Post on 16-Jan-2017
La (in)sicurezza nell'era della IoT
Come la
Internet of Things
ha reso la nostra esistenza
meno sicura
Massimo Giaimo aka fastfire
fastfire@fastfire.org
disclaimer
I contenuti di questa presentazione non violano alcuna proprietà intellettuale e non sono in
contrasto con la vigente legislazione.
Parte del materiale utilizzato è liberamente tratto e rielaborato da una serie di fonti autorevoli, tutte puntualmente citate.
I marchi appartengono ai rispettivi proprietari.
Le opinioni qui espresse sono esclusivamente quelle dell'autore.
# whoamiResponsabile Area Information Technology presso
SIBT (Servizi Informatici Bancari Trentini)
Blogger (www.fastfire.org)
I marchi appartengono ai rispettivi proprietari.
Involved/Certified
Cos'è l'Internet of Things?
Fino a poco tempo fa parlavamo solo della “rete delle reti”, di Internet: router, server, stampanti…
Da qualche anno i produttori mondiali stanno lavorando ad un obiettivo: connettere ad Internet qualsiasi cosa, secondo il paradigma per cui “Ogni oggetto che potrà essere connesso, lo sarà”.
Ma dove sono questi oggetti?
Sono già “tra noi”… in ciò che...
facciamomangiamoindossiamo
usiamo per muoverci, viaggiareleggiamoscriviamodiciamo
Ma quanti sono questi oggetti?
Nel 2008 il numero di oggetti connessi ha superato il numero di persone.
Nel 2020 si stima ci saranno 50 miliardi di oggetti connessi.
http://blogs.cisco.com/wp-content/uploads/internet_of_things_infographic_3final.jpg
Mondo consumer
Mondo SCADA/ICS
http://www.tenable.com/plugins/index.php?view=all&family=SCADA
Mondo Corporate● Controllo accessi● Telecamere di sicurezza● Dispositivi accesso
hotel● Domotica● Stampanti all-in-one● Telefoni (voip)
Dispositivi medici
● Pacemakers● Risonanza magnetica● Dosaggio insulina● Robot chirurgici● Sistemi di monitoraggio● Analisi di laboratorio
Anche le mucche sono smart?
http://blogs.cisco.com/diversity/the-internet-of-things-infographic
Smart City
INFRASTRUTTURE
TRASPORTI
RILEVAZIONE CRIMINE
SALUTE
MONITORAGGIO
SICUREZZA
ISTRUZIONE
E-GOVERNANCE
ENERGIA
E se le macchine si ribellassero?
Tralasciando la singolarità, ancora lontana...
… l'errore (ed il pericolo) è sempre…
UMANO!
Ma cosa succederebbe se qualcuno...
prendesse il controllo del vostro pacemaker?prendesse il controllo della vostra auto?prendesse il controllo di un robot chirurgico?prendesse il controllo di una centrale idrica o elettrica?prendesse il controllo dei semafori di una grande città?spiasse i vostri bambini mentre dormono?
FORSE NO!
MISSIONE IMPOSSIBILE?
E' già accaduto! Vediamo insieme qualche caso!
Ma vediamo prima cosa ne pensano i media...
Dai frigorigeri che spammano...
Alla Defcon Conference 2015, una delle più importanti conferenze mondiali riguardanti la sicurezza informatica, è stato dimostrato come sia possibile rubare le credenziali di accesso Gmail, sfuttando una vulnerabilità presente nella gestione della validazione dei certificati ssl utilizzati dal software di gestione di un frigorifero Samsung.
https://www.pentestpartners.com/blog/hacking-defcon-23s-iot-village-samsung-fridge/
…ai televisori che condividono...Nel 2014 è stato un hacker italiano, Luigi Auriemma, a scoprire una vulnerabilità presente nelle Smart TV Philips, che consente di violare il televisore ed avere accesso alla maggior parte delle informazioni (cookie di autenticazione Gmail, dati presenti su una chiavetta usb collegata alla tv) in esso contenute utilizzando la password di default del sistema Miracast, che dà la possibilità di trasferire contenuti da smartphone e tablet.
http://revuln.com/files/Ferrante_Auriemma_SmartTV_Insecurity.pdf e https://vimeo.com/55174958
… dal controllo dei baby monitor...
http://arstechnica.com/security/2015/09/9-baby-monitors-wide-open-to-hacks-that-expose-users-most-private-moments http://attivissimo.blogspot.it/2016/01/bimbo-dice-di-sentire-le-voci-di-notte.html?m=1
Nel settembre 2015 sono state scoperte vulnerabilità (password di default, traffico non cifrato, frequenze “simili”...) su 9 diversi modelli di baby monitors, che consentirebbe ad un potenziale attaccante di prenderne il controllo.
