Come la Internet of Things ha reso la nostra esistenza meno sicura

1. La (in)sicurezza
nell'era della IoT
Come la
Internet of Things
ha reso la nostra esistenza
meno sicura
Massimo Giaimo aka fastfire
fastfire@fastfire.org

2. disclaimer
I contenuti di questa presentazione non violano
alcuna proprietà intellettuale e non sono in
contrasto con la vigente legislazione.
Parte del materiale utilizzato è liberamente
tratto e rielaborato da una serie di fonti
autorevoli, tutte puntualmente citate.
I marchi appartengono ai rispettivi proprietari.
Le opinioni qui espresse sono esclusivamente
quelle dell'autore.

3. # whoami
Responsabile Area Information Technology presso
SIBT (Servizi Informatici Bancari Trentini)
Blogger (www.fastfire.org)
I marchi appartengono ai rispettivi proprietari.
Involved/Certified

4. Cos'è l'Internet of Things?
Fino a poco tempo fa parlavamo solo della “rete
delle reti”, di Internet: router, server,
stampanti…
Da qualche anno i produttori mondiali stanno
lavorando ad un obiettivo: connettere ad
Internet qualsiasi cosa, secondo il paradigma
per cui “Ogni oggetto che potrà essere
connesso, lo sarà”.

5. Ma dove sono questi oggetti?
Sono già “tra noi”… in ciò che...
facciamo
mangiamo
indossiamo
usiamo per muoverci, viaggiare
leggiamo
scriviamo
diciamo

7. Ma quanti sono questi oggetti?
Nel 2008 il numero di oggetti connessi ha superato il numero di
persone.
Nel 2020 si stima ci saranno 50 miliardi di oggetti connessi.
http://blogs.cisco.com/wp-content/uploads/internet_of_things_infographic_3final.jpg

8. Mondo consumer

9. Mondo SCADA/ICS
http://www.tenable.com/plugins/index.php?view=all&family=SCADA

10. Mondo Corporate
●
Controllo accessi
●
Telecamere di sicurezza
●
Dispositivi accesso
hotel
●
Domotica
●
Stampanti all-in-one
●
Telefoni (voip)

11. Dispositivi medici
●
Pacemakers
●
Risonanza magnetica
●
Dosaggio insulina
●
Robot chirurgici
●
Sistemi di monitoraggio
●
Analisi di laboratorio

12. Anche le mucche sono smart?
http://blogs.cisco.com/diversity/the-internet-of-things-infographic

13. Smart City
INFRASTRUTTURE
TRASPORTI
RILEVAZIONE CRIMINE
SALUTE
MONITORAGGIO
SICUREZZA
ISTRUZIONE
E-GOVERNANCE
ENERGIA

14. E se le macchine si ribellassero?

15. Tralasciando la singolarità,
ancora lontana...
… l'errore (ed il pericolo)
è sempre…
UMANO!

16. Ma cosa succederebbe se
qualcuno...
prendesse il controllo del vostro
pacemaker?
prendesse il controllo della vostra
auto?
prendesse il controllo di un robot
chirurgico?
prendesse il controllo di una
centrale idrica o elettrica?
prendesse il controllo dei
semafori di una grande città?
spiasse i vostri bambini mentre
dormono?

17. FORSE NO!
MISSIONE IMPOSSIBILE?

18. E' già accaduto! Vediamo
insieme qualche caso!
Ma vediamo prima cosa ne
pensano i media...

20. Dai frigorigeri che spammano...
Alla Defcon Conference 2015,
una delle più importanti
conferenze mondiali riguardanti
la sicurezza informatica, è stato
dimostrato come sia possibile
rubare le credenziali di
accesso Gmail, sfuttando una
vulnerabilità presente nella
gestione della validazione dei
certificati ssl utilizzati dal
software di gestione di un
frigorifero Samsung.
https://www.pentestpartners.com/blog/hacking-defcon-23s-iot-village-samsung-
fridge/

