Uno sforzo coordinato senza precedenti è fondamentale per fermare il saccheggio dei sistemi IoT.
L’Internet of Things (IoT) ha fatto molta, molta strada da quando gli studenti della Carnegie Melon University hanno installato microinterruttori all’interno di un distributore automatico Coca-Cola in modo da poter controllare a distanza la temperatura e la disponibilità delle loro bevande preferite.
Era il 1982. Da allora, i dispositivi IoT sono stati ampiamente e profondamente integrati nelle nostre case, aziende, servizi pubblici e sistemi di trasporto. Questo ci ha portato molti vantaggi. Eppure, l’intensificarsi dell’implementazione di sistemi IoT ha ampliato anche notevolmente la superficie di attacco informatico delle reti aziendali, soprattutto negli ultimi anni.
Soprattutto ora che il Covid-19 sta avendo un effetto moltiplicatore su queste crescenti esposizioni all’IoT. A nove mesi dall’inizio della pandemia globale si sta verificando una situazione inquietante. Il lavoro da remoto e l’istruzione a distanza hanno aumentato la nostra dipendenza dai sistemi IoT a una scala che nessuno avrebbe potuto prevedere; e gran parte di questo aumento improvviso e drammatico sarà probabilmente permanente. In risposta, i criminali informatici si stanno affrettando a trarne il massimo vantaggio .
Questo cambiamento è appena iniziato. Le truffe e gli attacchi informatici destinati all’IoT sono rapidamente aumentati a un livello elevato e ci si può aspettare che accelereranno fino al 2021 e oltre. Questa ondata può e deve essere rallentata. La buona notizia è che possediamo già la tecnologia, nonché i le migliori pratiche, per mitigare l’esposizione dell’IoT in rapida crescita.
Tuttavia, ciò richiederà un grosso sforzo proattivo da parte del mondo imprenditoriale – le imprese e le piccole e medie aziende. Anche i singoli cittadini, consumatori e lavoratori hanno un ruolo importante da svolgere. Ciascuno di noi dovrà cooperare e fare sacrifici. La posta in gioco è molto alta. Ecco cosa tutte le aziende e gli individui dovrebbero comprendere appieno sui sistemi IoT sotto attacco, dopo il Covid-19.
Il mainstreaming dell’IoT
L’IoT è chiaramente diventato un mainstream. Ci siamo circondati di sensori incorporati che trasmettono continuamente dati su Internet. I dispositivi IoT aiutano a controllare da remoto i nostri elettrodomestici, centrali elettriche, edifici intelligenti, fabbriche, aeroporti, cantieri navali, camion, treni e apparati militari.
E siamo solo all’inizio. Nell’orizzonte immediato, i sistemi IoT ci porteranno veicoli autonomi e qualcosa chiamato “gemelli digitali”: rappresentazioni virtuali di oggetti fisici dotate di intelligenza artificiale. Recentemente ho sentito il dottor Joe Alexander, un illustre scienziato presso NTT Research, descrivere l’incredibile lavoro che sta facendo su un gemello digitale di un cuore umano che un giorno analizzerà i dati per aiutare a diagnosticare e curare le malattie cardiache.
La sfida del momento è che molte aziende hanno già le mani impegnate nel tentativo di migliorare il loro stato di sicurezza mentre migrano i loro sistemi IT legacy, on premise, nel cloud. I rischi dell’IoT sono stati finora una preoccupazione di bassa priorità. Ma ora il Covid-19 ha spostato le esposizioni IoT al vertice tra le nostre preoccupazioni.
“Troppo spesso vediamo aziende con solide politiche di sicurezza e strumenti per proteggere gli endpoint di proprietà dei dipendenti, prive di qualsiasi sicurezza per IoT e dispositivi mobile”, ha specificato Chris Sherman, analista di settore senior presso Forrester.
Sherman ritiene che esista un enorme divario di visibilità dell’IoT che deve essere ridotto. Sono d’accordo. La maggior parte delle aziende ha solo una vaga percezione di tutti i sensori IoT collegati alle proprie reti e ogni dispositivo rappresenta un percorso di accesso appetibile per i criminali. La chiusura di aziende e scuole a causa del Covid-19 ha aggiunto un improvviso afflusso di decine di milioni di dispositivi IoT in più che si connettono alle reti aziendali, intensificando questa esposizione.
Un negozio di caramelle per hacker
Un recente sondaggio di Forrester sulla forza lavoro ha mostrato che fino alla metà del 2020, il 58% delle aziende in tutto il mondo aveva almeno la metà dei propri dipendenti che lavorava da casa, dove si nascondono una media di 11 dispositivi, connessi a Internet. Puoi aggiungere a questo tutte le scuole e le università costrette dalla pandemia a condurre lezioni a distanza.
