La (in)sicurezza

nell'era della IoT

Come la
Internet of Things
ha reso la nostra esistenza
meno sicura

Massimo Giaimo aka fastfire

fastfire@fastfire.org
 disclaimer
I contenuti di questa presentazione non violano
alcuna proprietà intellettuale e non sono in
contrasto con la vigente legislazione.

Parte del materiale utilizzato è liberamente

tratto e rielaborato da una serie di fonti
autorevoli, tutte puntualmente citate.

I marchi appartengono ai rispettivi proprietari.

Le opinioni qui espresse sono esclusivamente

quelle dell'autore.
 # whoami
Responsabile Area Information Technology presso
SIBT (Servizi Informatici Bancari Trentini)

Blogger (www.fastfire.org)

I marchi appartengono ai rispettivi proprietari.

Involved/Certified
 Cos'è l'Internet of Things?

Fino a poco tempo fa parlavamo solo della “rete

delle reti”, di Internet: router, server,
stampanti…
Da qualche anno i produttori mondiali stanno
lavorando ad un obiettivo: connettere ad
Internet qualsiasi cosa, secondo il paradigma
per cui “Ogni oggetto che potrà essere
connesso, lo sarà”.
Ma dove sono questi oggetti?

Sono già “tra noi”… in ciò che...

facciamo
mangiamo
indossiamo
usiamo per muoverci, viaggiare
leggiamo
scriviamo
diciamo
 Ma quanti sono questi oggetti?
Nel 2008 il numero di oggetti connessi ha superato il numero di
persone.
Nel 2020 si stima ci saranno 50 miliardi di oggetti connessi.

http://blogs.cisco.com/wp-content/uploads/internet_of_things_infographic_3final.jpg
Mondo consumer
 Mondo SCADA/ICS

http://www.tenable.com/plugins/index.php?view=all&family=SCADA
Mondo Corporate
●
Controllo accessi
●
Telecamere di sicurezza
●
Dispositivi accesso
hotel
●
Domotica
●
Stampanti all-in-one
●
Telefoni (voip)
Dispositivi medici
●
Pacemakers
●
Risonanza magnetica
●
Dosaggio insulina
●
Robot chirurgici
●
Sistemi di monitoraggio
●
Analisi di laboratorio
 Anche le mucche sono smart?

http://blogs.cisco.com/diversity/the-internet-of-things-infographic
 Smart City
INFRASTRUTTURE MONITORAGGIO

E-GOVERNANCE

TRASPORTI SALUTE

ENERGIA SICUREZZA

RILEVAZIONE CRIMINE ISTRUZIONE

E se le macchine si ribellassero?
Tralasciando la singolarità,
ancora lontana...

… l'errore (ed il pericolo)

è sempre…
UMANO!
 Ma cosa succederebbe se
qualcuno...
prendesse il controllo del vostro
pacemaker?
prendesse il controllo della vostra
auto?
prendesse il controllo di un robot
chirurgico?
prendesse il controllo di una
centrale idrica o elettrica?
prendesse il controllo dei
semafori di una grande città?
spiasse i vostri bambini mentre
dormono?
MISSIONE IMPOSSIBILE?

FORSE NO!
E' già accaduto! Vediamo
insieme qualche caso!
Ma vediamo prima cosa ne
pensano i media...
 Dai frigorigeri che spammano...
Alla Defcon Conference 2015,
una delle più importanti
conferenze mondiali riguardanti
la sicurezza informatica, è stato
dimostrato come sia possibile
rubare le credenziali di
accesso Gmail, sfuttando una
vulnerabilità presente nella
gestione della validazione dei
certificati ssl utilizzati dal
software di gestione di un
frigorifero Samsung.
https://www.pentestpartners.com/blog/hacking-defcon-23s-iot-village-samsung-
fridge/
 …ai televisori che condividono...
Nel 2014 è stato un hacker
italiano, Luigi Auriemma, a
scoprire una vulnerabilità presente
nelle Smart TV Philips, che
consente di violare il televisore ed
avere accesso alla maggior parte
delle informazioni (cookie di
autenticazione Gmail, dati presenti
su una chiavetta usb collegata alla
tv) in esso contenute utilizzando
la password di default del sistema
Miracast, che dà la possibilità di
trasferire contenuti da
smartphone e tablet.
http://revuln.com/files/Ferrante_Auriemma_SmartTV_Insecurity.pdf e
https://vimeo.com/55174958
 … dal controllo dei baby monitor...
Nel settembre 2015 sono state
scoperte vulnerabilità
(password di default, traffico
non cifrato, frequenze
“simili”...) su 9 diversi modelli di
baby monitors, che
consentirebbe ad un potenziale
attaccante di prenderne il
controllo.

