L’Internet delle cose hackerate

Nel gennaio 2014 scrivevo a proposito dell’Internet delle cose insicure.

In fondo all’articolo citavo una notizia, rivelatasi al tempo infondata, di un botnet di 100.000 frigoriferi connessi.

Purtroppo non abbiamo dovuto attendere molto prima che qualcuno lo facesse davvero, così lo scorso settembre il blog di Brian Kerbs è stato attaccato con un DDoS di 630 Gbs, una potenza di fuoco doppia rispetto al DoS più potente registrato prima di quell’evento.

Un attacco di Denial of Service distribuito (DDoS) viene portato istruendo un esercito di host controllati da remoto (zombie) ad accedere contemporaneamente ad una risorsa. Se l’esercito di zombie è abbastanza numeroso, si ottiene una potenza di fuoco notevole in termini di banda (espressa in unità di dati per unità di tempo).

Rispetto a qualche anno fa, i computer utilizzati in maniera interattiva dalle persone e i server sono diventati più sicuri. Esistono, ovviamente, ancora molte vulnerabilità (qualcuno ha detto systemd?), ma i sistemi di aggiornamento e la consapevolezza di utenti e gestori hanno ridotto la superficie di attacco di questi sistemi.

Ecco che l’IoT (Internet of Things) viene in aiuto dei malviventi.

Frigoriferi, telecamere, forni, lampadine, lavatrici, Raspberry, NAS, televisori, sistemi di videosorveglianza, oggetti buffi dai nomi improbabili… Tutti online! Molti con a bordo un Linux, una BusyBox o anche un Windows mai aggiornati e pieni di bachi noti.

Si dirà «Ma questi sono aggetti dietro il NAT di casa, non sono esposti!»

Poi c’è chi espone a Internet il server web con le statistiche del risparmio dei pannelli solari su una porta non standard (salvo poi andarlo a visitare con Google Chrome) nella vana speranza che nessuno lo trovi; il tutto per poter controllare dall’ufficio (in altre parole: pavoneggiarsi con i colleghi) la produzione di energia di casa.

A parte questi casi, ci sono molti dispositivi IoT che aprono delle porte sul router via UPnP e magari il titolare nemmeno lo sa.

Ci sono essenzialmente due modi per connettersi da Internet ad un host dietro un NAT: o si configura un inoltro di una porta verso un host della LAN oppure l’host contatta costantemente un server da cui prende istruzioni o dati (per citarne uno, TeamViewer fa così). La gestione di un gruppo di server è molto onerosa e complessa, quindi molti produttori preferiscono usare UPnP oppure dire all’utente di configurare un inoltro sul router. Tutto grazie a quell’accidenti di NAT, mai detestato a sufficienza.

Ecco, quindi che abbiamo un sacco di host vulnerabili esposti a Internet, un piatto veramente ricco per i malviventi.

Se l’utente casalingo ha l’abitudine di riformattare il proprio PC ogni tre mesi “per renderlo più veloce” (leggi: per eradicare lo schifo che si è insediato), una volta che un oggetto dell’Internet delle Cose è stato sfondato è abbastanza difficile riportarlo allo stato di funzionamento iniziale. Anche perché, ammesso che esista una procedura in ROM che permette di flashare il firmware come in fabbrica, verrebbe comunque rimesso il software vulnerabile di prima.

Qui il problema è analogo a quello della sicurezza informatica nelle autovetture. I produttori di lampadine, frigoriferi, impianti fotovoltaici, sistemi di irrigazione, eccetera sono, appunto, produttori di quelle merci, non producono software. Quindi la loro cultura e struttura aziendale non contemplano un ciclo di manutenzione e aggiornamento del software presente nei loro articoli. Per loro, un articolo venduto è venduto e al massimo va riparato o sostituito entro i termini della garanzia di legge, ma non pensano a come tenere aggiornato il software dei loro articoli.

Un computer si aggiorna spesso, c’è chi pratica lo sport della lagna per i tempi degli aggiornamenti, ma è uno sport molto meno oneroso della lagna per un computer inservibile o controllato dai malviventi.

Il software di un IoT viene aggiornato raramente o mai. Raspberry o similari con dentro distribuzioni Linux sono sempre più diffusi, ma moltissimi di loro non hanno abilitato un sistema di aggiornamenti automatici anche perché c’è sempre il timore che un aggiornamento renda inservibile l’oggetto (la colpa non è dell’aggiornamento, ma del software applicativo scritto male).

Nel breve periodo non ci sono soluzioni semplici, se non quella di limitare il più possibile l’accesso a Internet dei cosiddetti oggetti smart.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

2 pensieri riguardo “L’Internet delle cose hackerate”

  1. “la colpa non è dell’aggiornamento, ma del software applicativo scritto male”
    E questo dice tutto.
    Anni fà, quando non c’era internet (e forse ok, le cose erano più semplici), e i programmi e le patch venivano distribuite con supporti fisici, che quindi aveno un costo sia materiale che di spedizione, i software venivano rilasciati, quando era stato fatto un certo periodo di debug con un team interno alle software house, e magari con un numero ristretto di utenti esterni.
    Adesso abbiamo internet, i repository online, gli aggiornamenti automatici, abbonamenti pay par use, etc.etc.
    In sostaza paghiamo tanto quanto prima (e forse di più) per avere ure una porcheria peggio di prima, perchè oggi il debug lo fà l’utente finale (così la software house risparmia)… tanto c’è l’update automatico no ?

  2. Potrei dire la stessa cosa per i telefononi: se non vuoi aggiornare “millemila” app, perchè le scarichi? Tutti i siti e servizi on-line sono raggiungibili tramite browser, usalo! Salva tra i preferiti, tocca quella stellina, e ti eviterai l’ennesima app che diffonde i tuoi dati, i tuoi contatti e la tua posizione.

Spazio per un commento