una separazione che una reale autenticazione basata su una identità del dispositivo e la conseguente possibilità di applicare delle politiche di accesso e gestione. Questo significa che alcuni dei dispositivi installati saranno poi non gestiti e non monitorati per l’impossibilità di farlo. Generalmente quando un dispositivo non può essere autenticato si presta bene ad essere sostituito con un altro, da parte di chiunque. Non è difficile, ad esempio sostituire una lampadina intelligente con un’altra. E, se chiunque può farlo, si lascia che un dispositivo non autorizzato acceda alla rete. Lo faremmo con un PC? Sono molti i casi in cui considerazioni che diamo per scontate sulla sicurezza fisica sono completamente bypassate grazie alla natura degli oggetti.
Torniamo per un momento sul basso costo dei dispositivi: quanto saranno solide le funzionalità di sicurezza di un dispositivo che costa pochi euro? Quali garanzie abbiamo sul produttore? È importante saperlo, perché concorre alla costruzione della fiducia che si può decidere di dare (o non dare) all’oggetto.
Un altro caso è quello in cui un dispositivo è basato su un sistema operativo generico, come ad esempio Linux o Windows. Il vantaggio è che sono sistemi operativi con la capacità di avere sistemi di autenticazione, controlli più granulari e default più articolati, ma spesso in oggetti preconfezionati sono considerazioni che passano in secondo piano. Potenzialmente inoltre, potrebbero ereditare le vulnerabilità dei sistemi operativi, ma con un ciclo di patching molto diverso da quello di un PC aziendale correttamente gestito. In fondo sono oggetti spesso unmanaged. E, a meno di non trattarsi di produttori con le spalle larghe, ci si potrebbe trovare con dispositivi perfettamente funzionanti di un produttore non più esistente.
Va menzionato anche lo sviluppo sicuro del software che fa funzionare gli oggetti. Coloro i quali lo hanno ingegnerizzato, quali garanzie offrono in questo ambito?
L’incremento del numero dei dispositivi fa aumentare la superficie di attacco. Altro non è che un modo per dire che sono molti di più i possibili punti di attacco. E, viste le considerazioni già fatte, gli oggetti sono degli ottimi punti di attacco!
In più, l’eterogeneità. Termostati, centraline in rete per la gestione dell’illuminazione, dell’aria condizionata, automatismi di fabbrica o di magazzino sono tutti nuovi elementi sulla infrastruttura di rete. Sono diversi fra loro, con migliaia di forme, funzionalità, produttori e provenienze diverse. Impossibile anche solo considerarli una famiglia di dispositivi a sé stante e con delle caratteristiche condivise.
Poi l’installazione: se a rendere sicuri PC, router, switch, stampanti abbiamo generalmente più esperienza, se a garantire la sicurezza di una infrastruttura di rete ci sono molti professionisti qualificati, quando si tratta invece di nuovi dispositivi che oggi si attestano sulla rete, è più difficile avere garanzie. Per un fatto storico, più che altro. Si tratta di dispositivi che sino a ieri non esistevano, non si collegavano alla rete o erano collegati su una rete separata, diversa, dedicata.
Ora ipotizziamo, lo scenario peggiore: diversi analisti parlano di stime di decine di miliardi di oggetti connessi alla rete entro i prossimi due o tre anni. Non entriamo nella diatriba della attendibilità, restiamo comunque d’accordo che gli oggetti connessi fra di loro e alla rete siano in aumento esponenziale. E se realmente fossero qualche decina di miliardi nel 2020? E se una piccola parte, diciamo l’un percento fosse effettivamente compromessa, non sarebbe uno scenario apocalittico? Significherebbe centinaia di milioni di dispositivi compromessi, potenzialmente utilizzabili per botnet, o chissà cos’altro.
Il grosso problema è la frammentazione dei dispositivi. Si può trattare di migliaia di oggetti diversi, che operano in diversi ambiti, dal casalingo o piccolo ufficio sino alla fabbrica di grandi dimensioni. In particolare sulla fascia delle aziende più piccole, che quindi utilizzeranno prodotti reperibili sul mercato e non appositamente ingegnerizzati, si finirà per forza di cose per affidarsi ai produttori più disparati, negli ambiti più disparati. Impossibile fare un ragionamento specifico, nemmeno per grandi categorie.
Cosa fare in caso di dispositivi hackerati? Linee guida per l’IoT security
È difficile, considerando il problema a grandi linee, stabilire delle regole specifiche. Proviamo comunque a definire quello che potrebbe essere un approccio e quali possono essere gli strumenti a disposizione quantomeno per minimizzare il rischio.
