Perché i dispositivi IoT sono vulnerabili al malware

Un dispositivo IoT è classificato come qualsiasi dispositivo informatico non standard. Possono essere prodotti di consumo, tra cui smart TV e dispositivi indossabili, oppure possono essere industriali, come sistemi di controllo, telecamere di sorveglianza, asset tracker o dispositivi medici. Indipendentemente dal loro obiettivo, i dispositivi IoT hanno cambiato il modo in cui il mondo lavora e vive.

Esistono migliaia di tipi diversi di dispositivi IoT, ma condividono tutti la capacità di connettersi a una rete. La connettività consente di controllare questi dispositivi da remoto e di accedere e raccogliere i loro dati.

Nonostante i numerosi vantaggi, i dati che generano, raccolgono e condividono, nonché le operazioni che eseguono, rendono i dispositivi IoT estremamente attraenti per gli hacker malintenzionati. Il fatto che siano connessi a una rete li espone agli attacchi da remoto e i loro fattori di forma fanno sì che manchino della sicurezza integrata necessaria per proteggersi da minacce e sfruttamento.

Debolezze e vulnerabilità dell’IoT

Secondo il 2023 IoT Security Landscape Report di Bitdefender, le case negli Stati Uniti hanno una media di 46 dispositivi connessi a Internet e subiscono una media di otto attacchi contro tali dispositivi ogni 24 ore. E si tratta solo di dispositivi IoT consumer.

Gli honeypot IoT distribuiti di Nozomi Networks sono stati testimoni di centinaia e migliaia di indirizzi IP unici di aggressori ogni giorno durante l'agosto 2023.

Gli attacchi IoT mirano ad acquisire il controllo del dispositivo, a rubare o cancellare dati sensibili o a reclutarli in a botnet. Gli attacchi riusciti, in particolare se sferrati contro dispositivi connessi che utilizzano infrastrutture critiche o sistemi medici, possono comportare gravi conseguenze fisiche.

Le seguenti problemi di sicurezza rendere i dispositivi IoT vulnerabili al malware:

• Vincoli del dispositivo. La maggior parte dei dispositivi IoT sono progettati con capacità hardware e software minime sufficienti per svolgere le proprie attività. Ciò lascia poca capacità per meccanismi di sicurezza completi o protezione dei dati, rendendoli più vulnerabili agli attacchi.
• Password hardcoded e predefinite. Le password codificate e predefinite offrono agli aggressori che utilizzano tattiche di forza bruta una forte possibilità di violare l'autenticazione di un dispositivo. La botnet HEH, ad esempio, infetta i dispositivi utilizzando credenziali codificate e password forzate.
• Mancanza di crittografia. I dati archiviati o trasmessi in chiaro sono vulnerabili a intercettazioni, corruzione e dirottamento. Importanti informazioni di telemetria inviate da un dispositivo IoT, ad esempio, potrebbero essere manipolate per fornire risultati errati.
• Componenti vulnerabili. L'uso di componenti hardware comuni significa chiunque abbia conoscenza di circuiti elettronici e protocolli di comunicazione, come ad esempio Ricevitore/trasmettitore asincrono universale e il circuito interintegrato, possono smontare un dispositivo e cercare vulnerabilità hardware.
• Diversità dei dispositivi. Rispetto a desktop, laptop e telefoni cellulari, i dispositivi IoT variano in modo significativo in termini di formato e sistema operativo. Lo stesso vale per le tecnologie di rete e i protocolli utilizzati dai dispositivi IoT. Questa diversità richiede misure e controlli di sicurezza più complessi per fornire un livello standard di protezione.
• Mancanza di capacità di audit. Gli aggressori compromettono e sfruttano i dispositivi IoT senza timore che le loro attività vengano registrate o rilevate. I dispositivi infetti potrebbero non mostrare alcun degrado evidente nelle prestazioni o nel servizio.
• Meccanismi di aggiornamento scadenti. Molti dispositivi non hanno la possibilità di aggiornare firmware o software in modo sicuro. Questa carenza richiede alle aziende di impegnare risorse significative per mantenere i dispositivi IoT protetti dalle nuove vulnerabilità, lasciando esposti molti dispositivi. Inoltre, i dispositivi IoT hanno solitamente implementazioni lunghe, quindi diventa sempre più difficile proteggerli da nuovi modelli di attacco.
• Mancanza di consapevolezza della sicurezza. Le organizzazioni spesso implementano i dispositivi IoT senza comprenderne appieno i punti deboli e l'impatto che hanno sulla sicurezza complessiva della rete. Allo stesso modo, la maggior parte dei consumatori non ha la conoscenza necessaria per modificare le password e le impostazioni predefinite prima di connettere un nuovo dispositivo a Internet, rendendo il gadget un facile bersaglio per gli aggressori.

