i pericoli dell'internet of things in ambito sanitario, industriale e privato

I pericoli dell'Internet of Things in ambito sanitario, industriale e privato

Breve viaggio nell’ «oscuro» mondo dell’IoT

Danilo De Rogatis

Disclaimer

2Foggia, 28 ottobre 2015 Danilo De Rogatis

I contenuti di questa presentazione non violano alcuna proprietà intellettuale e non sono in contrasto con la vigente legislazione.

Parte del materiale utilizzato è liberamente tratto e rielaborato da una serie di fonti autorevoli, tutte puntualmente citate.

I marchi citati appartengono ai rispettivi proprietari.

Le opinioni qui espresse sono esclusivamente quelle dell'autore.

$ whoami

3

Responsabile Sistemi Informativi

Ho collaborato (o collaboro) con

Involved in/Certified

Foggia, 28 ottobre 2015 Danilo De Rogatis

Cos’è l’Internet of Things (IoT)?


Cos’è l’IoT?

5

• Internet è «la rete delle reti»

• Fino a poco tempo fa gli oggetti

connessi ad Internet erano router,

server, stampanti, etc.

• Da qualche anno l’industria mondiale sta

lavorando per connettere ad Internet

qualsiasi tipo di oggetto, secondo il

paradigma per cui «Ogni oggetto che

potrà essere connesso, lo sarà». A tal

proposito sarebbe più corretto parlare

di «Internet of Everything» (IoE).


La «vecchia» Internet

6

http://uk.businessinsider.com/the-internet-of-everything-2014-slide-deck-sai-2014-2?op=0#


La «nuova» Internet

7

Immagini: in basso a sx: Gemalto; in basso a dx: Filmateria Digital LLC


Nel 2020 gli «oggetti» connessi saranno 50 mld

8

http://blogs.cisco.com/diversity/the-internet-of-things-infographic


Nel 2017 il mercato IoT supererà quello di smartphone, tablet e pc messi insieme

9

http://uk.businessinsider.com/the-internet-of-everything-2014-slide-deck-sai-2014-2


«Tutto ciò che potrà essere connesso lo sarà!»

10

http://uk.businessinsider.com/the-internet-of-everything-2014-slide-deck-sai-2014-2


Oggetti già connessi

11

Mondo Consumer


Mucche olandesi «smart» ??

12

http://blogs.cisco.com/diversity/the-internet-of-things-infographic



13

Sistemi di Controllo Industriali (ICS)

http://www.tenable.com/plugins/index.php?view=all&family=SCADA



14

Mondo Corporate

• Controllo accessi

• Telecamere di sicurezza

• Schede per l'accesso alle

camere degli hotel

• Stampanti multifunzione

• Telefoni

• Serrature

• Sistemi di climatizzazione



15

Dispositivi Medicali

• Sistemi di dosaggio per

l'insulina

• Sistemi di infusione IV

• Pacemakers e

Defibrillatori

• Risonanza magnetica

• Robot chirurgici

• Sistemi di monitoraggio

• Sistemi per le analisi

di laboratorio


Esiste però un «lato oscuro» dell’IoT...


Cosa accadrebbe ad esempio se...

17

Qualcuno prendesse il controllo di una centrale

elettrica?

Qualcuno prendesse il controllo della vostra auto

mentre state guidando sull'autostrada?

Qualcuno riuscisse a controllare a distanza il

vostro pacemaker o la vostra pompa ad insulina?

Qualcuno prendesse il controllo di un robot

chirurgico durante un intervento?



IO NON CREDO

FANTASCIENZA?

Non aprite quella porta…

19

Ricordate il

film?


Non aprite quel frigo…

20

Oggi potrebbe

essere così



21

Anzi, è GIA’

così! O_o



22

Agosto 2015: Alla DEFCON Hacking

Conference, una delle più

importanti conferenze mondiali

sulla sicurezza informatica,

alcuni esperti hanno dimostrato

come sia possibile rubare le

credenziali di accesso a Gmail,

sfruttando una vulnerabilità del

frigo Samsung mod. RF28HMELBSR,

che falliva nel validare i

certificati SSL.

http://www.theregister.co.uk/2015/08/24/smart_fridge_security_fubar/


Frigoriferi Spammer...

