1. La (in)sicurezza
nell'era della IoT
Come la
Internet of Things
ha reso la nostra esistenza
meno sicura
Massimo Giaimo aka fastfire
fastfire@fastfire.org
2. disclaimer
I contenuti di questa presentazione non violano
alcuna proprietà intellettuale e non sono in
contrasto con la vigente legislazione.
Parte del materiale utilizzato è liberamente
tratto e rielaborato da una serie di fonti
autorevoli, tutte puntualmente citate.
I marchi appartengono ai rispettivi proprietari.
Le opinioni qui espresse sono esclusivamente
quelle dell'autore.
3. # whoami
Responsabile Area Information Technology presso
SIBT (Servizi Informatici Bancari Trentini)
Blogger (www.fastfire.org)
I marchi appartengono ai rispettivi proprietari.
Involved/Certified
4. Cos'è l'Internet of Things?
Fino a poco tempo fa parlavamo solo della “rete
delle reti”, di Internet: router, server,
stampanti…
Da qualche anno i produttori mondiali stanno
lavorando ad un obiettivo: connettere ad
Internet qualsiasi cosa, secondo il paradigma
per cui “Ogni oggetto che potrà essere
connesso, lo sarà”.
5. Ma dove sono questi oggetti?
Sono già “tra noi”… in ciò che...
facciamo
mangiamo
indossiamo
usiamo per muoverci, viaggiare
leggiamo
scriviamo
diciamo
6.
7. Ma quanti sono questi oggetti?
Nel 2008 il numero di oggetti connessi ha superato il numero di
persone.
Nel 2020 si stima ci saranno 50 miliardi di oggetti connessi.
http://blogs.cisco.com/wp-content/uploads/internet_of_things_infographic_3final.jpg
16. Ma cosa succederebbe se
qualcuno...
prendesse il controllo del vostro
pacemaker?
prendesse il controllo della vostra
auto?
prendesse il controllo di un robot
chirurgico?
prendesse il controllo di una
centrale idrica o elettrica?
prendesse il controllo dei
semafori di una grande città?
spiasse i vostri bambini mentre
dormono?
18. E' già accaduto! Vediamo
insieme qualche caso!
Ma vediamo prima cosa ne
pensano i media...
19.
20. Dai frigorigeri che spammano...
Alla Defcon Conference 2015,
una delle più importanti
conferenze mondiali riguardanti
la sicurezza informatica, è stato
dimostrato come sia possibile
rubare le credenziali di
accesso Gmail, sfuttando una
vulnerabilità presente nella
gestione della validazione dei
certificati ssl utilizzati dal
software di gestione di un
frigorifero Samsung.
https://www.pentestpartners.com/blog/hacking-defcon-23s-iot-village-samsung-
fridge/
21. …ai televisori che condividono...
Nel 2014 è stato un hacker
italiano, Luigi Auriemma, a
scoprire una vulnerabilità presente
nelle Smart TV Philips, che
consente di violare il televisore ed
avere accesso alla maggior parte
delle informazioni (cookie di
autenticazione Gmail, dati presenti
su una chiavetta usb collegata alla
tv) in esso contenute utilizzando
la password di default del sistema
Miracast, che dà la possibilità di
trasferire contenuti da
smartphone e tablet.
http://revuln.com/files/Ferrante_Auriemma_SmartTV_Insecurity.pdf e
https://vimeo.com/55174958
22. … dal controllo dei baby monitor...
http://arstechnica.com/security/2015/09/9-baby-monitors-wide-open-to-hacks-that-
expose-users-most-private-moments
http://attivissimo.blogspot.it/2016/01/bimbo-dice-di-sentire-le-voci-di-notte.html?m=1
Nel settembre 2015 sono state
scoperte vulnerabilità
(password di default, traffico
non cifrato, frequenze
“simili”...) su 9 diversi modelli di
baby monitors, che
consentirebbe ad un potenziale
attaccante di prenderne il
controllo.
A inizio 2016 coppia di genitori
USA spaventati dal fatto che il
loro bambino di notte “sentiva
le voci”… era vero!