A inizio 2016 coppia di genitori

USA spaventati dal fatto che il
loro bambino di notte “sentiva
le voci”… era vero!
http://arstechnica.com/security/2015/09/9-baby-monitors-wide-open-to-hacks-that-
expose-users-most-private-moments
http://attivissimo.blogspot.it/2016/01/bimbo-dice-di-sentire-le-voci-di-notte.html?m=1
 …ai semafori intelligenti...
Ad agosto 2014 un gruppo di
ricercatori ha pubblicato un
report nel quale si dimostra la
possibilità di prendere il
controllo di circa 100
semafori di Michigan City.
Tutto questo utilizzando un pc
portatile e grazie al fatto che i
segnali radio necessari alla
comunicazione tra i diversi
semafori erano aperti e non
criptati. Inoltre le credenziali
erano quelle di default,
facilmente recuperabili in
Internet.
http://theconversation.com/traffic-light-hacking-shows-the-internet-of-things-must-come-
with-better-security-30803
https://jhalderm.com/pub/papers/traffic-woot14.pdf
 …dalla cassaforte(debole)...
A luglio 2015 due ricercatori
della Bishop Fox hanno
scoperto una vulnerabilità
riguardante la cassaforte
“CompuSafe Galileo”, che
consente a chiunque abbia
accesso fisico alla cassaforte di
poterne aprire liberamente la
porta, prelevando a propria
discrezione ciò che dovrebbe
essere al sicuro. Lo script
utilizzato come exploit è stato
caricato attraverso la porta USB
della cassaforte, avente come
sistema operativo Windows XP.
http://www.wired.com/2015/07/brinks-super-secure-smart-safes-not-secure/
 …al ferro da stiro spione...

Ancora nel 2013 il canale russo

Rossiya 24 ha mostrato le
immagini di un ferro da stiro di
fabbricazione cinese,
equipaggiato con microchip
utilizzato per spiare
l'ambiente circostante e con
la capacità di collegarsi ad
eventuali reti wifi non protette
nell'arco di 200 metri.

http://thehackernews.com/2013/11/russia-finds-spying-microchips-planted_1.html
 Facciamo un giro in jeep?
A luglio 2015 Charlie Miller e
Chris Valasek dimostrano la
possibilità di prendere il
controllo remoto di una Jeep
Cherokee, manipolando i freni,
il sistema di controllo
(Uconnect), il climatizzatore, la
radio.
A causa di questa vulnerabilità
la Fiat Chrysler è stata costretta
a richiamare 1,4 milioni di
vetture per aggiornarne la
componente software.
https://blog.kaspersky.com/blackhat-jeep-cherokee-hack-explained/9493/
http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
 Infrastrutture critiche

E' di ottobre 2015 la notizia che

alcuni esperti hanno violato le
difese di un'azienda pubblica di
fornitura di energia ed acqua, in
soli 22 minuti. Questa azione
ha dimostrato come anche
infrastrutture critiche come
centrali elettriche o idriche
siano vulnerabili a possibili
attacchi.

http://www.eenews.net/stories/1060025871
 Infrastrutture critiche

Un recente (ottobre 2015)

studio di Positive Technologies
ha rivelato l'esistenza di più
15000 sistemi ICS (Industrial
Control System)
potenzialmente vulnerabili. In
Italia non siamo sicuramente
esenti dal problema, come si
può dedurre dal grafico.

http://blog.ptsecurity.com/2015/10/industrial-control-system-security-in.html
 Infrastrutture critiche

A febbraio 2016 è stato

scoperto che una mini-centrale
elettrica di Tolosa, Francia, è
stata collegata in internet con
un accesso vnc senza alcuna
protezione. Per giorni alcune
persone si sono “divertite” a
cliccare sui comandi della
centrale...

http://attivissimo.blogspot.it/2016/02/mini-centrale-idroelettrica-francese.html
 Però all'ospedale sono al sicuro!(?)
All'ultima conferenza DerbyCon,
negli USA, due ricercatori, Scott
Erven e Mark Collao, hanno
individuato un'organizzazione che
espone migliaia di apparecchiature
mediche connesse in rete e
vulnerabili. Sono stati trovati i
seguenti device:
21 in anestesia
488 in cardiologia
67 in medicina nucleare
133 sistemi di infusione
31 pacemakers
97 MRI (risonanza magnetica)

http://www.theregister.co.uk/2015/09/29/thousands_of_directly_hackable_hospital_devices
_found_exposed/
 Giochiamo al dottore (uno)?