21. …ai televisori che condividono...
Nel 2014 è stato un hacker
italiano, Luigi Auriemma, a
scoprire una vulnerabilità presente
nelle Smart TV Philips, che
consente di violare il televisore ed
avere accesso alla maggior parte
delle informazioni (cookie di
autenticazione Gmail, dati presenti
su una chiavetta usb collegata alla
tv) in esso contenute utilizzando
la password di default del sistema
Miracast, che dà la possibilità di
trasferire contenuti da
smartphone e tablet.
http://revuln.com/files/Ferrante_Auriemma_SmartTV_Insecurity.pdf e
https://vimeo.com/55174958

22. … dal controllo dei baby monitor...
http://arstechnica.com/security/2015/09/9-baby-monitors-wide-open-to-hacks-that-
expose-users-most-private-moments
http://attivissimo.blogspot.it/2016/01/bimbo-dice-di-sentire-le-voci-di-notte.html?m=1
Nel settembre 2015 sono state
scoperte vulnerabilità
(password di default, traffico
non cifrato, frequenze
“simili”...) su 9 diversi modelli di
baby monitors, che
consentirebbe ad un potenziale
attaccante di prenderne il
controllo.
A inizio 2016 coppia di genitori
USA spaventati dal fatto che il
loro bambino di notte “sentiva
le voci”… era vero!

23. …ai semafori intelligenti...
http://theconversation.com/traffic-light-hacking-shows-the-internet-of-things-must-come-
with-better-security-30803
https://jhalderm.com/pub/papers/traffic-woot14.pdf
Ad agosto 2014 un gruppo di
ricercatori ha pubblicato un
report nel quale si dimostra la
possibilità di prendere il
controllo di circa 100
semafori di Michigan City.
Tutto questo utilizzando un pc
portatile e grazie al fatto che i
segnali radio necessari alla
comunicazione tra i diversi
semafori erano aperti e non
criptati. Inoltre le credenziali
erano quelle di default,
facilmente recuperabili in
Internet.

24. …dalla cassaforte(debole)...
http://www.wired.com/2015/07/brinks-super-secure-smart-safes-not-secure/
A luglio 2015 due ricercatori
della Bishop Fox hanno
scoperto una vulnerabilità
riguardante la cassaforte
“CompuSafe Galileo”, che
consente a chiunque abbia
accesso fisico alla cassaforte di
poterne aprire liberamente la
porta, prelevando a propria
discrezione ciò che dovrebbe
essere al sicuro. Lo script
utilizzato come exploit è stato
caricato attraverso la porta USB
della cassaforte, avente come
sistema operativo Windows XP.

26. …al ferro da stiro spione...
http://thehackernews.com/2013/11/russia-finds-spying-microchips-planted_1.html
Ancora nel 2013 il canale russo
Rossiya 24 ha mostrato le
immagini di un ferro da stiro di
fabbricazione cinese,
equipaggiato con microchip
utilizzato per spiare
l'ambiente circostante e con
la capacità di collegarsi ad
eventuali reti wifi non protette
nell'arco di 200 metri.

27. Facciamo un giro in jeep?
https://blog.kaspersky.com/blackhat-jeep-cherokee-hack-explained/9493/
http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
A luglio 2015 Charlie Miller e
Chris Valasek dimostrano la
possibilità di prendere il
controllo remoto di una Jeep
Cherokee, manipolando i freni,
il sistema di controllo
(Uconnect), il climatizzatore, la
radio.
A causa di questa vulnerabilità
la Fiat Chrysler è stata costretta
a richiamare 1,4 milioni di
vetture per aggiornarne la
componente software.

28. Infrastrutture critiche
http://www.eenews.net/stories/1060025871
E' di ottobre 2015 la notizia che
alcuni esperti hanno violato le
difese di un'azienda pubblica di
fornitura di energia ed acqua, in
soli 22 minuti. Questa azione
ha dimostrato come anche
infrastrutture critiche come
centrali elettriche o idriche
siano vulnerabili a possibili
attacchi.