24. …dalla cassaforte(debole)...
http://www.wired.com/2015/07/brinks-super-secure-smart-safes-not-secure/
A luglio 2015 due ricercatori
della Bishop Fox hanno
scoperto una vulnerabilità
riguardante la cassaforte
“CompuSafe Galileo”, che
consente a chiunque abbia
accesso fisico alla cassaforte di
poterne aprire liberamente la
porta, prelevando a propria
discrezione ciò che dovrebbe
essere al sicuro. Lo script
utilizzato come exploit è stato
caricato attraverso la porta USB
della cassaforte, avente come
sistema operativo Windows XP.
25.
26. …al ferro da stiro spione...
http://thehackernews.com/2013/11/russia-finds-spying-microchips-planted_1.html
Ancora nel 2013 il canale russo
Rossiya 24 ha mostrato le
immagini di un ferro da stiro di
fabbricazione cinese,
equipaggiato con microchip
utilizzato per spiare
l'ambiente circostante e con
la capacità di collegarsi ad
eventuali reti wifi non protette
nell'arco di 200 metri.
27. Facciamo un giro in jeep?
https://blog.kaspersky.com/blackhat-jeep-cherokee-hack-explained/9493/
http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
A luglio 2015 Charlie Miller e
Chris Valasek dimostrano la
possibilità di prendere il
controllo remoto di una Jeep
Cherokee, manipolando i freni,
il sistema di controllo
(Uconnect), il climatizzatore, la
radio.
A causa di questa vulnerabilità
la Fiat Chrysler è stata costretta
a richiamare 1,4 milioni di
vetture per aggiornarne la
componente software.
28. Infrastrutture critiche
http://www.eenews.net/stories/1060025871
E' di ottobre 2015 la notizia che
alcuni esperti hanno violato le
difese di un'azienda pubblica di
fornitura di energia ed acqua, in
soli 22 minuti. Questa azione
ha dimostrato come anche
infrastrutture critiche come
centrali elettriche o idriche
siano vulnerabili a possibili
attacchi.
31. Però all'ospedale sono al sicuro!(?)
http://www.theregister.co.uk/2015/09/29/thousands_of_directly_hackable_hospital_devices
_found_exposed/
All'ultima conferenza DerbyCon,
negli USA, due ricercatori, Scott
Erven e Mark Collao, hanno
individuato un'organizzazione che
espone migliaia di apparecchiature
mediche connesse in rete e
vulnerabili. Sono stati trovati i
seguenti device:
21 in anestesia
488 in cardiologia
67 in medicina nucleare
133 sistemi di infusione
31 pacemakers
97 MRI (risonanza magnetica)
32. Giochiamo al dottore (uno)?
http://gizmodo.com/medical-robots-can-be-hacked-during-surgery-researcher-1700143736
Ad aprile 2015 alcuni ricercatori
dell'università di Washington
hanno preso il controllo di un
robot chirurgico (modello
Raven II) attraverso internet e
hanno dimostrato la possibilità
di far compiere al robot
qualsiasi movimento. Inoltre
la diretta dell'intervento era
pubblicamente accessibile!
33. Giochiamo al dottore (due)?
http://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/
A giugno 2015 il ricercatore
Billy Rios ha trovato delle
vulnerabilità nei sistemi di
infusione della “Hospira
Lifecare”, sfruttando le quali è
possibile:
- alterare le dosi di farmaco
grazie a librerie software prive
di autenticazione
- aggiornare il firmware dei
dispositivi grazie a password
“hardcoded” e in plain text nel
software di gestione MedNet
34. Giochiamo al dottore (tre)?
http://www.computerworld.com/article/2473402/cybercrime-hacking/pacemaker-hacker-
says-worm-could-possibly--commit-mass-murder-.html
Nell'ottobre 2012 il security
researcher Barnaby Jack
dimostra la possibilità di inviare
una scarica da 830 volt ad un
pacemaker, in grado di
uccidere una persona situata
a 10 metri di distanza, solo
grazie ad un notebook ed un
firmware modificato.
Questa tipologia di attacco è
stata ripresa anche in una
puntata di Homeland.
35. Qualcuno lo ha preso sul serio...
https://nakedsecurity.sophos.com/2013/10/22/doctors-disabled-wireless-in-dick-cheneys-
pacemaker-to-thwart-hacking/
36. Qualcuno lo ha preso molto sul serio...
Barnaby Jack in una
famosa demo alla
Black Hat Conference
del 2010 dimostrò
come fosse possibile
exploitare gli ATM...