A inizio 2016 coppia di genitori USA spaventati dal fatto che il loro bambino di notte “sentiva le voci”… era vero!
…ai semafori intelligenti...
http://theconversation.com/traffic-light-hacking-shows-the-internet-of-things-must-come-with-better-security-30803 https://jhalderm.com/pub/papers/traffic-woot14.pdf
Ad agosto 2014 un gruppo di ricercatori ha pubblicato un report nel quale si dimostra la possibilità di prendere il controllo di circa 100 semafori di Michigan City.Tutto questo utilizzando un pc portatile e grazie al fatto che i segnali radio necessari alla comunicazione tra i diversi semafori erano aperti e non criptati. Inoltre le credenziali erano quelle di default, facilmente recuperabili in Internet.
…dalla cassaforte(debole)...
http://www.wired.com/2015/07/brinks-super-secure-smart-safes-not-secure/
A luglio 2015 due ricercatori della Bishop Fox hanno scoperto una vulnerabilità riguardante la cassaforte “CompuSafe Galileo”, che consente a chiunque abbia accesso fisico alla cassaforte di poterne aprire liberamente la porta, prelevando a propria discrezione ciò che dovrebbe essere al sicuro. Lo script utilizzato come exploit è stato caricato attraverso la porta USB della cassaforte, avente come sistema operativo Windows XP.
…al ferro da stiro spione...
http://thehackernews.com/2013/11/russia-finds-spying-microchips-planted_1.html
Ancora nel 2013 il canale russo Rossiya 24 ha mostrato le immagini di un ferro da stiro di fabbricazione cinese, equipaggiato con microchip utilizzato per spiare l'ambiente circostante e con la capacità di collegarsi ad eventuali reti wifi non protette nell'arco di 200 metri.
Facciamo un giro in jeep?
https://blog.kaspersky.com/blackhat-jeep-cherokee-hack-explained/9493/ http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
A luglio 2015 Charlie Miller e Chris Valasek dimostrano la possibilità di prendere il controllo remoto di una Jeep Cherokee, manipolando i freni, il sistema di controllo (Uconnect), il climatizzatore, la radio.A causa di questa vulnerabilità la Fiat Chrysler è stata costretta a richiamare 1,4 milioni di vetture per aggiornarne la componente software.
Infrastrutture critiche
http://www.eenews.net/stories/1060025871
E' di ottobre 2015 la notizia che alcuni esperti hanno violato le difese di un'azienda pubblica di fornitura di energia ed acqua, in soli 22 minuti. Questa azione ha dimostrato come anche infrastrutture critiche come centrali elettriche o idriche siano vulnerabili a possibili attacchi.
Infrastrutture critiche
http://blog.ptsecurity.com/2015/10/industrial-control-system-security-in.html
Un recente (ottobre 2015) studio di Positive Technologies ha rivelato l'esistenza di più 15000 sistemi ICS (Industrial Control System) potenzialmente vulnerabili. In Italia non siamo sicuramente esenti dal problema, come si può dedurre dal grafico.
Infrastrutture critiche
http://attivissimo.blogspot.it/2016/02/mini-centrale-idroelettrica-francese.html
A febbraio 2016 è stato scoperto che una mini-centrale elettrica di Tolosa, Francia, è stata collegata in internet con un accesso vnc senza alcuna protezione. Per giorni alcune persone si sono “divertite” a cliccare sui comandi della centrale...
Però all'ospedale sono al sicuro!(?)
http://www.theregister.co.uk/2015/09/29/thousands_of_directly_hackable_hospital_devices_found_exposed/
All'ultima conferenza DerbyCon, negli USA, due ricercatori, Scott Erven e Mark Collao, hanno individuato un'organizzazione che espone migliaia di apparecchiature mediche connesse in rete e vulnerabili. Sono stati trovati i seguenti device:21 in anestesia488 in cardiologia67 in medicina nucleare133 sistemi di infusione31 pacemakers97 MRI (risonanza magnetica)
Giochiamo al dottore (uno)?
http://gizmodo.com/medical-robots-can-be-hacked-during-surgery-researcher-1700143736
Ad aprile 2015 alcuni ricercatori dell'università di Washington hanno preso il controllo di un robot chirurgico (modello Raven II) attraverso internet e hanno dimostrato la possibilità di far compiere al robot qualsiasi movimento. Inoltre la diretta dell'intervento era pubblicamente accessibile!
