La (in)sicurezza nell'era della IoT

Come la

Internet of Things

ha reso la nostra esistenza

meno sicura

Massimo Giaimo aka fastfire

fastfire@fastfire.org

disclaimer

I contenuti di questa presentazione non violano alcuna proprietà intellettuale e non sono in

contrasto con la vigente legislazione.

Parte del materiale utilizzato è liberamente tratto e rielaborato da una serie di fonti autorevoli, tutte puntualmente citate.

I marchi appartengono ai rispettivi proprietari.

Le opinioni qui espresse sono esclusivamente quelle dell'autore.

# whoamiResponsabile Area Information Technology presso

SIBT (Servizi Informatici Bancari Trentini)

Blogger (www.fastfire.org)

I marchi appartengono ai rispettivi proprietari.

Involved/Certified

Cos'è l'Internet of Things?

Fino a poco tempo fa parlavamo solo della “rete delle reti”, di Internet: router, server, stampanti…

Da qualche anno i produttori mondiali stanno lavorando ad un obiettivo: connettere ad Internet qualsiasi cosa, secondo il paradigma per cui “Ogni oggetto che potrà essere connesso, lo sarà”.

Ma dove sono questi oggetti?

Sono già “tra noi”… in ciò che...

facciamomangiamoindossiamo

usiamo per muoverci, viaggiareleggiamoscriviamodiciamo

Ma quanti sono questi oggetti?

Nel 2008 il numero di oggetti connessi ha superato il numero di persone.

Nel 2020 si stima ci saranno 50 miliardi di oggetti connessi.

http://blogs.cisco.com/wp-content/uploads/internet_of_things_infographic_3final.jpg

Mondo consumer

Mondo SCADA/ICS

http://www.tenable.com/plugins/index.php?view=all&family=SCADA

Mondo Corporate● Controllo accessi● Telecamere di sicurezza● Dispositivi accesso

hotel● Domotica● Stampanti all-in-one● Telefoni (voip)

Dispositivi medici

● Pacemakers● Risonanza magnetica● Dosaggio insulina● Robot chirurgici● Sistemi di monitoraggio● Analisi di laboratorio

Anche le mucche sono smart?

http://blogs.cisco.com/diversity/the-internet-of-things-infographic

Smart City

INFRASTRUTTURE

TRASPORTI

RILEVAZIONE CRIMINE

SALUTE

MONITORAGGIO

SICUREZZA

ISTRUZIONE

E-GOVERNANCE

ENERGIA

E se le macchine si ribellassero?

Tralasciando la singolarità, ancora lontana...

… l'errore (ed il pericolo) è sempre…

UMANO!

Ma cosa succederebbe se qualcuno...

prendesse il controllo del vostro pacemaker?prendesse il controllo della vostra auto?prendesse il controllo di un robot chirurgico?prendesse il controllo di una centrale idrica o elettrica?prendesse il controllo dei semafori di una grande città?spiasse i vostri bambini mentre dormono?

FORSE NO!

MISSIONE IMPOSSIBILE?

E' già accaduto! Vediamo insieme qualche caso!

Ma vediamo prima cosa ne pensano i media...

Dai frigorigeri che spammano...

Alla Defcon Conference 2015, una delle più importanti conferenze mondiali riguardanti la sicurezza informatica, è stato dimostrato come sia possibile rubare le credenziali di accesso Gmail, sfuttando una vulnerabilità presente nella gestione della validazione dei certificati ssl utilizzati dal software di gestione di un frigorifero Samsung.

https://www.pentestpartners.com/blog/hacking-defcon-23s-iot-village-samsung-fridge/

…ai televisori che condividono...Nel 2014 è stato un hacker italiano, Luigi Auriemma, a scoprire una vulnerabilità presente nelle Smart TV Philips, che consente di violare il televisore ed avere accesso alla maggior parte delle informazioni (cookie di autenticazione Gmail, dati presenti su una chiavetta usb collegata alla tv) in esso contenute utilizzando la password di default del sistema Miracast, che dà la possibilità di trasferire contenuti da smartphone e tablet.

http://revuln.com/files/Ferrante_Auriemma_SmartTV_Insecurity.pdf e https://vimeo.com/55174958

… dal controllo dei baby monitor...

http://arstechnica.com/security/2015/09/9-baby-monitors-wide-open-to-hacks-that-expose-users-most-private-moments http://attivissimo.blogspot.it/2016/01/bimbo-dice-di-sentire-le-voci-di-notte.html?m=1

Nel settembre 2015 sono state scoperte vulnerabilità (password di default, traffico non cifrato, frequenze “simili”...) su 9 diversi modelli di baby monitors, che consentirebbe ad un potenziale attaccante di prenderne il controllo.