Una settimana prima della Black Hat Conference 2013, dove
avrebbe dovuto dimostrare la vulnerabilità relativa al
pacemaker, il ricercatore dichiarò in un'intervista che “ci
sarebbero potute essere conseguenze letali”.
http://www.reuters.com/article/us-hacker-death-idUSBRE96P0K120130727
39. Il Rapporto ClusIT
Se non ci credete leggete il rapporto
ClusIT. Il ClusIT è una delle più
importanti associazioni sulla sicurezza
informatica (sicuramente la più
importante in Italia). Annualmente
pubblica un rapporto sulla sicurezza
ICT.
Solo in Italia nel 2014 i danni derivanti
da attacchi informatici sono stati
stimati in 9 miliardi di euro.
E' possibile richiedere una copia in
formato pdf del rapporto ClusIT.
Per maggiori informazioni:
https://clusit.it/rapportoclusit/
40. Cosa emerge?
Non importa chi sei
Non importa cosa fai
Non importa con cosa lo fai
Ti attaccheranno
41. Attaccheranno proprio me? Ma
dai!!!!
Criminalità organizzata
Quasi mai un target preciso
Botnet (anche ad affitto)
Spam, phishing, spit, vishing, DDOS
Search pass.txt, creditcard.pdf,...
44. OWASP IoT Top 10
La OWASP Foundation
ha pubblicato la lista
delle 10 vulnerabilità
maggiormente
individuate nei
dispositivi della
Internet Of Things.
https://www.owasp.org/images/8/8e/Infographic-v1.jpg
https://www.owasp.org/images/7/71/Internet_of_Things_Top_Ten_2014-OWASP.pdf
45. OWASP IoT Top 10
DEFAULT CREDENTIAL
REVERSE ENGINEERING
BACKDOOR
CSRF
SQLi
XSS
REMOTE CODE INJECTION
HARDCODED PASSWORD
PLAIN TEXT PASSWORD
NO SSL
ACCESSO FISICO
46. Un esempio di backdoor: Joel's
Nel 2013 Craig Heffner scopre una vulnerabilità sui router
con marchio D-LINK.
Ricostruendo una funzione nella richiesta che viene
effettuata dal browser e cambiando il valore di User-Agent
in “xmlset_roodkcableoj28840ybtide” è possibile
accedere all'interfaccia amministrativa del router senza la
necessità di inserire credenziali di autenticazione.
La stringa non è altro che “edit by 04882 joel backdoor”
scritta al contrario. Eccesso di zelo da parte di qualche
programmatore...
47. Un esempio di backdoor: Joel's
http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/
50. Il prossimo obiettivo?
Alcuni ricercatori di IOActive hanno
già scoperto diverse vulnerabilità nei
software dei sistemi satellitari
sviluppati dalle compagnie inglesi
Cobham e Inmarsat.
Le vulnerabilità non sono state rese
note, ma possiamo immaginare cosa
succederebbe se qualche
organizzazione criminale riuscisse a
mettere le mani su quei dati,
considerando cosa controllano oggi i
satelliti:
traffico aereo
comunicazioni e spostamenti
(droni…) militari
trasmissioni televisive
http://www.theguardian.com/technology/2014/apr/17/military-satellite-system-vulnerable-hacking
51. Il prossimo obiettivo?
Alla conferenza DEFCON 2015 il
ricercatore Ryan Satterfield,
dell'azienda di sicurezza Planet Zuda,
ha dimostrato come sia facilmente
sfruttabile una vulnerabilità
presente sul modello di drone Parrot
AR, uno dei più diffusi sul mercato.
Utilizzando esclusivamente un
notebook ed uno smartphone, ha
preso il controllo del drone e lo ha
letteralmente fatto precipitare a
terra.
Pensiamo che oggi i droni vengono
abitualmente utilizzati nelle grandi
manifestazioni...
http://www.wired.co.uk/news/archive/2015-08/19/drone-hack-defcon
74. Prossimamente sul mercato!
Rileva la presenza della persona e apre automaticamente
il coperchio, emette da sola il deodorante, scarica
l'acqua, emette brani musicali “stimolanti”...