29. Infrastrutture critiche
http://blog.ptsecurity.com/2015/10/industrial-control-system-security-in.html
Un recente (ottobre 2015)
studio di Positive Technologies
ha rivelato l'esistenza di più
15000 sistemi ICS (Industrial
Control System)
potenzialmente vulnerabili. In
Italia non siamo sicuramente
esenti dal problema, come si
può dedurre dal grafico.

30. Infrastrutture critiche
http://attivissimo.blogspot.it/2016/02/mini-centrale-idroelettrica-francese.html
A febbraio 2016 è stato
scoperto che una mini-centrale
elettrica di Tolosa, Francia, è
stata collegata in internet con
un accesso vnc senza alcuna
protezione. Per giorni alcune
persone si sono “divertite” a
cliccare sui comandi della
centrale...

31. Però all'ospedale sono al sicuro!(?)
http://www.theregister.co.uk/2015/09/29/thousands_of_directly_hackable_hospital_devices
_found_exposed/
All'ultima conferenza DerbyCon,
negli USA, due ricercatori, Scott
Erven e Mark Collao, hanno
individuato un'organizzazione che
espone migliaia di apparecchiature
mediche connesse in rete e
vulnerabili. Sono stati trovati i
seguenti device:
21 in anestesia
488 in cardiologia
67 in medicina nucleare
133 sistemi di infusione
31 pacemakers
97 MRI (risonanza magnetica)

32. Giochiamo al dottore (uno)?
http://gizmodo.com/medical-robots-can-be-hacked-during-surgery-researcher-1700143736
Ad aprile 2015 alcuni ricercatori
dell'università di Washington
hanno preso il controllo di un
robot chirurgico (modello
Raven II) attraverso internet e
hanno dimostrato la possibilità
di far compiere al robot
qualsiasi movimento. Inoltre
la diretta dell'intervento era
pubblicamente accessibile!

33. Giochiamo al dottore (due)?
http://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/
A giugno 2015 il ricercatore
Billy Rios ha trovato delle
vulnerabilità nei sistemi di
infusione della “Hospira
Lifecare”, sfruttando le quali è
possibile:
- alterare le dosi di farmaco
grazie a librerie software prive
di autenticazione
- aggiornare il firmware dei
dispositivi grazie a password
“hardcoded” e in plain text nel
software di gestione MedNet

34. Giochiamo al dottore (tre)?
http://www.computerworld.com/article/2473402/cybercrime-hacking/pacemaker-hacker-
says-worm-could-possibly--commit-mass-murder-.html
Nell'ottobre 2012 il security
researcher Barnaby Jack
dimostra la possibilità di inviare
una scarica da 830 volt ad un
pacemaker, in grado di
uccidere una persona situata
a 10 metri di distanza, solo
grazie ad un notebook ed un
firmware modificato.
Questa tipologia di attacco è
stata ripresa anche in una
puntata di Homeland.

35. Qualcuno lo ha preso sul serio...
https://nakedsecurity.sophos.com/2013/10/22/doctors-disabled-wireless-in-dick-cheneys-
pacemaker-to-thwart-hacking/

36. Qualcuno lo ha preso molto sul serio...
Barnaby Jack in una
famosa demo alla
Black Hat Conference
del 2010 dimostrò
come fosse possibile
exploitare gli ATM...
Una settimana prima della Black Hat Conference 2013, dove
avrebbe dovuto dimostrare la vulnerabilità relativa al
pacemaker, il ricercatore dichiarò in un'intervista che “ci
sarebbero potute essere conseguenze letali”.
http://www.reuters.com/article/us-hacker-death-idUSBRE96P0K120130727

