Crescono le minacce nel mondo dell’Internet of Things (IoT) di pari passo alla progressiva adozione e diffusione di questi dispositivi. Ne parliamo con il Professor Aaron Visaggio Professore associato presso l’Università del Sannio e responsabile dell’ISWAT LAB.
Gli IoT sono sotto la lente di osservazione degli specialisti Cyber da lungo tempo. Costituiscono infatti un target per attacchi di Cybercrime e sono un sorvegliato speciale per attacchi di cyberterrorismo che possano puntare a infrastrutture critiche, in cui questo tipo di dispositivi iniziano ad essere adottati.
Già nel 2018 l’ENISA (European Network and Information Security Agency) nell’ambito dell’analisi delle minaccia Cyber aveva evidenziato come i dispositivi IoT fossero vulnerabili a causa della mancanza di meccanismi di protezione nei dispositivi e nei servizi IoT di fascia bassa, sottolineando la necessità di architetture e della adozione di buone pratiche di protezione IoT. A tal fine aveva inoltre reso disponibile strumenti per comprendere le buone prassi di security e un tool per il risk assessment in ambito IoT.
Tra ottobre 2018 e gennaio 2019, la sesta edizione del report The Hunt for IoT aveva rilevato 26 nuove Thingbot e L’Europa risultava uno dei principali target dei futuri attacchi (Fonte F5) mentre ad Agosto 2019 fra i periodici report di Check Point sull’aggiornamento della minaccia, spiccavano campagne di attacco mediante nuova versione della botnet Mirai IoT, Echobot, con attacchi diffusi contro dispositivi IoT. Ad inizio anno 2020 la ricerca di Extreme Networks aveva evidenziato come 7 attacchi su 10 fossero perpetrati sfruttando vulnerabilità dei dispositivi IoT. Piu’ di recente i ricercatori del JSOF lab hanno evidenziate 19 vulnerabilità 0-day, chiamate Ripple20, che possono consentire danni a catena in ottica supply chain e il pieno controllo del dispositivo target. Sebbene gli aggiornamenti già rilasciati dal produttore del software fallato, siano disponibili per essere installati dagli owner dei dispositivi unitamente alla impostazione di filtri sulla rete internet a cui i dispositivi sono connessi, il problema principale legato al rischio dei dispositivi IoT rimane significativo. Esperti di security che hanno analizzato le caratteristiche di Rippple hanno evidenziato come una appropriata analisi delle vulnerabilità nel codice dei dispositivi target di questo malware (pratica che dovrebbe essere uno standard secondo lo US Computer Emergency Response Team e il Dipartimento della difesa americano) avrebbero evidenziato questi bug per la risoluzione.
Il problema che, come si capisce dallo scenario è ancora di grande rischio, è in effetti legato al ciclo di vita dei dispositivi IoT destinati a qualunque settore, che dovrebbero adottare linee guida e controlli standardizzati e di codifica sicura. Ne abbiamo parlato con Aaron Visaggio Professore associato presso l’Università del Sannio e responsabile dell’ISWAT LAB.
Come stanno evolvendo le minacce per IOT?
Il motivo principale per cui l’IoT è esposto alle minacce è rappresentato dall’eterogeneità: si spazia dalla diversa potenza di calcolo (con sensori o oggetti passivi dalla potenza nulla o gli OTM industriali con una grossa potenza), fino alle diverse dotazioni di protezione, spesso assenti del tutto. Infatti, i wearable non sono dotati di protezione e sebbene questo sia vero anche per le stampanti di rete ad esempio, queste ultime sono almeno sono protette dai da firewall e Siem. Dunque, parlando di IoT ci riferiamo ad un mondo di dispositivi molto diversi fra loro per funzionalità, capacità e mancanza di standard, elementi che avvantaggiano il generico attaccante. Gli attacchi sono possibili per motivi diversi: la mancanza di aggiornamenti è certamente tra i primi: non ci sono aggiornamenti automatici e come conseguenza possiamo ricordare “la tempesta MIRAI” (campagna di malware del 2016 che rendeva i pc target vittime di una botnet per attacchi su larga scala n.d.r.). Spesso gli IoT device risultano obsoleti in termini di security perché non sono stati progettati con una protezione embedded, secondo la “security by design”. Inoltre, gli IoT dovrebbero essere considerati come appartenenti ad ecosistemi ovvero come una rete di dispositivi che collaborano fra loro. Ad esempio, nell’incidente in Iran, il black energy malware è arrivato con il phishing. Lo Stuxnet (un worm che fermò l’operatività della centrale di Natanz n.d.r.) è arrivato mediante una memory stick. Ma anche un attacco di “sql injection” è utilizzata nell’ambito di un ecosistema composto da DB e applicazioni. Insomma, gli attacchi verso gli IoT non mettono in campo tecnologie nuove: secondo Kaspersky il 51% degli attacchi IoT sfrutta banalmente il Telnet, un protocollo vecchio e vulnerabile. Lo stesso accade per il malware Triton, fra i più distruttivi, che sfrutta una banale vulnerabilità Windows o la botnet Ripper, che si infila in router e webcam, sfruttando vulnerabilità obsolete perché non ci sono aggiornamenti. Come andamento della minaccia per gli IoT vedremo l’insediamento di botnet con attaccanti che cercheranno di usare tecnologie obsolete e sistemi Windows con vulnerabilità non sottoposte a patching, e aggiornamenti non effettuati. Per la fine del 2020 addirittura è stato stimato che si arriverà ad un numero di eventi su IoT pari a 3 miliardi (fonte Fsecure).