Peccato che l'applicazione Android che dovrebbe gestirla
presenta un PIN unico “hardcoded” (0000) per instaurare la
connessione Bluetooth con qualsiasi wc.
http://www.webnews.it/2013/08/06/anche-le-smart-toilet-sono-vulnerabili/
75. Cosa dobbiamo aspettarci dal futuro?
http://www.mckinsey.com/business-functions/business-technology/our-insights/
the-internet-of-things-the-value-of-digitizing-the-physical-world
76. Cosa dobbiamo aspettarci dal futuro?
http://www.hotforsecurity.com/blog/us-intelligence-chief-the-internet-of-things-will-be-used-to-
spy-and-hack-13400.html
85. Grazie mille per
l'attenzione!
Domande?
Questionario di gradimento:
https://it.surveymonkey.com/r/6KB9JRX
Mail: fastfire@fastfire.org
Twitter: @fastfire
Blog: www.fastfire.org
Download slides:
http://www.slideshare.net/MassimoGiaimo/la-
insicurezza-nellera-della-iot
The slides are written by Massimo Giaimo and are subjected to Creative
Commons Attribution-ShareAlike 3.0 Unported (CC BY-SA 3.0). You are free to
copy, distribute, transmit, adapt, sell the work under the following conditions:
Attribution – You must cite the Author. Share alike – If you alter, transform, or
build upon this work, you mai distribute the resulting work only under the
same or similar license to this one.
Editor's Notes
Salute pubblica e sicurezza (servizi di emergenza e risposta alle calamità, telecamere sorveglianza, illuminazione stradale)
Monitoraggio della qualità dell'aria e dell'acqua
Rilevazione e monitoraggio crimine (sensori lettura targhe per verifica reati, presenza assicurazione)
Trasporti (automobili “connesse”, programmazione trasporto pubblico)
Gestione infrastrutture (sensori per monitorare prestazione di reti, cavidotti e tubature)
Produttività umana (lavoro in mobilità)
frigorifero Samsung (mod.RF28HMELBSR).
(password di default exploit MS08-067 [Conficker])
Barnaby Michael Douglas Jack è il security researcher che in una famosa demo alla Black Hat Conference del 2010 dimostrò come fosse possibile exploitare gli ATM, facendo in modo che restituissero banconote senza specificare un conto bancario dal quale prelevare il denaro.
Una settimana prima di una sua dimostrazione ad un'altra Black Hat Conference, dove avrebbe dovuto dimostrare la vulnerabilità che consentiva di avere il controllo remoto sul pacemaker, il ricercatore dichiarò in un'intervista alla Reuters che “ci sarebbero potute essere conseguenze letali”. Una settimana dopo “Barnes” venne trovato morto nel suo appartamento di San Francisco.
Le possiamo trovare in router, telefoni, stampanti, impianti di domotica, sistemi industriali, webcam, dispositivi medici, software di ogni genere…
Siamo ancora in una fase embrionale di sviluppo della IoT ma le vulnerabilità sono già molto gravi
I produttori non stanno facendo quanto possibile per rendere i dispositivi sicuri “by design”
Trovare le vulnerabilità è sempre più facile, non serve essere “smanettoni”
I “cattivi” sono sempre più motivati ($$$$). E' una battaglia che stiamo perdendo...
E la battaglia la stiamo perdendo a casa nostra, un ambiente che, sbagliando, riteniamo “trusted”. Un IoT device “bucato” può essere usato da ponte per arrivare sugli altri device di casa.
Le vulnerabilità più diffuse sono:
presenza di device con credenziali di autenticazione di default
pagine di autenticazione non cifrate (no ssl)
errori di programmazione con conseguenti problemi di SQLi, CSRF, XSS, Remote Code Injection
possibilità di accesso fisico ai device non protetto (es.chiavetta USB)
presenza di backdoors, spesso a livello amministrativo
password hardcoded o in plain text nel firmware
banale reverse engineering del firmware
Nulla di buono purtroppo… secondo un'analisi della società di consulenza McKinsey, l'evoluzione della Internet of Things porterà ad un business stimabile in 11000 miliardi di € nel 2025.