Giochiamo al dottore (due)?
http://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/
A giugno 2015 il ricercatore Billy Rios ha trovato delle vulnerabilità nei sistemi di infusione della “Hospira Lifecare”, sfruttando le quali è possibile:- alterare le dosi di farmaco grazie a librerie software prive di autenticazione- aggiornare il firmware dei dispositivi grazie a password “hardcoded” e in plain text nel software di gestione MedNet
Giochiamo al dottore (tre)?
http://www.computerworld.com/article/2473402/cybercrime-hacking/pacemaker-hacker-says-worm-could-possibly--commit-mass-murder-.html
Nell'ottobre 2012 il security researcher Barnaby Jack dimostra la possibilità di inviare una scarica da 830 volt ad un pacemaker, in grado di uccidere una persona situata a 10 metri di distanza, solo grazie ad un notebook ed un firmware modificato.Questa tipologia di attacco è stata ripresa anche in una puntata di Homeland.
Qualcuno lo ha preso sul serio...
https://nakedsecurity.sophos.com/2013/10/22/doctors-disabled-wireless-in-dick-cheneys-pacemaker-to-thwart-hacking/
Qualcuno lo ha preso molto sul serio...
Barnaby Jack in una famosa demo alla Black Hat Conference del 2010 dimostrò come fosse possibile exploitare gli ATM...
Una settimana prima della Black Hat Conference 2013, dove avrebbe dovuto dimostrare la vulnerabilità relativa al pacemaker, il ricercatore dichiarò in un'intervista che “ci sarebbero potute essere conseguenze letali”.
http://www.reuters.com/article/us-hacker-death-idUSBRE96P0K120130727
E la sicurezza?
Le vulnerabilità sono ovunque...
Il Rapporto ClusITSe non ci credete leggete il rapporto ClusIT. Il ClusIT è una delle più importanti associazioni sulla sicurezza informatica (sicuramente la più importante in Italia). Annualmente pubblica un rapporto sulla sicurezza ICT.
Solo in Italia nel 2014 i danni derivanti da attacchi informatici sono stati stimati in 9 miliardi di euro.
E' possibile richiedere una copia in formato pdf del rapporto ClusIT.
Per maggiori informazioni: https://clusit.it/rapportoclusit/
Cosa emerge?
Non importa chi sei
Non importa cosa fai
Non importa con cosa lo fai
Ti attaccheranno
Attaccheranno proprio me? Ma dai!!!!
Criminalità organizzata
Quasi mai un target preciso
Botnet (anche ad affitto)
Spam, phishing, spit, vishing, DDOS
Search pass.txt, creditcard.pdf,...
Saper fare affari...
Fonte: Rapporto ClusIT 2016
Global Risk Landscape
OWASP IoT Top 10
La OWASP Foundation ha pubblicato la lista delle 10 vulnerabilità maggiormente individuate nei dispositivi della Internet Of Things.
https://www.owasp.org/images/8/8e/Infographic-v1.jpg https://www.owasp.org/images/7/71/Internet_of_Things_Top_Ten_2014-OWASP.pdf
OWASP IoT Top 10
DEFAULT CREDENTIAL
REVERSE ENGINEERING
BACKDOOR
CSRF
SQLi
XSS
REMOTE CODE INJECTION
HARDCODED PASSWORD
PLAIN TEXT PASSWORD NO SSL
ACCESSO FISICO
Un esempio di backdoor: Joel's
Nel 2013 Craig Heffner scopre una vulnerabilità sui router con marchio D-LINK.
Ricostruendo una funzione nella richiesta che viene effettuata dal browser e cambiando il valore di User-Agent in “xmlset_roodkcableoj28840ybtide” è possibile accedere all'interfaccia amministrativa del router senza la necessità di inserire credenziali di autenticazione.
La stringa non è altro che “edit by 04882 joel backdoor” scritta al contrario. Eccesso di zelo da parte di qualche programmatore...
Un esempio di backdoor: Joel's
http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/
Propaganda
http://www.htxt.co.za/2016/03/29/hack-pushes-racist-message-to-30000-printers/
Metti la stampante in rete e...
Il prossimo obiettivo?
Il prossimo obiettivo?Alcuni ricercatori di IOActive hanno già scoperto diverse vulnerabilità nei software dei sistemi satellitari sviluppati dalle compagnie inglesi Cobham e Inmarsat.
