Commento di Alessio Aceti, CEO di Sababa Security, azienda italiana di cybersecurity, in merito alle informazioni personali rubate da centinaia di telecamere installate all’interno di abitazioni e palestre in Italia.
“Oggi siamo circondati da dispositivi “smart” di vario tipo come ad esempio i citofoni smart che ci consentono di rispondere al corriere da remoto. O anche le telecamere Ip che ci permettono di monitorare comodamente dal nostro smartphone la nostra abitazione e i nostri bambini fino ad arrivare a lavatrici, caldaie, frigoriferi, domotica e sistemi di allarme che si comandano da app e attraverso internet. Il primo punto importante da prendere in considerazione è che gli utenti, così come le aziende, non sono consapevoli dei rischi legati a questi dispositivi. Oggi chiunque utilizza un pc o uno smartphone conosce in qualche modo i rischi di sicurezza anche solo per tutte le notizie che ascoltiamo ogni giorno relative ai ransomware e ad altri attacchi informatici.
È quindi molto più probabile che su questi dispositivi gli utenti installino un antivirus, utilizzino una password, impronta digitale o il phase ID, o che addirittura eseguano prontamente gli aggiornamenti – anche perché gli stessi sistemi operativi come Windows, Android e iOS mandano continue notifiche all’utente sulla necessità di aggiornare il dispositivo.
I sistemi “smart”, invece, vengono considerati dagli utenti, soprattutto quelli domestici, come oggetti “disconnessi”, che nella maggior parte dei casi vengono installati e dimenticati. Tuttavia, tutti i dispositivi sopra menzionati, incluse le telecamere, sono connessi ad internet, e al loro interno hanno un sistema operativo e un software, spesso web server. Inoltre, sono spesso integrati con altri sistemi anche in cloud. Gli attaccanti utilizzano le vulnerabilità di questi sistemi per rubare immagini, disattivare allarmi e, perché no, perpetrare attacchi DDoS verso terzi (come nel caso della botnet “Mirai” ). È quindi fondamentale ricordarsi di aggiornare questi dispositivi all’ultima versione di firmware, non pubblicarli su internet senza le dovute precauzioni, non utilizzare le credenziali offerte di default e utilizzare un’autenticazione a più fattori quando possibile.
Ma come fanno gli attaccanti a rilevare quali sono i dispositivi smart vulnerabili? Gli attaccanti utilizzano due modalità principali:
questi dispositivi IoT, se pubblicati su interne,t vengono indicizzati costantemente da “internet scanner” come ad esempio Shodan.io che scandaglia costantemente Internet alla ricerca di dispositivi pubblicati su internet. Quindi se i dispositivi non sono aggiornati, sono vulnerabili e/o utilizzano credenziali di default, il gioco è fatto per l’attaccante. Inoltre esistono liste di questi dispositivi con relative credenziali di accesso nei vari marketplace su dark/deep web.
nella maggior parte dei casi sono i sistemi del produttore di dispositivi smart o il gestore (società di gestione dei sistemi di allarme/video sorveglianza), ad essere stati compromessi attraverso un supply chain attack. In questo modo vengono compromessi in contemporanea la sicurezza di centinaia di migliaia di utenti finali.
Purtroppo non esiste una filiera formata sui cyber rischi in quanto chi installa e gestisce questi dispositivi (sistemi di allarme, sistemi di videosorveglianza, domotica ecc) è sicuramente un esperto della sua materia, ma nella maggior parte dei casi non possiede alcuna consapevolezza sui rischi cyber, per cui utilizza le stesse password su tutti i clienti, non aggiorna i dispositivi installati presso i clienti e connette i clienti alla sua centrale operativa in maniera non sicura.
Questo non è un problema che riguarda solo gli utenti privati ma anche le aziende di tutte le dimensioni. Oggi le società e i dipartimenti di cybersecurity e IT hanno a disposizione degli strumenti automatici per creare un inventario di tutti i client, server, device mobili e macchine virtuali presenti in rete, e di conseguenza mantenere questi sistemi aggiornati, mappare eventuali vulnerabilità e contenere i rischi con altri sistemi come virtual patching, IPS/IDS, regole firewall ecc.
Invece per i sistemi IoT è tutto molto complesso, spesso sono in gestione al cosiddetto “shadow IT”, ad esempio i sistemi di telecamere e controllo accessi sono in gestione a società appaltatrici esterne, che non aggiornano i device e che mantengono credenziali uguali su tutti i clienti. Inoltre spesso tali dispositivi sono vecchi e “fuori supporto”, per cui il produttore non rilascia più aggiornamenti.
Per evitare di essere vittima di questi attacchi gli utenti privati dovrebbero aggiornare regolarmente i dispositivi, utilizzare password complesse, rivolgersi ad un esperto in caso di dubbi e non pubblicare nessun tipo di informazione su internet. Se si utilizzano installatori esterni, è necessario informarsi su quale sia la modalità corretta per proteggersi dai rischi cyber. Inoltre, è sempre meglio utilizzare brand conosciuti: meglio Alexa del device cinese comprato su Alibaba.
Per quanto riguarda invece le aziende, noi come Sababa Security, offriamo una combinazione di software e servizi in grado di:
offrire un inventario di tutti i device smart/iot connessi alla rete aziendale
gestire gli aggiornamenti dei firmware di tali dispositivi
gestire le vulnerabilità
gestire i dispositivi fuori supporto dal produttore
individuare eventuali utilizzi di credenziali di default
gestire le credenziali, e fornire un accesso sicuro ai colleghi e ai fornitori esterni, senza compromettere l’integrità delle credenziali stesse