Ad aprile 2015 alcuni ricercatori

dell'università di Washington
hanno preso il controllo di un
robot chirurgico (modello
Raven II) attraverso internet e
hanno dimostrato la possibilità
di far compiere al robot
qualsiasi movimento. Inoltre
la diretta dell'intervento era
pubblicamente accessibile!

http://gizmodo.com/medical-robots-can-be-hacked-during-surgery-researcher-1700143736
 Giochiamo al dottore (due)?
A giugno 2015 il ricercatore
Billy Rios ha trovato delle
vulnerabilità nei sistemi di
infusione della “Hospira
Lifecare”, sfruttando le quali è
possibile:
- alterare le dosi di farmaco
grazie a librerie software prive
di autenticazione
- aggiornare il firmware dei
dispositivi grazie a password
“hardcoded” e in plain text nel
software di gestione MedNet

http://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/
 Giochiamo al dottore (tre)?
Nell'ottobre 2012 il security
researcher Barnaby Jack
dimostra la possibilità di inviare
una scarica da 830 volt ad un
pacemaker, in grado di
uccidere una persona situata
a 10 metri di distanza, solo
grazie ad un notebook ed un
firmware modificato.
Questa tipologia di attacco è
stata ripresa anche in una
puntata di Homeland.

http://www.computerworld.com/article/2473402/cybercrime-hacking/pacemaker-hacker-
says-worm-could-possibly--commit-mass-murder-.html
 Qualcuno lo ha preso sul serio...

https://nakedsecurity.sophos.com/2013/10/22/doctors-disabled-wireless-in-dick-cheneys-
pacemaker-to-thwart-hacking/
Qualcuno lo ha preso molto sul serio...

Barnaby Jack in una

famosa demo alla
Black Hat Conference
del 2010 dimostrò
come fosse possibile
exploitare gli ATM...

Una settimana prima della Black Hat Conference 2013, dove

avrebbe dovuto dimostrare la vulnerabilità relativa al
pacemaker, il ricercatore dichiarò in un'intervista che “ci
sarebbero potute essere conseguenze letali”.

http://www.reuters.com/article/us-hacker-death-idUSBRE96P0K120130727
Le vulnerabilità sono ovunque...

E la sicurezza?
Il Rapporto ClusIT
Se non ci credete leggete il rapporto
ClusIT. Il ClusIT è una delle più
importanti associazioni sulla sicurezza
informatica (sicuramente la più
importante in Italia). Annualmente
pubblica un rapporto sulla sicurezza
ICT.

Solo in Italia nel 2014 i danni derivanti

da attacchi informatici sono stati
stimati in 9 miliardi di euro.

E' possibile richiedere una copia in

formato pdf del rapporto ClusIT.

Per maggiori informazioni:

https://clusit.it/rapportoclusit/
 Cosa emerge?

Non importa chi sei

Non importa cosa fai

Non importa con cosa lo fai

Ti attaccheranno
Attaccheranno proprio me? Ma
dai!!!!

Criminalità organizzata

Quasi mai un target preciso

Botnet (anche ad affitto)

Spam, phishing, spit, vishing, DDOS

Search pass.txt, creditcard.pdf,...

 Saper fare affari...

Fonte: Rapporto ClusIT 2016

Global Risk Landscape
 OWASP IoT Top 10

La OWASP Foundation
ha pubblicato la lista
delle 10 vulnerabilità
maggiormente
individuate nei
dispositivi della
Internet Of Things.

https://www.owasp.org/images/8/8e/Infographic-v1.jpg
https://www.owasp.org/images/7/71/Internet_of_Things_Top_Ten_2014-OWASP.pdf
 OWASP IoT Top 10
DEFAULT CREDENTIAL HARDCODED PASSWORD

NO SSL
PLAIN TEXT PASSWORD

CSRF
REVERSE ENGINEERING

XSS
REMOTE CODE INJECTION
BACKDOOR

ACCESSO FISICO SQLi

 Un esempio di backdoor: Joel's

Nel 2013 Craig Heffner scopre una vulnerabilità sui router

con marchio D-LINK.

Ricostruendo una funzione nella richiesta che viene

effettuata dal browser e cambiando il valore di User-Agent
in “xmlset_roodkcableoj28840ybtide” è possibile
accedere all'interfaccia amministrativa del router senza la
necessità di inserire credenziali di autenticazione.

La stringa non è altro che “edit by 04882 joel backdoor”

scritta al contrario. Eccesso di zelo da parte di qualche
programmatore...
 Un esempio di backdoor: Joel's

http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/
 Propaganda
Metti la stampante in rete e...

http://www.htxt.co.za/2016/03/29/hack-pushes-racist-message-to-30000-printers/
Il prossimo obiettivo?
 Il prossimo obiettivo?
Alcuni ricercatori di IOActive hanno
già scoperto diverse vulnerabilità nei
software dei sistemi satellitari
sviluppati dalle compagnie inglesi
Cobham e Inmarsat.