Malware e attacchi IoT

I dispositivi IoT possono essere coinvolti in numerose violazioni della sicurezza informatica e infezioni malware, e i loro effetti possono essere immediati, a cascata e causare gravi interruzioni. Gli attacchi includono botnet, ransomware, destroyware e dispositivi non autorizzati.

• Botnet dell'IoT. Il malware botnet è spesso open source e disponibile gratuitamente sui forum clandestini. È progettato per infettare e controllare il maggior numero possibile di dispositivi e allo stesso tempo impedire ad altri malware botnet di prendere il controllo del dispositivo. A causa della loro scarsa sicurezza, i dispositivi IoT consentono agli autori delle minacce di reclutarli come bot e creare enormi botnet per lanciare devastanti attacchi DDoS. Infatti, secondo il Nokia Threat Intelligence Report del 2023, le botnet IoT generano oggi oltre il 40% di tutto il traffico DDoS, un aumento di cinque volte rispetto all’anno scorso. Il primo grande attacco botnet IoT è avvenuto nel 2016 Attacco botnet Mirai. Sono stati infettati più di 600,000 dispositivi IoT, comprese telecamere a circuito chiuso e router domestici. Diversi importanti siti web sono rimasti offline per ore. Le botnet IoT possono lanciare altri attacchi, inclusi attacchi di forza bruta, attacchi di phishing e campagne di spam.
• ransomware. Sebbene molti dispositivi IoT non memorizzino dati preziosi a livello locale, possono comunque cadere vittima di un attacco ransomware. Il ransomware IoT blocca la funzionalità di un dispositivo, bloccando i dispositivi intelligenti e arrestando le operazioni aziendali o le infrastrutture critiche. I ransomware FLocker ed El Gato, ad esempio, prendono di mira telefoni cellulari, tablet e smart TV, e gli aggressori richiedono il pagamento prima di sbloccare i dispositivi infetti. Anche se potrebbe essere possibile resettare semplicemente i dispositivi IoT infetti, farlo su centinaia o migliaia di dispositivi prima che si verifichi una situazione grave offre all’aggressore una grande influenza. Un attacco ransomware al momento o nel luogo giusto offre alla vittima poca o nessuna opzione se non quella di pagare il riscatto.
• Distruzione. Si tratta di un termine inventato, ma cattura l’intento di questo malware IoT. Il Destructionware è un attacco progettato per paralizzare l'infrastruttura per scopi politici, ideologici o semplicemente dannosi. Caso in questione: l’attacco del 2015 contro la rete elettrica dell’Ucraina. L’attacco sofisticato e ben pianificato ha distrutto un’intera rete elettrica; passarono mesi prima che le operazioni venissero completamente ripristinate. Parte dell'attacco prevedeva la sovrascrittura del firmware sui convertitori critici da seriale a Ethernet, impedendo agli operatori reali di emettere telecomandi. I dispositivi infetti hanno dovuto essere sostituiti con altri nuovi. Un attacco simile si è verificato in 2022.
• Dispositivi canaglia. Invece di tentare di assumere il controllo dei dispositivi IoT, molti criminali informatici semplicemente collegano un dispositivo non autorizzato alla rete IoT se non è completamente protetto. Ciò crea un punto di accesso dal quale l'aggressore può spostarsi ulteriormente nella rete.

Come rilevare gli attacchi malware IoT

I dispositivi IoT sono ormai componenti essenziali praticamente di tutti i principali settori. I team di sicurezza devono comprendere i complessi fattori di rischio specifici della loro distribuzione e utilizzo. Le tecniche di rilevamento del malware IoT, tuttavia, sono ancora in fase di sviluppo. Ad esempio, le tecniche standard di analisi dinamica e statica integrate non sono possibili a causa delle diverse architetture e dei vincoli di risorse dei dispositivi IoT.

L'approccio migliore per rilevare il malware IoT è un sistema di monitoraggio centrale che analizza le attività dei dispositivi, come il traffico di rete, il consumo di risorse e le interazioni degli utenti, quindi utilizza l'intelligenza artificiale per generare profili comportamentali. Questi profili possono aiutare a rilevare eventuali deviazioni derivanti da attacchi informatici o modifiche di software dannoso, indipendentemente dal tipo di dispositivo. I dispositivi che generano o gestiscono dati riservati dovrebbero utilizzare a modello di apprendimento federato decentralizzato per garantire la riservatezza dei dati durante l'addestramento dei modelli.

I futuri metodi di rilevamento dell’IoT potrebbero includere l’analisi del segnale elettromagnetico. I ricercatori di sicurezza che lavorano all’IRISA, ad esempio, identificato malware in esecuzione su un dispositivo Raspberry Pi con una precisione del 98% analizzando l'attività elettromagnetica. Un grande vantaggio di questa tecnica è che non può essere rilevata, bloccata o elusa da alcun malware.