23

Si calcola che più del 25% dello

SPAM mondiale provenga da oggetti

"non convenzionali", come

frigoriferi, TV, Set-Top Boxes,

Media Players, NAS (unità di

storage), videocamere, stampanti,

etc. ed è un numero certamente

destinato a salire.

https://www.proofpoint.com/us/threat-insight/post/Your-Fridge-is-Full-of-SPAM


Caffettiere & ferri da stiro

24

http://thehackernews.com/2013/11/russia-finds-spying-microchips-planted_1.html


Sono già stati dimostrati attacchi che

sfruttano caffettiere Wi-Fi. Qualche giorno

fa il canale di Stato russo Rossya24 ha

mostrato le immagini di un ferro da stiro

di fabbricazione cinese, contenente un chip

utilizzato per spiare l’ambiente

circostante, equipaggiato con un piccolo

microfono ed in grado di connettersi a

reti Wi-Fi non protette in un raggio di 200

mt. Lo stesso dicasi per caricabatterie ed

altri oggetti di uso comune.

http://thehackernews.com/2015/10/hacking-wifi-password.html

In principio fu la Smart TV...

25

Nel 2014 l’italiano Luigi Auriemma di ReVuln ha

dimostrato come sia semplice compromettere una

Smart TV Philips, estraendo i cookie del

browser che possono contenere dati sensibili ed

essere usati per autenticarsi su molti servizi

web.

In particolare Auriemma e il suo team sono

riusciti a catturare i cookie di autenticazione

a Gmail e ad estrarre dati presenti su una

chiavetta USB connessa alla Smart TV.

L’exploit è stato possibile a causa del fatto

che chiunque sia nelle vicinanze della TV possa

connettersi ad essa semplicemente inserendo la

password “Miracast” che era scolpita

all’interno del firmware della Smart TV Philips

https://vimeo.com/90138302


Controllo remoto di baby monitor

26

• Settembre 2015: Decine di

vulnerabilità rilevate su 9 marchi di

baby monitors, che consentirebbero di

prenderne il controllo ed esporre

immagini private o pilotare i device

a proprio piacimento.

• Nello steso periodo una coppia

dell'Indiana ha denunciato un accesso

abusivo al loro baby monitor, su cui

è stato proiettato il video di "Every

Breath You Take" dei Police, seguito

da "sexual noises"

http://arstechnica.com/security/2015/09/9-baby-monitors-wide-open-to-hacks-that-expose-users-most-private-moments/


Cassaforti insicure...

27

Luglio 2015: due ricercatori dimostrano

come la cassaforte modello "CompuSafe

Galileo" della notissima Brink presenti

vulnerabilità in grado di consentire a

chiunque abbia accesso fisico ad essa di

poter aprire a piacimento la porta,

prelevando denaro e scrivendo nei log

della cassaforte dati fasulli (false

operazioni).

In sostanza, i due esperti hanno iniettato

uno script appositamente forgiato

attraverso la porta USB, bypassando tutte

i controlli e ottenendo pieno accesso al

sistema operativo (Windows XP) con

privilegi di Administrator.

http://www.wired.com/2015/07/brinks-super-secure-smart-safes-not-secure/


Semafori «allegri»...

28

Agosto 2014: un gruppo di

ricercatori dell’Università del

Michigan hanno dimostrato come sia

possibile prendere possesso di

sistemi di controllo dei semafori.