A inizio 2016 coppia di genitori USA spaventati dal fatto che il loro bambino di notte “sentiva le voci”… era vero!

…ai semafori intelligenti...

http://theconversation.com/traffic-light-hacking-shows-the-internet-of-things-must-come-with-better-security-30803 https://jhalderm.com/pub/papers/traffic-woot14.pdf

Ad agosto 2014 un gruppo di ricercatori ha pubblicato un report nel quale si dimostra la possibilità di prendere il controllo di circa 100 semafori di Michigan City.Tutto questo utilizzando un pc portatile e grazie al fatto che i segnali radio necessari alla comunicazione tra i diversi semafori erano aperti e non criptati. Inoltre le credenziali erano quelle di default, facilmente recuperabili in Internet.

…dalla cassaforte(debole)...

http://www.wired.com/2015/07/brinks-super-secure-smart-safes-not-secure/

A luglio 2015 due ricercatori della Bishop Fox hanno scoperto una vulnerabilità riguardante la cassaforte “CompuSafe Galileo”, che consente a chiunque abbia accesso fisico alla cassaforte di poterne aprire liberamente la porta, prelevando a propria discrezione ciò che dovrebbe essere al sicuro. Lo script utilizzato come exploit è stato caricato attraverso la porta USB della cassaforte, avente come sistema operativo Windows XP.

…al ferro da stiro spione...

http://thehackernews.com/2013/11/russia-finds-spying-microchips-planted_1.html

Ancora nel 2013 il canale russo Rossiya 24 ha mostrato le immagini di un ferro da stiro di fabbricazione cinese, equipaggiato con microchip utilizzato per spiare l'ambiente circostante e con la capacità di collegarsi ad eventuali reti wifi non protette nell'arco di 200 metri.

Facciamo un giro in jeep?

https://blog.kaspersky.com/blackhat-jeep-cherokee-hack-explained/9493/ http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/

A luglio 2015 Charlie Miller e Chris Valasek dimostrano la possibilità di prendere il controllo remoto di una Jeep Cherokee, manipolando i freni, il sistema di controllo (Uconnect), il climatizzatore, la radio.A causa di questa vulnerabilità la Fiat Chrysler è stata costretta a richiamare 1,4 milioni di vetture per aggiornarne la componente software.

Infrastrutture critiche

http://www.eenews.net/stories/1060025871

E' di ottobre 2015 la notizia che alcuni esperti hanno violato le difese di un'azienda pubblica di fornitura di energia ed acqua, in soli 22 minuti. Questa azione ha dimostrato come anche infrastrutture critiche come centrali elettriche o idriche siano vulnerabili a possibili attacchi.

Infrastrutture critiche

http://blog.ptsecurity.com/2015/10/industrial-control-system-security-in.html

Un recente (ottobre 2015) studio di Positive Technologies ha rivelato l'esistenza di più 15000 sistemi ICS (Industrial Control System) potenzialmente vulnerabili. In Italia non siamo sicuramente esenti dal problema, come si può dedurre dal grafico.

Infrastrutture critiche

http://attivissimo.blogspot.it/2016/02/mini-centrale-idroelettrica-francese.html

A febbraio 2016 è stato scoperto che una mini-centrale elettrica di Tolosa, Francia, è stata collegata in internet con un accesso vnc senza alcuna protezione. Per giorni alcune persone si sono “divertite” a cliccare sui comandi della centrale...

Però all'ospedale sono al sicuro!(?)

http://www.theregister.co.uk/2015/09/29/thousands_of_directly_hackable_hospital_devices_found_exposed/

All'ultima conferenza DerbyCon, negli USA, due ricercatori, Scott Erven e Mark Collao, hanno individuato un'organizzazione che espone migliaia di apparecchiature mediche connesse in rete e vulnerabili. Sono stati trovati i seguenti device:21 in anestesia488 in cardiologia67 in medicina nucleare133 sistemi di infusione31 pacemakers97 MRI (risonanza magnetica)

Giochiamo al dottore (uno)?

http://gizmodo.com/medical-robots-can-be-hacked-during-surgery-researcher-1700143736

Ad aprile 2015 alcuni ricercatori dell'università di Washington hanno preso il controllo di un robot chirurgico (modello Raven II) attraverso internet e hanno dimostrato la possibilità di far compiere al robot qualsiasi movimento. Inoltre la diretta dell'intervento era pubblicamente accessibile!

