E’ in continua crescita il numero di device IoT che usiamo per comandare da remoto elettrodomestici, per registrare prestazioni fisiche mentre si fa sport, per visualizzare da remoto tramite ambienti domestici e lavorativi. Il problema è che, per vari motivi, tra cui sicuramente il basso costo e il rapido time-to-market di questi device, la sicurezza dei sistemi IoT è molto bassa. Cresce quindi il rischio che si diffondano Botnet basate su device IoT.
Secondo gli esperti manca spesso per i device IoT una procedura periodica di upgrade del firmware, per cui eventuali vulnerabilità non sono risolte. In maggio alcuni ricercatori dell’Università del Michigan sono riusciti ad hackerare la piattaforma Samsung’s SmartThings per la Smart Home automation: gli esperti hanno utilizzato la SmartApp Android (che normalmente serve per controllare i device IoT domestici da remoto) per risalire al codice PIN per la serratura di casa.
Molte delle nuove appliance IoT sono disegnate per funzionare in modo semplice, si basano su collegamenti con lo smartphone dell’utente per mettere a disposizione una user experience elevata. Questo avviene però con pochi accorgimenti di sicurezza, per cui ad esempio amplifica una possibile una vulnerabilità, la possibilità che il device IoT condivida apertamente le sue credenziali WiFi. E’ il caso questo della lampadina LED intelligente LIFX (WiFi enabled, energy efficient, smartphone controlled): i ricercatori sono riusciti in questo caso ad ottenere e decriptare le credenziali WiFi della lampadina senza doversi autenticare per accedere al sistema, e senza alcun alert di sicurezza.
Proprio a causa della scarsa sicurezza che li caratterizza, i device IoT sono oggi utilizzati per la diffusione di malware che li trasforma in Botnet in grado di sferrare attacchi Distributed Denial of Service (DDoS).
Secondo i Level 3 Threat Research Labs il malware che potrebbe avere già contagiato milioni di device IoT ha diversi nomi: Lizkebab, Bashlite, Torlus e gafgyt sono quelli più comuni. E’ di giugno la notizia diramata dai ricercatori Arbor Networks che una botnet con malware LizardStresser stava sfruttando device IoT per un attacco DDoS contro Banche, Telcos e agenzie pubbliche in Brasile, oltre che 3 società di gaming in USA. Semplicemente sfruttando tutta la banda messa a disposizione dai molti device IoT infettati, l’attacco era arrivato ad un valore di 400 gigabits per secondo (Gbps) senza ulteriore amplificazione.
Secondo gli esperti gli hacker utilizzano diversi metodi (sfruttamento di vulnerabilità note, attacchi brute-force) per accedere alle credenziali di login e infiltrarsi nei device IoT, installandovi quindi il malware. E’ prevedibile che questi metodi evolvano per diventare sempre più efficaci. Al momento i device IoT più facilmente utilizzabili per botnet sono le videocamere (DVR, digital video recorders) che spesso sono configurate con credenziali standard, facilmente hackerabili. Inoltre, essendo pensate per trasmettere video, possono mettere a disposizione una discreta larghezza di banda in upload, utilissima per gli attacchi DDoS. Una botnet composta da oltre 25.000 videocamere è quella individuata dallo specialista di sicurezza Sucuri, intervenuta nel caso di un attacco DDoS rivolto a una gioielleria che ne aveva bloccato le attività. L’attacco DDoS è stato caratterizzato da una doppia anomalia. È durato molto a lungo ed è stato attribuito unicamente a videocamere, anche se distribuite in tutto il mondo.
A cura di:
Elena Vaciago, The Innovation Group