Come riconoscere l’attacco ad un dispositivo IoT?

Come riconoscere l’attacco ad un dispositivo IoT?

Nel precedente articolo abbiamo dato una panoramica generale dei dispositivi IoT e delle principali minacce per la loro sicurezza. In questo articolo analizzeremo alcune sfide che il mondo IoT si trova ad affrontare, cercheremo di capire se e come è possibile riconoscere un attacco ad un dispositivo IoT ed infine daremo dei consigli su come mettere in sicurezza questi dispositivi.

Indice degli argomenti:

  1. Qual è la superficie di attacco dei dispositivi IoT?
  2. Come riconoscere l’attacco a un dispositivo IoT?
  3. Come mettere in sicurezza i dispositivi IoT?

Secondo il progetto OWASP (Open Web Application Security Project) IoT, tutti i dispositivi IoT presentano potenziali vulnerabilità come password deboli e altre impostazioni di sicurezza predefinite non sicure, mancanza di crittografia durante la comunicazione in rete e gestione errata (o inesistente) dei dispositivi da parte dell’utente.

A causa di queste vulnerabilità, molti dispositivi IoT sono sorprendentemente facili da attaccare.


Qual è la superficie di attacco dei dispositivi IoT?

In qualsiasi tipo di attacco (malware o altro), l’attaccante deve colpire una superficie di attacco che è definita tradizionalmente come la somma di tutti i possibili punti di penetrazione di una rete (vettori di attacco). La definizione di superficie di attacco nel contesto IoT si estende e va oltre i soli punti di ingresso, includendo tutte le possibili vulnerabilità di sicurezza per i dispositivi IoT.

Di seguito è riportato un riepilogo della superficie di attacco tipica dell’IoT:

  • Dispositivi: i dispositivi possono essere il mezzo principale con cui vengono avviati gli attacchi. Le parti di un dispositivo da cui possono provenire le vulnerabilità sono la memoria, il firmware, l’interfaccia fisica, l’interfaccia web e i servizi di rete. Gli hacker possono inoltre sfruttare le impostazioni predefinite, componenti obsoleti e meccanismi di aggiornamento non sicuri.
  • Protocolli di comunicazione: i protocolli utilizzati nei sistemi IoT possono presentare problemi di sicurezza e mettere a rischio un intero sistema IoT.
  • Software/Firmware: un attaccante può utilizzare più vettori come l’acquisizione di file di aggiornamento tramite connessioni non cifrate, oppure può falsificare un aggiornamento e forzare il download di un aggiornamento malevolo tramite DNS hijacking.

Come riconoscere l’attacco a un dispositivo IoT?

Monitorare la rete è il tipico metodo per cercare di rilevare potenziali attacchi contro i dispositivi collegati alla rete, inclusi i dispositivi IoT. Nel panorama industriale, infatti, esiste un certo grado di consapevolezza dei rischi legati all’IT e di conseguenza vengono implementati relativi programmi di sicurezza.

Per quanto riguarda l’Operational Technology (OT – hardware e software per il monitoraggio e/o controllo diretto di apparecchiature, asset e processi industriali come PLC e SCADA) e i dispositivi IoT industriali, tuttavia, gli strumenti per il monitoraggio delle minacce sono inadeguati. Le tecniche tradizionali di rilevamento infatti spesso trascurano o non sono in grado di rilevare accuratamente i dispositivi IoT che quindi può capitare non vengano nemmeno registrati durante gli inventari.

Monitorare significa cercare comportamenti e attività sospette sulla rete. Questo insieme di strumenti e tecniche, tuttavia, può non essere in grado di rilevare accuratamente le minacce e gli attacchi ai dispositivi IoT. Ad esempio, alcuni attacchi contro i dispositivi IoT si verificano a livello di codice del controller, firmware o configurazioni del dispositivo, che un normale monitoraggio di rete non è in grado di rilevare.

Per quanto riguarda i dispositivi IoT che abbiamo nelle nostre case il monitoraggio della rete può essere più efficace nel riconoscere eventuali attacchi.

Infatti, se notiamo uno dei seguenti comportamenti, potrebbe essere in corso un attacco:

  • Una impennata consistente del traffico Internet mensile
  • Una bolletta Internet molto più cara del solito (se abbiamo un piano Internet flessibile)
  • I dispositivi diventano lenti o inutilizzabili
  • Query DNS (Domain Name Service) insolite
  • Connessione Internet (domestica o aziendale) estremamente lenta

Come mettere in sicurezza i dispositivi IoT

Indipendentemente dalla scala o dal tipo di ambiente in cui è integrato un sistema IoT, la sicurezza dovrebbe essere considerata sin dalla fase di progettazione in modo da integrarla meglio con ogni aspetto del sistema. In questo modo, un sistema IoT, dai suoi singoli dispositivi alla sua configurazione complessiva, può essere personalizzato ed essere sia funzionale che sicuro.

Come si è detto, tuttavia, è difficile progettare e creare un dispositivo dalle risorse limitate che sia affidabile e sicuro, in grado di connettersi a una rete wireless, utilizzare pochissima energia e soprattutto essere economico.

Di seguito, alcuni consigli da tenere a mente:

  • Ogni dispositivo connesso alla rete dovrebbe essere configurato tenendo conto della sicurezza. Questo significa ad esempio che bisognerebbe sempre cambiare le password di default e impostarne una sicura. Ricordiamo che nel 2016 quando il malware Mirai infettò centinaia di migliaia di dispositivi IoT, lo fece non con complicati exploit ma semplicemente cercando su Internet dispositivi con credenziali di default.
  • Aggiornare il firmware dei dispositivi in modo che siano protetti dalle vulnerabilità note.
  • Irrobustire la sicurezza del Wi-Fi. Alcuni modi per farlo: disabilitare il WPS, abilitare il protocollo di sicurezza WPA2 (se non è già impostato di default) e utilizzare una password sicura per l’accesso.
  • Nelle reti domestiche, soprattutto se si usano dispositivi IoT che sono già stati oggetto di attacchi, come le telecamere IP, sarebbe consigliabile tenerle in LAN e connettersi da remoto solo via VPN. Inoltre andrebbero tenuti d’occhio i punti indicati al paragrafo precedente (come velocità di connessione e consumo Internet) in modo da essere sempre consapevoli dello stato di salute della rete.

Le aziende dovrebbero comunque sempre essere consapevoli del fatto che non esiste una difesa perfetta. È fondamentale quindi cercare di prevenire gli attacchi, considerando però il fatto che le minacce sono purtroppo sempre in evoluzione ed è quindi utile avere anche dei protocolli di mitigazione in grado di contenere e ridurre significativamente le conseguenze nel caso in cui un attacco vada a buon fine.

Conclusioni
Oltre a cercare di implementare le migliori pratiche di sicurezza, è anche importante essere sempre al passo con i tempi e aggiornati sulle nuove tecnologie. Sarà importante, adesso e nel prossimo futuro, continuare a fare ricerca su come proteggere al meglio certi settori specifici, monitorare le minacce relative all’IoT e prepararsi per gli importanti cambiamenti che il 5G sicuramente porterà.

L’IoT è un settore attivo, dinamico e in via di sviluppo, di conseguenza anche la sua sicurezza dovrà essere sempre pronta a trasformarsi e adattarsi.

Dgroove offre Corsi di Formazione Professionale per tutte le aziende che intendono migliorare i livelli di sicurezza della propria Computer Security. Contattaci per scoprire il percorso di trasformazione digitale più adatto alle tue necessità.