37. E la sicurezza?
Le vulnerabilità sono ovunque...

39. Il Rapporto ClusIT
Se non ci credete leggete il rapporto
ClusIT. Il ClusIT è una delle più
importanti associazioni sulla sicurezza
informatica (sicuramente la più
importante in Italia). Annualmente
pubblica un rapporto sulla sicurezza
ICT.
Solo in Italia nel 2014 i danni derivanti
da attacchi informatici sono stati
stimati in 9 miliardi di euro.
E' possibile richiedere una copia in
formato pdf del rapporto ClusIT.
Per maggiori informazioni:
https://clusit.it/rapportoclusit/

40. Cosa emerge?
Non importa chi sei
Non importa cosa fai
Non importa con cosa lo fai
Ti attaccheranno

41. Attaccheranno proprio me? Ma
dai!!!!
Criminalità organizzata
Quasi mai un target preciso
Botnet (anche ad affitto)
Spam, phishing, spit, vishing, DDOS
Search pass.txt, creditcard.pdf,...

42. Saper fare affari...
Fonte: Rapporto ClusIT 2016

43. Global Risk Landscape

44. OWASP IoT Top 10
La OWASP Foundation
ha pubblicato la lista
delle 10 vulnerabilità
maggiormente
individuate nei
dispositivi della
Internet Of Things.
https://www.owasp.org/images/8/8e/Infographic-v1.jpg
https://www.owasp.org/images/7/71/Internet_of_Things_Top_Ten_2014-OWASP.pdf

45. OWASP IoT Top 10
DEFAULT CREDENTIAL
REVERSE ENGINEERING
BACKDOOR
CSRF
SQLi
XSS
REMOTE CODE INJECTION
HARDCODED PASSWORD
PLAIN TEXT PASSWORD
NO SSL
ACCESSO FISICO

46. Un esempio di backdoor: Joel's
Nel 2013 Craig Heffner scopre una vulnerabilità sui router
con marchio D-LINK.
Ricostruendo una funzione nella richiesta che viene
effettuata dal browser e cambiando il valore di User-Agent
in “xmlset_roodkcableoj28840ybtide” è possibile
accedere all'interfaccia amministrativa del router senza la
necessità di inserire credenziali di autenticazione.
La stringa non è altro che “edit by 04882 joel backdoor”
scritta al contrario. Eccesso di zelo da parte di qualche
programmatore...

47. Un esempio di backdoor: Joel's
http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/

48. Propaganda
http://www.htxt.co.za/2016/03/29/hack-pushes-racist-message-to-30000-printers/
Metti la stampante in rete e...

49. Il prossimo obiettivo?

50. Il prossimo obiettivo?
Alcuni ricercatori di IOActive hanno
già scoperto diverse vulnerabilità nei
software dei sistemi satellitari
sviluppati dalle compagnie inglesi
Cobham e Inmarsat.
Le vulnerabilità non sono state rese
note, ma possiamo immaginare cosa
succederebbe se qualche
organizzazione criminale riuscisse a
mettere le mani su quei dati,
considerando cosa controllano oggi i
satelliti:
traffico aereo
comunicazioni e spostamenti
(droni…) militari
trasmissioni televisive
http://www.theguardian.com/technology/2014/apr/17/military-satellite-system-vulnerable-hacking

51. Il prossimo obiettivo?
Alla conferenza DEFCON 2015 il
ricercatore Ryan Satterfield,
dell'azienda di sicurezza Planet Zuda,
ha dimostrato come sia facilmente
sfruttabile una vulnerabilità
presente sul modello di drone Parrot
AR, uno dei più diffusi sul mercato.
Utilizzando esclusivamente un
notebook ed uno smartphone, ha
preso il controllo del drone e lo ha
letteralmente fatto precipitare a
terra.
Pensiamo che oggi i droni vengono
abitualmente utilizzati nelle grandi
manifestazioni...
http://www.wired.co.uk/news/archive/2015-08/19/drone-hack-defcon

52. C'è una guerra
la fuori e non
la vincerà chi
ha più
pallottole

53. Vincerà chi:
ha più informazioni
e
saprà difendere la proprie

55. Chi conosce la
Google Dashboard
?
E ne abbiamo da difendere...

56. … ma non vediamo l’ora di
farle sapere a tutti!

