Abbiamo parlato spesso di un'evidenza tenuta in scarsa attenzione sia da utenti che, purtroppo, dai vendor: parliamo del fatto che, al diffondersi sempre più massivo di dispositivi IoT, non è seguito di pari passo un trend di messa in sicurezza degli stessi e non si è visto neppure un aumento generale di consapevolezza, in termini di rischi, dei milioni di utenti che ne fanno uso.
L'avvento dei dispositivi IoT ha determinato un vero e proprio balzo in avanti, ad esempio, del numero di attacchi DDoS registrati rispetto a pochi anni fa e ha ampliato moltissimo i vettori di attacco: i dispositivi IoT mancano di potenza sufficiente per dare vita ad attacchi massivi, ma gli attaccanti hanno semplicemente puntato ad aumentare il numero di quelli infetti. Recentemente abbiamo riproposto il problema, parlando di botnet: lo scorso mese infatti abbiamo parlato della famigerata botnet Mirai, responsabile di migliaia attacchi DDoS e massive campagne di spam. La botnet Mirai, vive esiste e si nutre di bot che altro non sono che centinaia di migliaia di dispositivi IoT vulnerabili o protetti con credenziali deboli.
Insomma, i dispositivi IoT sono diventati l'anello debole della catena della cyber security e ciò è ormai talmente manifesto da aver spinto l'ENISA (European Union Agency for Cybersecurity) ad emanare specifiche linee guida in materia di sicurezza dei dispositivi IoT, allo scopo di sensibilizzare sul problema e fornire utili spunti per minimizzare i rischi.
Il report "Guidelines for Securing the Internet of Things" (consultabile qui in lingua inglese) mira a stabilire una catena di distribuzione sicura "attraverso" l'ecosistema IoT, fornendo indicazioni specifiche relative alle principali sfide alla cyber sicurezza riscontrate nel mondo IoT, dalla produzione fino all'utilizzo da parte del cliente finale. Partendo, purtroppo, da due dati di fatto assodati da studi e dati, ovvero la presenza, nella catena di approvvigionamento, di componenti e fornitori di terze parti non attendibili e la difficoltà nella gestione e risoluzione di vulnerabilità che affliggono componenti di terze parti. Ecco quindi che il report analizza tutte le varie fasi del processo di sviluppo degli IoT analizzandoli con una specifica lente: la loro cyber sicurezza. Alla panoramica, va detto piuttosto fosca, tratteggiata nel report, seguono e conseguono due "macro" indicazioni specifiche, partendo dall'assunto che la sicurezza non riguarda soltanto il prodotto finito, ma l'intero processo che riguarda un prodotto:
- la sicurezza deve essere integrata: la sicurezza deve integrarsi a tutti i livelli delle organizzazioni;
- principio di security by design: ovvero la necessità che, oltre ai requisiti funzionali, progettazione, sviluppo e realizzazione tengano in considerazione anche la sicurezza. Un principio generale certo, ma che nei fatti può condurre, se tenuto in debita considerazione nel processo produttivo e distributivo, ad una drastica riduzione delle vulnerabilità sfruttabili da cyber attaccanti.
1. Attacco fisico (deliberato / intenzionale)
- sabotaggio: delle componenti e dei software integrati;
- mercato grigio: smaltimento e disattivazione dei dispositivi fuori da canali legali e preposti;
- sfruttamento di falle della sicurezza fisica.
2. Perdita di proprietà intellettuale
- furto di proprietà intellettuale, cioè furto del design del prodotto o delle modalità di produzione della componentistica;
- ingegneria inversa, per ottenere il codice sorgente dai binari, per ottenere una più profonda conoscenza della parte hardware ecc... E' simile al furto di proprietà intellettuale, ma prevede l'ottenimento di informazioni su un dato prodotto tramite studio, da parte di attaccanti che non hanno accesso alla catena produttiva, del comportamento finale del dispositivo. Così sono individuate e rese pubbliche, ad esempio, le vulnerabilità di un dispositivo, così vengono programmate le backdoor dei firmware;
- sovrapproduzione e clonazione: nel primo caso si intende la produzione, da parte di terzi, oltre i limiti stabiliti dal contratto di un prodotto sulla base di design e informazioni che sono stati condivisi volontariamente dal legittimo proprietario.
3. Attività malevola e abusi
- attacco con campi magnetici: molto semplicemente, l'esposizione del dispositivo ad un campo magnetico. Tale attacco può corrompere l'unità di memoria del dispositivo: possibili conseguenze sono Denial of Servce (DoS) e furto dati sensibili;
- inserimento di malware e exploit delle interfacce di debug;
- manomissioni e contraffazioni.
4. Rischi legali, ovvero tutte le conseguenze dovute ad eventuale non conformità del dispositivo a standard e regolamenti.
5. Danni e perdita di informazioni non volontarie:
- compromissione della rete, conseguenti ad attacchi mirati, che potrebbero determinate DoS su larga scala e degradamento delle operazioni dell'intera catena di approvvigionamento;
- uso dei fattori di autenticazione di fabbrica o derivanti da informazioni facilmente ottenibili (ad esempio l'indirizzo MAC);
- disfunzioni o interruzioni del software o dell'hardware del dispositivo;
- errori dell'utente,
- disfunzionalità e falle dei servizi in cloud;
- utilizzo di sistemi e dispositivi non patchati;
- attacchi lungo il processo di produzione, ovvero contro gli stabilimenti di produzione dei semiconduttori, dei componenti, nell'assemblaggio dei componenti e dei software integrati.
A fronte di tutti questi rischi, per la cui trattazione dettagliata rimandiamo direttamente al report originale, ecco i principali 10 trend del cyber crime elencati dall'ENISA nel documento:
1. Continua espansione della superficie di attacco;
2. il post covid-19 (sia in ambito lavorativo che privato) sarà maggiormente dipendente dalla tecnologia rispetto al recente passato; economia e società saranno maggiormente dipendenti dalla cyber sicurezza;
3. l'uso di piattaforme social per attacchi mirati è ormai una tendenza molto seria, che passa dall'uso di IoT compromessi;
4. sempre più spesso gli attaccanti organizzano attacchi mirati e persistenti su dati di alto valore: gli attacchi massivi "alla cieca" hanno perso appeal;
5. attacchi distribuiti in modo massiccio hanno sempre più breve durata e sono sempre più mirati al furto di credenziali;
6. la motivazione principale di attacco informatico resta quella finanziaria;
7. il ransomware è un tipo di malware sempre più diffuso e sempre più costoso per le aziende;
8. ancora troppi incidenti o violazioni della cyber sicurezza rimangono non individuati e richiedono troppo tempo per essere rilevati ed affrontati;
9. automatizzare la sicurezza porterà le aziende ad investire ed utilizzare sempre più la Cyber Threat Intelligence;
10. il numero di vittime di phishing è in continua crescita, a ribadire che anche le risorse umane sono un anello debole della catena.
Per approfondire > ENISA Good practices for IoT and Smart Infrastructures Tool
Nessun commento:
Posta un commento