E quando l'interesse economico aumenta, di norma aumentano anche gli attacchi ai prodotti che lo generano. Si stima che gli “oggetti” maggiormente presi di mira saranno automobili, dispositivi medici e dispositivi indossabili (wearables).
James Clapper, direttore dell'intelligence USA, ha dichiarato che “smart devices incorporati nella rete elettrica, nei veicoli e negli elettrodomestici servono a migliorare l'efficienza, il risparmio energetico e la convenienza. Tuttavia, gli analisti del settore della sicurezza hanno dimostrato che molti di questi nuovi sistemi possono minacciare la riservatezza e l'integrità dei dati, o la continuità dei servizi. In futuro, i servizi di intelligence potrebbero utilizzare la IoT per l'identificazione, la sorveglianza, il monitoraggio, il rilevamento della posizione, l'esecuzione di targeting per il reclutamento, o per ottenere l'accesso a reti o credenziali degli utenti.”
Il primo problema è che quello dell'Internet of Things è un mercato ancora acerbo. Come la storia insegna, ogni tecnologia ha bisogno di tempo per diventare affidabile.
Il secondo problema è che questa tecnologia si sta espandendo molto più velocemente che qualsiasi altra in passato.
Inoltre il mercato sul quale appoggia questa tecnologia è ampio, verrebbe da dire quasi totale. Infatti l'Internet of Things ha la caratteristica di impattare su quasi ogni aspetto della nostra vita.
I produttori devono accordarsi per delle regole di progettazione che implichino la sicurezza “by design”.
Pensiamo al mercato automobilistico: quando acquisto una macchina non devo preoccuparmi della sua sicurezza. Do per scontato che:
se e quando serve l'airbag, funziona
quando deve entrare in funzione l'ABS, funziona
quando ho bisogno del sistema elettronico di stabilità (ESP), funziona
quando serve la cintura di sicurezza, funziona
E queste tecnologie presenti nelle nostre auto hanno una caratteristica in comune: sono attive di default.
Vorrei che anche il mio router, la mia webcam, la mia stampante, il mio smartphone, il mio smartwatch, la mia smartv avessero delle caratteristiche di sicurezza attive di default...
Ma fino a quando non sarà così, devo pensarci io, devo avere consapevolezza (awareness) di ciò che sto utilizzando.
Devo chiedermi: ho configurato il mio dispositivo al meglio delle sue possibilità, in modo tale da garantirmi la maggior sicurezza possibile?
Questo vale per ciò che acquisto io… ma per tutto il resto?
Di certo non è mia la responsabilità della sicurezza del pacemaker, della centrale idrica, del robot chirurgico o del microinfusore di insulina…
Credo che finché non ci sarà un obbligo legale, nessun produttore prenderà troppo sul serio la questione.
L'unica cosa che credo sia utile e necessaria è quella di fare formazione, di rendere consapevoli le persone dei potenziali pericoli, sperando che la tecnologia (e soprattutto l'attenzione dei produttori) evolva…
Ma alcuni consigli possono aiutare...
prima di acquistare un oggetto collegato ad internet, bisogna valutare attentamente le opinioni e le recensioni online: i pareri di chi ci è già passato sono importanti
è sconsigliato comprare le novità: aspettare nuove versioni del prodotto, che correggono le vulnerabilità delle prime versioni
riflettere su quali dati vogliamo affidare all'IoT: se abbiamo delle informazioni che riteniamo assolutamente personali, evitiamo di condividerle
prima di acquistare un oggetto collegato ad internet, bisogna valutare attentamente le opinioni e le recensioni online: i pareri di chi ci è già passato sono importanti
è sconsigliato comprare le novità: aspettare nuove versioni del prodotto, che correggono le vulnerabilità delle prime versioni
riflettere su quali dati vogliamo affidare all'IoT: se abbiamo delle informazioni che riteniamo assolutamente personali, evitiamo di condividerle
prima di acquistare un oggetto collegato ad internet, bisogna valutare attentamente le opinioni e le recensioni online: i pareri di chi ci è già passato sono importanti
è sconsigliato comprare le novità: aspettare nuove versioni del prodotto, che correggono le vulnerabilità delle prime versioni
riflettere su quali dati vogliamo affidare all'IoT: se abbiamo delle informazioni che riteniamo assolutamente personali, evitiamo di condividerle