Come prevenire il malware IoT

Fino a quando non sarà disponibile un metodo praticabile ed efficace per rilevare e bloccare rapidamente il malware, l'approccio migliore è garantire che i dispositivi siano completamente protetti prima e durante la distribuzione.

Segui i seguenti passi:

• Abilita l'autorizzazione forte. Cambia sempre le password predefinite. Ove possibile, utilizzare l'autenticazione a più fattori.
• Utilizza la crittografia sempre attiva. Crittografa sempre tutti i dati e i canali di comunicazione di rete.
• Disabilita le funzioni non necessarie. Se alcune funzionalità non vengono utilizzate, ad esempio il Bluetooth se il dispositivo comunica tramite Wi-Fi, disabilitale per ridurre la superficie di attacco.
• Applicare patch e aggiornamenti. Come per tutte le altre risorse di rete, mantenere aggiornati tutte le applicazioni e i dispositivi IoT, in particolare il firmware. Ciò potrebbe essere problematico per i dispositivi più vecchi a cui non è possibile applicare patch. Se l'aggiornamento non è possibile, posiziona i dispositivi su una rete separata in modo che non mettano a rischio altri dispositivi. Apparecchi gateway può aiutare a proteggere questi tipi di dispositivi dalla scoperta e dagli attacchi.
• API sicure. Le API sono una parte importante dell'ecosistema IoT. Forniscono un'interfaccia tra i dispositivi e i sistemi back-end. Di conseguenza, sottoponi a stress test tutte le API utilizzate dai dispositivi IoT e controllale per garantire che solo i dispositivi autorizzati possano comunicare tramite di esse.
• Mantenere un inventario completo delle risorse. Aggiungi ogni dispositivo IoT a uno strumento di gestione dell'inventario. Registra ID, posizione, cronologia dei servizi e altri parametri importanti. Ciò migliora la visibilità nell’ecosistema IoT, aiuta i team di sicurezza a identificare i dispositivi non autorizzati che si connettono alla rete e segnala modelli di traffico anomali che potrebbero indicare un attacco in corso. Gli strumenti di rilevamento della rete possono anche aiutare i team a rimanere aggiornati sulle reti IoT di grandi dimensioni e in rapida espansione.
• Implementare una forte sicurezza di rete. Separa tutte le reti a cui i dispositivi IoT si connettono e implementa difese perimetrali dedicate.
• Monitorare le applicazioni back-end IoT. Imposta avvisi per avvisare di attività insolite ed esegui regolarmente la scansione delle vulnerabilità.
• Sii proattivo riguardo alla sicurezza. Implementare misure di mitigazione quando vengono scoperti nuovi metodi di attacco o malware. Rimani aggiornato sugli sviluppi nel panorama delle minacce IoT. Metti in atto un piano ben collaudato per rilevare e rispondere al ransomware e attacchi DDoS.
• Stabilire politiche di lavoro da casa. Poiché sempre più persone collegano i dispositivi IoT consumer alle proprie reti domestiche, i dipendenti che lavorano da casa devono seguire rigorosamente le politiche che regolano il modo in cui accedono alle reti e alle risorse aziendali. I dispositivi domestici intelligenti potrebbero anche avere una sicurezza debole, aprendo il rischio che un utente malintenzionato possa creare un punto di ingresso nella rete di un'azienda. Rendere i dipendenti consapevoli dei rischi per la sicurezza creati dai loro dispositivi intelligenti e di come garantire che siano al sicuro dagli attacchi.
• Metti in atto un programma di ricompensa dei bug. Offri ricompense agli hacker etici che scoprono e segnalano con successo una vulnerabilità o un bug all'interno dell'hardware o del software dell'ecosistema IoT.

Il futuro degli attacchi IoT

Stabilire un piano per mitigare le vulnerabilità del malware IoT e determinare come contrastare gli attacchi IoT è una priorità per tutte le organizzazioni. La frequenza degli attacchi IoT non farà altro che aumentare man mano che il mondo diventa sempre più dipendente dalle tecnologie intelligenti.

Gli ecosistemi IoT sono naturalmente complessi con un’ampia superficie di attacco; gli hacker malintenzionati considerano giustamente i dispositivi IoT come un frutto a portata di mano. La mancanza di standard di sicurezza IoT accettati a livello globale rende la protezione dei dispositivi IoT molto più impegnativa. Iniziative, come quelle di NIST, ENISA, le Istituto europeo per le norme di telecomunicazione e la Alleanza ioXt, porterà a un notevole miglioramento della sicurezza integrata per i futuri dispositivi IoT. Il Cyber ​​Resilience Act dell’UE, nel frattempo, mira a garantire i produttori migliorano la sicurezza dei loro dispositivi digitali.

Michael Cobb, CISSP-ISSAP, è un rinomato autore di sicurezza con oltre 20 anni di esperienza nel settore IT.