57. Ramsomware e l'IoT

58. Cryptolocker

59. Scenario 1:
prendo il controllo dei dispositivi che
gestiscono la centrale elettrica della
tua città e ti chiedo un riscatto...

60. Scenario 2:
cripto i dati dei PC che gestiscono i
dati dei tuoi pazienti. Se non paghi
entro 24 ore i tuoi dati saranno persi
per sempre...

61. IoT che possiamo trovare (cercare?)

62. IoT che possiamo trovare (cercare?)

63. IoT che possiamo trovare (cercare?)

64. IoT che possiamo trovare (cercare?)

65. IoT che possiamo trovare (cercare?)

66. IoT che possiamo trovare (cercare?)

67. IoT che possiamo trovare (cercare?)

68. Cose da “smanettoni”?

69. No! Estremamente semplice...

70. No! Estremamente semplice...
Possiamo selezionare la nazione, la città, la tipologia di
servizi esposti… et voilà!

71. Shodan: chi cerca trova!

72. Shodan: chi cerca trova!
category:”ics” country “IT”
port:”10000” country”IT”
dreambox city:”Trento”
net:”109.205.106.120/29”
default password country:”IT”

73. Troppo pigri per cercare?

74. Prossimamente sul mercato!
Rileva la presenza della persona e apre automaticamente
il coperchio, emette da sola il deodorante, scarica
l'acqua, emette brani musicali “stimolanti”...
Peccato che l'applicazione Android che dovrebbe gestirla
presenta un PIN unico “hardcoded” (0000) per instaurare la
connessione Bluetooth con qualsiasi wc.
http://www.webnews.it/2013/08/06/anche-le-smart-toilet-sono-vulnerabili/

75. Cosa dobbiamo aspettarci dal futuro?
http://www.mckinsey.com/business-functions/business-technology/our-insights/
the-internet-of-things-the-value-of-digitizing-the-physical-world

76. Cosa dobbiamo aspettarci dal futuro?
http://www.hotforsecurity.com/blog/us-intelligence-chief-the-internet-of-things-will-be-used-to-
spy-and-hack-13400.html

78. Quindi?
MERCATO ACERBO
VELOCITA’ ESPANSIONE
SEC BY DESIGN
MERCATO TOTALE
PATCH DIFFICILI

79. Security by design: analogia

80. Quindi?
SONO CONSAPEVOLE?
MI PONGO DOMANDE?
HO RESPONSABILITÀ?
OBBLIGHI LEGALI

82. Consigli (base) utili
PENSA, POI ACQUISTA
LEGGI, POI ACQUISTA
NUOVO=(SPESSO) BUGGATO
QUALI DATI?

83. Consigli (tecnici) utili:
STRONG PASSWORD
NO DEFAULT PASSWORD
WIFI ENCRYPTION
ACCESSO REMOTO

84. Consigli (tecnici) utili:
WIFI O WIRED?
AGGIORNAMENTI
IMPOSTAZIONI PRIVACY
FUNZIONALITÀ (IN)UTILI
BACKUP

85. Grazie mille per
l'attenzione!
Domande?
Questionario di gradimento:
https://it.surveymonkey.com/r/6KB9JRX
Mail: fastfire@fastfire.org
Twitter: @fastfire
Blog: www.fastfire.org
Download slides:
http://www.slideshare.net/MassimoGiaimo/la-
insicurezza-nellera-della-iot
The slides are written by Massimo Giaimo and are subjected to Creative
Commons Attribution-ShareAlike 3.0 Unported (CC BY-SA 3.0). You are free to
copy, distribute, transmit, adapt, sell the work under the following conditions:
Attribution – You must cite the Author. Share alike – If you alter, transform, or
build upon this work, you mai distribute the resulting work only under the
same or similar license to this one.