Giochiamo al dottore (due)?

http://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/

A giugno 2015 il ricercatore Billy Rios ha trovato delle vulnerabilità nei sistemi di infusione della “Hospira Lifecare”, sfruttando le quali è possibile:- alterare le dosi di farmaco grazie a librerie software prive di autenticazione- aggiornare il firmware dei dispositivi grazie a password “hardcoded” e in plain text nel software di gestione MedNet

Giochiamo al dottore (tre)?

http://www.computerworld.com/article/2473402/cybercrime-hacking/pacemaker-hacker-says-worm-could-possibly--commit-mass-murder-.html

Nell'ottobre 2012 il security researcher Barnaby Jack dimostra la possibilità di inviare una scarica da 830 volt ad un pacemaker, in grado di uccidere una persona situata a 10 metri di distanza, solo grazie ad un notebook ed un firmware modificato.Questa tipologia di attacco è stata ripresa anche in una puntata di Homeland.

Qualcuno lo ha preso sul serio...

https://nakedsecurity.sophos.com/2013/10/22/doctors-disabled-wireless-in-dick-cheneys-pacemaker-to-thwart-hacking/

Qualcuno lo ha preso molto sul serio...

Barnaby Jack in una famosa demo alla Black Hat Conference del 2010 dimostrò come fosse possibile exploitare gli ATM...

Una settimana prima della Black Hat Conference 2013, dove avrebbe dovuto dimostrare la vulnerabilità relativa al pacemaker, il ricercatore dichiarò in un'intervista che “ci sarebbero potute essere conseguenze letali”.

http://www.reuters.com/article/us-hacker-death-idUSBRE96P0K120130727

E la sicurezza?

Le vulnerabilità sono ovunque...

Il Rapporto ClusITSe non ci credete leggete il rapporto ClusIT. Il ClusIT è una delle più importanti associazioni sulla sicurezza informatica (sicuramente la più importante in Italia). Annualmente pubblica un rapporto sulla sicurezza ICT.

Solo in Italia nel 2014 i danni derivanti da attacchi informatici sono stati stimati in 9 miliardi di euro.

E' possibile richiedere una copia in formato pdf del rapporto ClusIT.

Per maggiori informazioni: https://clusit.it/rapportoclusit/

Cosa emerge?

Non importa chi sei

Non importa cosa fai

Non importa con cosa lo fai

Ti attaccheranno

Attaccheranno proprio me? Ma dai!!!!

Criminalità organizzata

Quasi mai un target preciso

Botnet (anche ad affitto)

Spam, phishing, spit, vishing, DDOS

Search pass.txt, creditcard.pdf,...

Saper fare affari...

Fonte: Rapporto ClusIT 2016

Global Risk Landscape

OWASP IoT Top 10

La OWASP Foundation ha pubblicato la lista delle 10 vulnerabilità maggiormente individuate nei dispositivi della Internet Of Things.

https://www.owasp.org/images/8/8e/Infographic-v1.jpg https://www.owasp.org/images/7/71/Internet_of_Things_Top_Ten_2014-OWASP.pdf

OWASP IoT Top 10

DEFAULT CREDENTIAL

REVERSE ENGINEERING

BACKDOOR

CSRF

SQLi

XSS

REMOTE CODE INJECTION

HARDCODED PASSWORD

PLAIN TEXT PASSWORD NO SSL

ACCESSO FISICO

Un esempio di backdoor: Joel's

Nel 2013 Craig Heffner scopre una vulnerabilità sui router con marchio D-LINK.

Ricostruendo una funzione nella richiesta che viene effettuata dal browser e cambiando il valore di User-Agent in “xmlset_roodkcableoj28840ybtide” è possibile accedere all'interfaccia amministrativa del router senza la necessità di inserire credenziali di autenticazione.

La stringa non è altro che “edit by 04882 joel backdoor” scritta al contrario. Eccesso di zelo da parte di qualche programmatore...

Un esempio di backdoor: Joel's

http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/

Propaganda

http://www.htxt.co.za/2016/03/29/hack-pushes-racist-message-to-30000-printers/

Metti la stampante in rete e...

Il prossimo obiettivo?

Il prossimo obiettivo?Alcuni ricercatori di IOActive hanno già scoperto diverse vulnerabilità nei software dei sistemi satellitari sviluppati dalle compagnie inglesi Cobham e Inmarsat.