“Abbiamo un’esplosione del numero di dispositivi nell’ecosistema IoT e abbiamo anche un aumento del tempo che i dispositivi IoT di consumo trascorrono sulla stessa rete dei dispositivi di lavoro”, afferma Sherman.
Per gli hacker malintenzionati, è come essere portati in un negozio di caramelle che sta regalando dolcetti gratuiti. I sistemi operativi dei dispositivi IoT domestici oggi vengono generalmente forniti con una sicurezza di accesso minima. I gruppi di hacking sono molto abili nello “sfruttare schemi di autenticazione deboli per ottenere persistenza all’interno di una rete mirata”, afferma Sherman. “Una volta penetrati, possono spostarsi lateralmente e avere accesso ad altre risorse aziendali”.
Gli attacchi abilitati per IoT alle reti IT domestiche e aziendali non sono solo teorici; sono aumentati costantemente almeno negli ultimi tre anni.
La famigerata botnet Mirai si è auto-replicata cercando centinaia di migliaia di router domestici con password deboli o inesistenti. Da lì Mirai si è diffuso velocemente tra altri tipi di dispositivi IoT consumer, oltre ai computer aziendali. Alla fine Mirai è stato utilizzato per eseguire massicci attacchi Distributed Denial of Service (DDoS) .
Le botnet IoT oggi continuano a eseguire attacchi DDoS e vengono anche distribuite regolarmente per distribuire malware Trojan bancari e per eseguire attacchi Man In The Middle (MITM). La botnet VPNFilter, ad esempio, ha compromesso i router domestici con protezione debole, che sono stati poi impiegati per rubare gli accessi ai dipendenti come parte di violazioni nelle aziende prese di mira.
La violazione dell’altoparlante intelligente domestico di un CFO
Nel corso del 2020, gli attacchi su IoT hanno manifestato nuove sfumature. In un caso molto recente, gli aggressori hanno preso di mira il CFO di una società di servizi finanziari, poiché lavorava da casa, dice Sherman. I criminali hanno ottenuto con successo un punto d’appoggio sul MacBook dell’esecutivo. Ma per quanto provassero, non sono stati in grado di raggiungere il loro obiettivo principale, che era quello di ottenere il controllo del microfono del MacBook.
Così hanno scelto una via migliore; hanno individuato e preso il controllo di un altoparlante intelligente collegato alla rete domestica del dirigente tramite una connessione Bluetooth. Con il controllo dell’altoparlante intelligente del dirigente assicurato, gli aggressori sono stati in grado di raggiungere il loro obiettivo di intercettare le conversazioni private del CFO.
Questa e una delle possibilità per gli attacchi IoT a venire. Abbiamo incorporato utili dispositivi IoT in elettrodomestici, controlli ambientali, dispositivi di monitoraggio della salute, dispositivi multimediali e di gioco, videocamere di sorveglianza, sistemi di accesso agli edifici, dispositivi medici e persino auto connesse. Gli hacker chiaramente motivati continueranno a saccheggiare questi nuovi vettori di attacco.
“A volte non ci rendiamo nemmeno conto di quanti dei nostri dispositivi oggi abbiano capacità di registrazione audio e video”, afferma Sherman. “La preoccupazione per i tipi di attacco assistiti dall’IoT è particolarmente alta nel settore sanitario, dove molte conversazioni protette HIPAA vengono rilevate dai dispositivi domestici”.
Mike Nelson, vicepresidente della sicurezza IoT di DigiCert, presta molta attenzione alle vulnerabilità sistemiche dei sistemi IoT implementati dal settore sanitario. DigiCert è un fornitore leader di certificati digitali e relativi servizi di sicurezza. È compito di Nelson aiutare le aziende ad affrontare i rischi dell’IoT, ma ha anche un interesse molto personale. In quanto diabetico di tipo 1, Nelson riceve continuamente letture sul suo smartphone trasmesse da un dispositivo IoT che indossa sulla gamba che monitora continuamente il suo livello di zucchero nel sangue.
Un hacker che si aggirasse nei dintorni, per qualsiasi motivo, potrebbe alterare o interrompere intenzionalmente o inavvertitamente i dati che fluiscono verso tali sistemi, con un impatto potenzialmente devastante su diabetici come Nelson. Lo stesso vale per qualsiasi paziente che riceve cure critiche, per qualsiasi tipo di malattia, che si basa su dati instradati attraverso sistemi abilitati all’IoT.
“Gli ospedali stanno acquisendo dati da pompe di infusione wireless che forniscono trattamenti critici ai pazienti”, osserva Nelson. “Queste pompe si collegano a molti sistemi diversi, compresa la rete. Se non è protetto, un malintenzionato potrebbe entrare in ospedale, scoprire il dispositivo sulla rete e assumere il controllo del dispositivo, iniettando potenzialmente farmaci letali a un paziente “.
