Pagine

Visualizzazioni totali

Google Scholar

venerdì 29 gennaio 2016

Come è facile hackerare le videocamere di sicurezza


Sodan è un motore di ricerca un pò particolare, che va a caccia di gadget connessi alla cosidetta "Internet delle Cose": un frigo per invitarti via email l'elenco di ciò che manca, o un sistema di videosorveglianza connesso al web, per controllare casa mentre sei in vacanza, sono ottimi esempi. Se avete tempo, registratevi e vedete cosa succede.

 sho1 

A questo punto, ci sono due notizie buone e una cattiva. La prima buona è che l’Internet delle Cose migliorerà davvero la nostra vita. La seconda è che non sarà un fenomeno passeggero se, come racconta uno studio di BI Intelligence, per il 2019 ci ritroveremo 6,7 miliardi di aggeggi di questo tipo, capaci di generare un mercato da 1700 miliardi di dollari. Adesso arriva la cattiva notizia: l’Internet of Things è così spinta dai produttori, che nella loro corsa affannata a conquistare per primi il mercato si son scordati della sicurezza. Per farla breve: i dispositivi dell’Internet of Things rischiano di essere dei colabrodo.
 Il problema delle webcam
Non ci credete? E qui torniamo a Shodan, non si scappa. Iscrivendosi al motore con la formula a pagamento, si ha accesso, per esempio, a una moltitudine di webcam. Alcune consapevolmente pubbliche, altre decisamente no. Parliamo, per dire, di webcam puntate su culle per tenere d’occhio i figli dall’altra parte della casa. Oppure di webcam puntate su coltivazioni di marijuana, di modo che il produttore abbia sempre sotto controllo come procede la crescita delle piantina. Perfino webcam di videosorveglianza privata, e sia mai che alcune non puntino su sportelli ATM dando modo di risalire ai codici PIN. A quel punto, basta rubare la carta e si procede al prelievo… abusivo.
Ecco, quello delle webcam è un tema molto sentito tra gli esperti di sicurezza informatica, anche da prima dell’avvento dell’IoT, ma il nuovo trend ha amplificato il problema. In particolare, viene messo sul banco degli impuntati il famigerato protocollo Real Time Streaming Protocol, anche detto RTSP 554, cioè una tecnologia che consente in effetti di pubblicare riprese da webcam sulla Rete, ma senza alcun tipo di autenticazione. Così uno pensa di utilizzare la webcam per i suoi affari privati, e invece il flusso d’immagini è visibile da chiunque lo desideri. Se volete un assaggio, gratuito, dopo esservi iscritti alla versione base di Shodan, andate a questo link e godetevi lo spettacolo.
Nel momento in cui scrivo ce n’è per tutti i gusti: strade pubbliche (e fin qui), uffici (e va bè), case private, stanze di bambini e palestre. Quello delle webcam è uno dei tanti problemi di sicurezza che rischiano, sempre più, di palesarsi con la diffusione dell’Internet delle Cose. E mentre l’International Standards Organization cerca di adattare le norme ISO 27000 all’ambito della IoT, e la IEEE lavora a tecnologie che garantiscano la sicurezza di questo dispositivi, si allunga la lista di vulnerabilità e criticità che, a oggi, dovrebbero far tirare un po’ il freno a mano al settore. Oltre alle webcam, il riferimento primario sono le automobili, dove non si contano gli “hack” che consentono di accedere a un veicolo da remoto, arrivando perfino a prenderne il controllo.

Anche le bambole
È dello scorso dicembre la notizia secondo cui perfino una bambola sviluppata sul modello dell’IoT era hackerabile.

In pratica, Hello Barbie consente a un bambino di conversare col giocattolo, sfruttando un sistema cloud del tutto simile a Siri e a Cortana, chiamato ToyTalk. Il ricercatore Andrew Hay, tuttavia, ha scoperto in questa Barbie una serie di vulnerabilità che portano addirittura all’intercettazione delle comunicazioni del bambino. Il bambino parla con la bambola, ma è possibile ascoltarlo anche da remoto, sfruttando un ben noto bug che colpisce la crittografia SSL. Un banale errore, che però porta a una considerazione importante: di fatto, l’Internet of Things non aggiunge niente di nuovo dal punto di vista tecnologico, ma sfrutta per buona parte tecnologie già esistenti. È dunque necessario pensare a come queste tecnologie si comportano in questo settore, così diverso da quelli abituali dove sono utilizzate. E i rischi che ne possono derivare.
Protocolli (webcam) e bug noti da risolvere (SSL), sono due degli esempi dei problemi endemici dell’attuale generazione di dispositivi IoT, ma l’elenco non si esaurisce qui, ovviamente.
 Problemi per tutti
Il problema degli aggiornamenti è quanto mai stringente anche in questo campo, come se già non lo fosse abbastanza nel ramo di computer, smartphone e tablet. Il concetto è molto semplice: se il dispositivo dell’Internet delle Cose poggia su un router per interfacciarsi al web, il router diventa l’apparecchio da tutelare a tutti i costi. Quello dove erigere la barriera più efficace. E invece la scarsa disponibilità di aggiornamenti rilasciati dai produttori rischia di moltiplicare spiacevoli situazioni, come la vulnerabilità che l’anno scorso ha attanagliato D-Link e che consentiva di prenderne il controllo, gestendo i dati che fluttuavano verso i dispositivi wireless. Pensate alle conseguenze, in una casa controllata da dispositivi connessi alla Rete. Ma i problemi non si limitano al solo software.
La corsa all’Internet delle Cose non ammette pause nemmeno tra i progettisti hardware, che spesso e volentieri privilegiano il design e le caratteristiche di grido alla sicurezza. Ne è un esempio la così detta vulnerabilità Rowhammer. In breve: il Project Zero Team, il team di Google dedito alla ricerca sulla sicurezza, ha scoperto che scrivendo dei dati, ripetutamente, in alcuni moduli di RAM, era possibile scavalcare le protezioni del sistema operativo di un apparecchio. Per quante protezioni si possano infilare nel sistema operativo, insomma, se un apparecchio usa quelle RAM è possibile bypassare i controlli e prendere il controllo del dispositivo. E il brutto è che sistemare un bug hardware non è così semplice, e spesso e volentieri è necessario sostituire proprio il componente fisico.
C’è chi ha risolto il problema in modo brillante, anche se ovviamente si tratta di mettere una pezza su una questione più complessa. Tra questi Bitdefender con la sua BOX, un apparecchio che si interpone tra router e dispositivi IoT, controllando il traffico dati, rivelando operazioni sospette e, nel caso, bloccandole. Un firewall smart, in pratica, ma un po’ più raffinato di quelli abitualmente integrati nei router domestici.
Infine, occhio alle interfacce. Quelle pagine web che utilizziamo per accedere, a distanza, ai nostri favolosi aggeggi IoT, non si prendono ancora abbastanza cura della sicurezza. Si deve pensare all’IoT, e i dati di mercato menzionati all’inizio lo confermano, come a un fenomeno di massa. Che, quindi, raggiungerà anche persone che faticano a utilizzare password diverse da “password” o “123456”. Occorre forzare il meccanismo e obbligarle a pensare a password migliori, mentre le interfacce IoT attuali ne accettano anche di cinque o sei lettere, e cioè crackabili in qualche giorno al massimo. Non ci credete? E allora ditemi: vi siete mai preoccupati di verificare che la password del vostro router non sia ancora “admin”, cioè quella di fabbrica?

Fonte: Wired - Autore: Riccardo Meggiato


 

Nessun commento:

Posta un commento