Perché le minacce IoT rivestono una certa importanza nell’ambito industriale, anche rispetto a industria 4.0?
Perché stiamo già assistendo alla diffusione della IoT in tutti i processi e in diversi ambiti industriali e di mercato e perché ormai il paradigma dell’automazione è acquisito e si vuole demandare alle macchine il più possibile. La produzione industriale si sta robotizzando e quindi si riempie di IoT. L’agricoltura di precisione ne farà uso, come anche la domotica. Purtroppo, è vero anche per le infrastrutture critiche con conseguenze temibili. L’ambito sanitario mediante l’e-Health è destinato ad aumentare le dotazioni digitali e non dobbiamo dimenticare le Smart City che impiegano massicciamente dispositivi IoT. Inoltre, è necessario fare attenzione alla sicurezza IoT legata alla safety e ne sono un esempio le auto autonome con conseguenze di rischio per la salute e vita delle persone. Questa diffusione acutizza i problemi di eterogeneità legati agli ecosistemi. Infine, i dati e le informazioni sensibili recuperabili dai vari dispositivi come anche dai wearable portano a rischi di privacy in aggiunta alla security. I rischi sono connessi non solo ad attacchi di Cybercrime ma anche di Cyberterrorismo. Date queste premesse è necessario intervenire su cinque caratteristiche nella progettazione degli ecosistemi IoT: la protezione da data leakage (per impedire rilevazione da dati sensibili), la prevenzione da abuso (abuse prevention), garantire la provenienza dei dati (data provenance) per loggare tutte le operazioni che fa il dispositivo e risalire alle tecniche e vettore di attacco. La permission misuse per evitare usi e abusi dei permessi di accesso e infine considerare la messa in sicurezza per tutti i livelli ISO/OSI in cui sono ospitati i dispositivi IoT.
Che incidenza di attacchi si può prevedere in ambito IoT per i prossimi anni?
Di pari passo alla adozione degli IoT negli ecosistemi e con incremento di utilizzo grazie all’adozione del 5G, si stima che nel 2025 il mercato IoT avrà un valori pari a circa 1600 miliardi di dollari americani (fonte Statista). La pandemia certamente spingerà verso una accelerazione dei processi di automazione, quindi ci si deve preparare ad una mutazione più rapida di quella prevista.
Che tipo di accorgimenti sono necessari?
Sicuramente sono necessari i cinque accorgimenti di cui abbiamo già parlato, da adottare in fase di progettazione secondo la “security by design”. Sono inoltre necessari approcci innovativi per generare nuovi i casi di test finalizzati a simulare gli scenari di attacco, sviluppando meccanismi di monitoraggio per IoT come cluster e gruppi e non come dispositivi isolati. Possono essere appropriati gli accorgimenti di “computazione opacizzata”, cioè l’uso intensivo di sandbox capaci di eseguire codici malevoli in ambienti simulati in cui si vanificano le conseguenze del malware. Sul codice che implementa il dispositivo IoT si dovrebbe fare uso della tecnica di programmazione a slice (Program Slicing) che permette di analizzare quando e come i dati trusted collidano con i dati untrusted. Consiglierei l’uso del “model checking” anche per definire le proprietà dei sistemi, l’adozione dell’esecuzione simbolica, una tecnica di test che fa capire quali cammini del programma sono eseguiti e la” strumentazione di codice” per analizzare come raccordare le parti del codice con i comportamenti che il codice esprime (è una tecnica di reverse engineering).
Che tipo di attività di ricerca effettua sulla minaccia e dove svolge le sue ricerche?
Tutto si svolge nell’ISWATLAB che oggi comprende dieci ricercatori ma che è nato dieci anni fa come laboratori di analisi malware per identificazione e classificazione e poi è evoluto negli anni con diversi interessi e rami di ricerca. Oggi effettuiamo ricerche in ambito blockchain, sull’uso della AI per la Threat Intelligence e la protezione delle info sensibili. Abbiamo collaborazioni i con aziende e centri di ricerca nel mondo: Califonia, Svizzera, Olanda. Il nome ISWATLAB è composto da “I” come “Information” e “SWAT” che è la squadra di assalto americana. Volevamo distinguerci come squadra di protezione delle informazioni. Attualmente siamo finanziati da una azienda di sicurezza per due dottorati di ricerca proprio su IoT security per realizzare dei motori che usano tecniche di AI per studiare l’incident handling guardando all’intero ecosistema di IoT nel settore di interesse. Dato un insieme di IoT cooperanti vorremmo riuscire a risalite alla causa dell’incidente e alla postura di sicurezza verificando che le policy siano rispettate e arrivare alla generazione dei casi di test per la sicurezza.