Le vulnerabilità non sono state rese note, ma possiamo immaginare cosa succederebbe se qualche organizzazione criminale riuscisse a mettere le mani su quei dati, considerando cosa controllano oggi i satelliti:
traffico aereocomunicazioni e spostamenti (droni…) militaritrasmissioni televisive
http://www.theguardian.com/technology/2014/apr/17/military-satellite-system-vulnerable-hacking
Il prossimo obiettivo?Alla conferenza DEFCON 2015 il ricercatore Ryan Satterfield, dell'azienda di sicurezza Planet Zuda, ha dimostrato come sia facilmente sfruttabile una vulnerabilità presente sul modello di drone Parrot AR, uno dei più diffusi sul mercato.
Utilizzando esclusivamente un notebook ed uno smartphone, ha preso il controllo del drone e lo ha letteralmente fatto precipitare a terra.
Pensiamo che oggi i droni vengono abitualmente utilizzati nelle grandi manifestazioni...
http://www.wired.co.uk/news/archive/2015-08/19/drone-hack-defcon
C'è una guerra la fuori e non la vincerà chi
ha più pallottole
Vincerà chi:
ha più informazionie
saprà difendere la proprie
Chi conosce laGoogle Dashboard
?
E ne abbiamo da difendere...
… ma non vediamo l’ora di farle sapere a tutti!
Ramsomware e l'IoT
Cryptolocker
Scenario 1:prendo il controllo dei dispositivi che gestiscono la centrale elettrica della
tua città e ti chiedo un riscatto...
Scenario 2:cripto i dati dei PC che gestiscono i dati dei tuoi pazienti. Se non paghi
entro 24 ore i tuoi dati saranno persi per sempre...
IoT che possiamo trovare (cercare?)
IoT che possiamo trovare (cercare?)
IoT che possiamo trovare (cercare?)
IoT che possiamo trovare (cercare?)
IoT che possiamo trovare (cercare?)
IoT che possiamo trovare (cercare?)
IoT che possiamo trovare (cercare?)
Cose da “smanettoni”?
No! Estremamente semplice...
No! Estremamente semplice...Possiamo selezionare la nazione, la città, la tipologia di servizi esposti… et voilà!
Shodan: chi cerca trova!
Shodan: chi cerca trova!
category:”ics” country “IT”
port:”10000” country”IT”
dreambox city:”Trento”
net:”109.205.106.120/29”
default password country:”IT”
Troppo pigri per cercare?
Prossimamente sul mercato!Rileva la presenza della persona e apre automaticamente il coperchio, emette da sola il deodorante, scarica l'acqua, emette brani musicali “stimolanti”...
Peccato che l'applicazione Android che dovrebbe gestirla presenta un PIN unico “hardcoded” (0000) per instaurare la connessione Bluetooth con qualsiasi wc.
http://www.webnews.it/2013/08/06/anche-le-smart-toilet-sono-vulnerabili/
Cosa dobbiamo aspettarci dal futuro?
http://www.mckinsey.com/business-functions/business-technology/our-insights/the-internet-of-things-the-value-of-digitizing-the-physical-world
Cosa dobbiamo aspettarci dal futuro?
http://www.hotforsecurity.com/blog/us-intelligence-chief-the-internet-of-things-will-be-used-to-spy-and-hack-13400.html
Quindi?
MERCATO ACERBO
VELOCITA’ ESPANSIONE
SEC BY DESIGN
MERCATO TOTALE
PATCH DIFFICILI
Security by design: analogia
Quindi?
SONO CONSAPEVOLE?
MI PONGO DOMANDE?
HO RESPONSABILITÀ?
OBBLIGHI LEGALI
Consigli (base) utili
PENSA, POI ACQUISTA
LEGGI, POI ACQUISTA
NUOVO=(SPESSO) BUGGATO
QUALI DATI?
Consigli (tecnici) utili:
STRONG PASSWORD
NO DEFAULT PASSWORD
WIFI ENCRYPTION
ACCESSO REMOTO
Consigli (tecnici) utili:
WIFI O WIRED?
AGGIORNAMENTI
IMPOSTAZIONI PRIVACY
FUNZIONALITÀ (IN)UTILI
BACKUP
Grazie mille per l'attenzione!
Domande?Questionario di gradimento:https://it.surveymonkey.com/r/6KB9JRX
Mail: fastfire@fastfire.org Twitter: @fastfireBlog: www.fastfire.org
Download slides: http://www.slideshare.net/MassimoGiaimo/la-insicurezza-nellera-della-iot
The slides are written by Massimo Giaimo and are subjected to Creative Commons Attribution-ShareAlike 3.0 Unported (CC BY-SA 3.0). You are free to copy, distribute, transmit, adapt, sell the work under the following conditions: Attribution – You must cite the Author. Share alike – If you alter, transform, or build upon this work, you mai distribute the resulting work only under the same or similar license to this one.