Per semplicità dividiamo il la questione in due: i dispositivi, gli oggetti, le cose da una parte e la infrastruttura di rete dall’altra. Finché non c’è interazione fra i due ambienti, il problema potrebbe anche non esserci, ma raramente è così.
1) Analizzare i dispositivi
Sono l’ambito più critico: bisognerebbe analizzarli uno per uno, sotto diversi aspetti, di chi li produce, di come sono installati e manutenuti e da chi, a cosa servono, qual è il loro ruolo, se possono essere autenticati, se hanno funzionalità di sicurezza e quali e quante, e se queste sono aderenti al livello di sicurezza che vogliamo avere sulla rete. Un esempio per tutti: se voglio che sulla mia rete vi sia solo del traffico cifrato o proveniente esclusivamente da dispositivi in grado di autenticarsi, l’oggetto che vado a installare può farlo?
Fare un ragionamento applicabile a tutti non è possibile. Sarà compito del reparto IT assicurarsi che le cose vadano per il meglio, evitando quindi oggetti di dubbia provenienza, che non offrono funzionalità di gestione degli aggiornamenti, che non hanno garanzia di un firmware aggiornato/aggiornabile e regolarmente manutenuto, prodotti da produttori sconosciuti. Chi metterebbe sulla propria rete una telecamera IP di un produttore asiatico mai sentito? Quali garanzie ci sarebbero che una eventuale interfaccia web di gestione della telecamera non possa essere sfruttata per un accesso alla rete?
Bisognerà quindi valutare caso per caso, o sarebbe il caso di dire cosa per cosa, ciò che si va a mettere sulla rete. Purtroppo il panorama variegatissimo che abbiamo descritto prima rende le cose molto difficoltose.
2) Mettere in sicurezza la infrastruttura di rete
Buone notizie: la rete c’è, metterla in sicurezza è una pratica collaudata e conosciuta che può offrire diversi elementi di mitigazione del rischio. A differenza di oggetti e cose, una infrastruttura di rete attuale è gestita, offre visibilità, cifratura, autenticazione di tutto ciò che ci sta sopra, politiche di accesso differenziate, segmentazione per impedire che determinati gruppi di host e dispositivi parlino con degli altri gruppi. Se dei dispositivi, cose, oggetti non possiamo fidarci del tutto, la rete è un’alleata. Ecco alcune funzionalità che una moderna infrastruttura di rete può mettere in campo a minimizzare i rischi di IoT:
- Autenticare tutti i dispositivi possibili;
- In base alla autenticazione dei partecipanti alla rete, decidere quali saranno le possibilità di accesso alle risorse di rete;
- Segmentare la rete in modo che determinati oggetti siano su una sottorete separate rispetto a host critici;
- Stabilire diversi livelli di criticità per i diversi segmenti di rete, mettendo in campo controlli d’accesso per passare dall’uno all’altro segmento;
- Applicare politiche specifiche a dispositivi non autorizzati: ad esempio un accesso parziale alla rete;
- Fare in modo che tutti i dispositivi connessi che hanno necessità di accesso alla rete siano validati ed autorizzati.
La regola d’oro vale sempre: se qualcosa non ha necessità esplicita di accesso ad una risorsa di rete, formalizziamo che così non sia. È bene quindi partire non con una situazione in cui tutti hanno accesso a tutto, ma da un approccio in cui, appena collegato alla rete un dispositivo non va proprio da nessuna parte e poi, in base alla autenticazione ed alla identità e tipo del dispositivo si stabiliscano delle eccezioni.
Oggi con software defined networking ed un livello di automatizzazione molto granulare sono gestibili procedure che fino a pochi anni sarebbero state troppo onerose. Mettiamo la potenza di una rete attuale al servizio della sicurezza, specie in ambito IoT.
Conclusione: come prevenire e proteggere la IoT Security dai cyber attacchi
IoT è una comodissima novità che può portare enormi benefici, ma allo stesso tempo tanti problemi. Bisogna utilizzarla, questa novità, con grande senso critico.
Mettiamoci nei panni dell’hotel citato in apertura dell’articolo: ha dichiarato che avrebbe cambiato le serrature elettroniche con quelle tradizionali, meccaniche. È bello, è fascinoso, per un hotel come quello, dove si vuole stare fuori dal tempo e dalla routine, è una scelta condivisibile. Ma a parte pochi, pochissimi ambiti, non possiamo rinunciare al progresso, all’efficacia della digitalizzazione.