Le vulnerabilità non sono state rese note, ma possiamo immaginare cosa succederebbe se qualche organizzazione criminale riuscisse a mettere le mani su quei dati, considerando cosa controllano oggi i satelliti:

traffico aereocomunicazioni e spostamenti (droni…) militaritrasmissioni televisive

http://www.theguardian.com/technology/2014/apr/17/military-satellite-system-vulnerable-hacking

Il prossimo obiettivo?Alla conferenza DEFCON 2015 il ricercatore Ryan Satterfield, dell'azienda di sicurezza Planet Zuda, ha dimostrato come sia facilmente sfruttabile una vulnerabilità presente sul modello di drone Parrot AR, uno dei più diffusi sul mercato.

Utilizzando esclusivamente un notebook ed uno smartphone, ha preso il controllo del drone e lo ha letteralmente fatto precipitare a terra.

Pensiamo che oggi i droni vengono abitualmente utilizzati nelle grandi manifestazioni...

http://www.wired.co.uk/news/archive/2015-08/19/drone-hack-defcon

C'è una guerra la fuori e non la vincerà chi

ha più pallottole

Vincerà chi:

ha più informazionie

saprà difendere la proprie

Chi conosce laGoogle Dashboard

?

E ne abbiamo da difendere...

… ma non vediamo l’ora di farle sapere a tutti!

Ramsomware e l'IoT

Cryptolocker

Scenario 1:prendo il controllo dei dispositivi che gestiscono la centrale elettrica della

tua città e ti chiedo un riscatto...

Scenario 2:cripto i dati dei PC che gestiscono i dati dei tuoi pazienti. Se non paghi

entro 24 ore i tuoi dati saranno persi per sempre...

IoT che possiamo trovare (cercare?)

IoT che possiamo trovare (cercare?)

IoT che possiamo trovare (cercare?)

IoT che possiamo trovare (cercare?)

IoT che possiamo trovare (cercare?)

IoT che possiamo trovare (cercare?)

IoT che possiamo trovare (cercare?)

Cose da “smanettoni”?

No! Estremamente semplice...

No! Estremamente semplice...Possiamo selezionare la nazione, la città, la tipologia di servizi esposti… et voilà!

Shodan: chi cerca trova!

Shodan: chi cerca trova!

category:”ics” country “IT”

port:”10000” country”IT”

dreambox city:”Trento”

net:”109.205.106.120/29”

default password country:”IT”

Troppo pigri per cercare?

Prossimamente sul mercato!Rileva la presenza della persona e apre automaticamente il coperchio, emette da sola il deodorante, scarica l'acqua, emette brani musicali “stimolanti”...

Peccato che l'applicazione Android che dovrebbe gestirla presenta un PIN unico “hardcoded” (0000) per instaurare la connessione Bluetooth con qualsiasi wc.

http://www.webnews.it/2013/08/06/anche-le-smart-toilet-sono-vulnerabili/

Cosa dobbiamo aspettarci dal futuro?

http://www.mckinsey.com/business-functions/business-technology/our-insights/the-internet-of-things-the-value-of-digitizing-the-physical-world

Cosa dobbiamo aspettarci dal futuro?

http://www.hotforsecurity.com/blog/us-intelligence-chief-the-internet-of-things-will-be-used-to-spy-and-hack-13400.html

Quindi?

MERCATO ACERBO

VELOCITA’ ESPANSIONE

SEC BY DESIGN

MERCATO TOTALE

PATCH DIFFICILI

Security by design: analogia

Quindi?

SONO CONSAPEVOLE?

MI PONGO DOMANDE?

HO RESPONSABILITÀ?

OBBLIGHI LEGALI

Consigli (base) utili

PENSA, POI ACQUISTA

LEGGI, POI ACQUISTA

NUOVO=(SPESSO) BUGGATO

QUALI DATI?

Consigli (tecnici) utili:

STRONG PASSWORD

NO DEFAULT PASSWORD

WIFI ENCRYPTION

ACCESSO REMOTO

Consigli (tecnici) utili:

WIFI O WIRED?

AGGIORNAMENTI

IMPOSTAZIONI PRIVACY

FUNZIONALITÀ (IN)UTILI

BACKUP

Grazie mille per l'attenzione!

Domande?Questionario di gradimento:https://it.surveymonkey.com/r/6KB9JRX

Mail: fastfire@fastfire.org Twitter: @fastfireBlog: www.fastfire.org

Download slides: http://www.slideshare.net/MassimoGiaimo/la-insicurezza-nellera-della-iot

The slides are written by Massimo Giaimo and are subjected to Creative Commons Attribution-ShareAlike 3.0 Unported (CC BY-SA 3.0). You are free to copy, distribute, transmit, adapt, sell the work under the following conditions: Attribution – You must cite the Author. Share alike – If you alter, transform, or build upon this work, you mai distribute the resulting work only under the same or similar license to this one.