La fiducia automatica non è più un’opzione
Le intrusioni nei sistemi IoT rappresentano un pericolo evidente e presente al di là del settore sanitario, ovviamente. Le aziende di tutte le dimensioni e in tutti i settori sono esposte, purché utilizzino sistemi IoT poco configurati per prendere decisioni operative critiche, da remoto e in tempo reale.
“I tracker dell’inventario, i controlli della temperatura o qualsiasi tipo di dispositivo IoT che raccoglie dati utilizzabili sono a rischio di attacco”, afferma Nelson. “L’hacker incorpora malware nel dispositivo inducendolo a segnalare valori imprecisi oppure esegue un attacco man in the middle e manipola i valori mentre vengono trasmessi dal dispositivo”.
Poiché i sistemi IoT sono diventati mainstream senza prestare sufficiente attenzione alla sicurezza – e soprattutto ora che l’utilizzo dei sistemi IoT è in aumento, a causa del Covid-19 – le aziende dovranno occuparsene in maniera decisa. Ottenere visibilità su tutti i dispositivi IoT deve diventare una priorità assoluta. Ciò porterà naturalmente all’implementazione di controlli IAM (Identity and Access Management) più solidi e a un monitoraggio molto più attento dei dati sensibili che fluiscono attraverso i sistemi IoT.
“Le organizzazioni devono abbandonare la fiducia automatica in un dispositivo”, afferma Nelson. “Hanno bisogno di sapere quali dispositivi sono collegati alla loro rete e quindi prendere decisioni di fiducia in base alla provenienza del dispositivo e a cosa sta facendo il dispositivo; è necessario effettuare continuamente valutazioni sul valore che un dispositivo aggiunge e sul rischio che presenta un dispositivo “.
Non dipende solo dall’azienda. I dipendenti che lavorano da remoto devono assumersi un certo livello di responsabilità e fare ciò che possono – da qui in avanti – per migliorare la sicurezza dei dispositivi IoT e delle loro reti domestiche.
Sì, questo significa più lavoro e meno comodità a livello individuale. Ognuno di noi, in effetti, deve assumere il ruolo di tecnico della sicurezza e revisore della sicurezza per ciascuno dei propri sistemi IoT domestici. Ciò può comportare oneri come imparare a modificare le password predefinite deboli sui propri router domestici e altri gadget IoT; utilizzando l’autenticazione a più fattori il più ampiamente possibile; e impiegando più rigorosamente abitudini di gestione delle password sicure, anche se a volte noiose. Ciò include evitare di usare un’e-mail di lavoro per registrarsi ad account online o app Web casuali. Ognuno di noi ha effettivamente bisogno di iniziare a prestare molta attenzione alla nostra impronta digitale.
Un ruolo nella sicurezza più ampio per i dipendenti
Le aziende possono aiutare i lavoratori fornendo una formazione efficace; sono disponibili numerosi strumenti e servizi di formazione sulla sicurezza. Ciò che è mancato è la leadership per promuovere in modo proattivo una cultura della sicurezza, dalla sala riunioni in giù. Andando avanti, ci dovrà essere uno sforzo veramente collaborativo tra la direzione e il personale. Forrester ha intervistato più di 10.000 dipendenti IT per il suo sondaggio sulla forza lavoro, condotto la scorsa estate, e ha rilevato che il 54% dei dipendenti preferisce gestire la sicurezza da solo, mentre il resto non è sicuro o preferisce che se ne occupi il datore di lavoro.
“Sebbene i dipendenti debbano seguire le politiche stabilite dal team di sicurezza del proprio datore di lavoro, alla fine spetterà all’azienda adattarsi alla rete del dipendente, piuttosto che il contrario”, afferma Sherman. “Questo è il motivo per cui è importante integrare la formazione dei dipendenti sui dispositivi IoT dei consumatori nei programmi di formazione sulla consapevolezza della sicurezza”.
Ad esempio, un paio di ospedali hanno recentemente emanato politiche che richiedono a tutti i medici di disabilitare gli altoparlanti intelligenti in qualsiasi stanza in cui si trovano mentre forniscono cure virtuali; questo fa parte della formazione sulle migliori pratiche di sicurezza per i dispositivi IoT. L’obiettivo è garantire che i medici non condividano verbalmente informazioni sanitarie protette su dispositivi IoT vicini che potrebbero essere violati.
Il 2020 è stato un anno di sviluppi repentini e inimmaginabili. E non è ancora finita. Forse l’improvviso aumento degli scenari lavoro da casa e scuola da casa spingerà le aziende e i consumatori a collaborare per la sicurezza informatica.
Lascia un commento