Le vulnerabilità non sono state rese

note, ma possiamo immaginare cosa
succederebbe se qualche
organizzazione criminale riuscisse a
mettere le mani su quei dati,
considerando cosa controllano oggi i
satelliti:
traffico aereo
comunicazioni e spostamenti
(droni…) militari
trasmissioni televisive
http://www.theguardian.com/technology/2014/apr/17/military-satellite-system-vulnerable-hacking
 Il prossimo obiettivo?
Alla conferenza DEFCON 2015 il
ricercatore Ryan Satterfield,
dell'azienda di sicurezza Planet Zuda,
ha dimostrato come sia facilmente
sfruttabile una vulnerabilità
presente sul modello di drone Parrot
AR, uno dei più diffusi sul mercato.

Utilizzando esclusivamente un
notebook ed uno smartphone, ha
preso il controllo del drone e lo ha
letteralmente fatto precipitare a
terra.

Pensiamo che oggi i droni vengono

abitualmente utilizzati nelle grandi
manifestazioni...
http://www.wired.co.uk/news/archive/2015-08/19/drone-hack-defcon
C'è una guerra
la fuori e non
la vincerà chi
ha più
pallottole
 Vincerà chi:

ha più informazioni
e
saprà difendere la proprie
E ne abbiamo da difendere...

Chi conosce la
Google Dashboard
?
… ma non vediamo l’ora di
farle sapere a tutti!
Ramsomware e l'IoT
Cryptolocker
 Scenario 1:
prendo il controllo dei dispositivi che
gestiscono la centrale elettrica della
tua città e ti chiedo un riscatto...
 Scenario 2:
cripto i dati dei PC che gestiscono i
dati dei tuoi pazienti. Se non paghi
entro 24 ore i tuoi dati saranno persi
per sempre...
IoT che possiamo trovare (cercare?)
IoT che possiamo trovare (cercare?)
IoT che possiamo trovare (cercare?)
IoT che possiamo trovare (cercare?)
IoT che possiamo trovare (cercare?)
IoT che possiamo trovare (cercare?)
IoT che possiamo trovare (cercare?)
Cose da “smanettoni”?
No! Estremamente semplice...
 No! Estremamente semplice...
Possiamo selezionare la nazione, la città, la tipologia di
servizi esposti… et voilà!
Shodan: chi cerca trova!
 Shodan: chi cerca trova!

category:”ics” country “IT”

port:”10000” country”IT”

dreambox city:”Trento”

net:”109.205.106.120/29”

default password country:”IT”

Troppo pigri per cercare?
 Prossimamente sul mercato!
Rileva la presenza della persona e apre automaticamente
il coperchio, emette da sola il deodorante, scarica
l'acqua, emette brani musicali “stimolanti”...

Peccato che l'applicazione Android che dovrebbe gestirla

presenta un PIN unico “hardcoded” (0000) per instaurare la
connessione Bluetooth con qualsiasi wc.
http://www.webnews.it/2013/08/06/anche-le-smart-toilet-sono-vulnerabili/
 Cosa dobbiamo aspettarci dal futuro?

http://www.mckinsey.com/business-functions/business-technology/our-insights/
the-internet-of-things-the-value-of-digitizing-the-physical-world
 Cosa dobbiamo aspettarci dal futuro?

http://www.hotforsecurity.com/blog/us-intelligence-chief-the-internet-of-things-will-be-used-to-
spy-and-hack-13400.html
MERCATO TOTALE
VELOCITA’ ESPANSIONE

Quindi?
SEC BY DESIGN

MERCATO ACERBO PATCH DIFFICILI

Security by design: analogia
Quindi?

SONO CONSAPEVOLE?

MI PONGO DOMANDE?

HO RESPONSABILITÀ?

OBBLIGHI LEGALI
Consigli (base) utili

PENSA, POI ACQUISTA

LEGGI, POI ACQUISTA

NUOVO=(SPESSO) BUGGATO

QUALI DATI?
Consigli (tecnici) utili:

STRONG PASSWORD

NO DEFAULT PASSWORD

WIFI ENCRYPTION

ACCESSO REMOTO
Consigli (tecnici) utili:

WIFI O WIRED?

AGGIORNAMENTI

IMPOSTAZIONI PRIVACY

FUNZIONALITÀ (IN)UTILI

BACKUP
 Grazie mille per
l'attenzione!
Domande?
Questionario di gradimento:
https://it.surveymonkey.com/r/6KB9JRX
Mail: fastfire@fastfire.org
Twitter: @fastfire
Blog: www.fastfire.org

Download slides:
http://www.slideshare.net/MassimoGiaimo/la-
insicurezza-nellera-della-iot

The slides are written by Massimo Giaimo and are subjected to Creative
Commons Attribution-ShareAlike 3.0 Unported (CC BY-SA 3.0). You are free to
copy, distribute, transmit, adapt, sell the work under the following conditions:
Attribution – You must cite the Author. Share alike – If you alter, transform, or
build upon this work, you mai distribute the resulting work only under the
same or similar license to this one.