La comunicazione wireless tra

i semafori e i vari nodi della

rete veniva effettuata in

chiaro (no encryption) e in

più, le credenziali usate

erano quelle di default,

facilmente recuperabili da

Internet

http://theconversation.com/traffic-light-hacking-shows-the-internet-of-things-must-come-with-better-security-30803


Infrastrutture critiche a rischio

29

Ottobre 2015: alcuni esperti

hanno violato le difese di

una Public Utility americana

dell'energia e dell'acqua in

22 minuti, mostrando come

sia semplice compromettere

infrastrutture critiche come

centrali elettriche o

idriche.

http://www.eenews.net/energywire/stories/1060025871/search?keyword=snohomish


Infrastrutture critiche a rischio

30

Secondo uno Studio di Positive

Technologies, esistono

atualmente più di 15.000 Sistemi

di Controllo Industriale (ICS)

vulnerabili. Come si vede dal

grafico, l’Italia è al quarto

posto per sistemi di controllo

industriale potenzialmente

vulnerabili ad attacchi.

http://blog.ptsecurity.com/2015/10/industrial-control-system-security-in.html


Come ti piloto la Jeep a distanza...

31

Luglio 2015: due ricercatori

(Charlie Miller and Chris Valasek)

hanno dimostrato come sia possibile

prendere possesso da remoto di una

Jeep Cherokee, riuscendo a

manipolare il climatizzatore, la

radio, i freni e tutto il sistema

di controllo elettronico

(Uconnect), fino a spegnere

definitivamente il veicolo. A

seguito di questa "demo" la Fiat

Chrysler ha dovuto richiamare oltre

1.4 milioni di autoveicoli per

«patchare» il sistema

http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/


32

Settembre 2015: due ricercatori (Scott Erven

and Mark Collao) hanno individuato oltre 68.000

dispositivi medici vulnerabili tutti

appartenenti ad un’unica organizzazione, tra

cui:

• 488 in cardiologia

• 97 risonanza magnetica (MRI)

• 21 in anestesia

• 133 sistemi di infusione di farmaci

Alcuni vettori di attacco usati:

• Credenziali di default

• Dispositivi che funzionano con Windows XP,

vulnerabili addirittura ad attacchi di tipo

Remote Code Execution (MS08-067), il

«vecchio» Conficker...

Dispositivi medici vulnerabili

http://www.theregister.co.uk/2015/09/29/thousands_of_directly_hackable_hospital_devices_found_exposed/


33

Aprile 2015: alcuni ricercatori

dell’Università di Washington sono riusciti

a prendere il controllo di un robot

chirurgico Raven II attraverso una normale

connessione Internet, dimostrando

l'esistenza di grosse vulnerabilità:

• È possibile alterare da remoto i comandi

e far compiere al robot qualsiasi

movimento, fino a bloccarlo completamente

• La connessione video attraverso cui il

chirurgo guida il robot da remoto è

pubblicamente accessibile: in sostanza

chiunque può vedere l'intervento in

corso!

Robot chirurgici vulnerabili

http://www.gizmodo.com.au/2015/04/medical-robots-can-be-hacked-during-surgery-researchers-find/


Dispositivi per farmaci vulnerabili

34

Giugno 2015: il security expert Billy Rios

scopre varie vulnerabilità nei dispositivi

ospedalieri "Hospira LifeCare":

• librerie software senza autenticazione

che consentono di alterare i valori

delle dosi;

• Un software di gestione (MedNet) con

serie vulnerabilità (password

«hardcoded» e in plain text) e altre

vulnerabilità che consentivano di

inviare librerie e aggiornamenti

«malevoli» ai dispositivi, anche da

Internet.

• I dispositivi accettano update del

firmware anche da fonti non attendibili

http://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/


35

Ottobre 2012: il compianto security

researcher Barnaby Jack dimostra come sia

possibile inviare una scarica da 830 Volt

ad un pacemaker, in grado di uccidere il

paziente, da una distanza di 10 metri,

utilizzando un laptop e un firmware

modificato. Un attacco ripreso anche nella

serie TV "Homeland".

Il ricercatore trovò anche altre

vulnerabilità come username e password in

chiaro per l'accesso al server di sviluppo

dell'azienda produttrice.

http://www.itnews.com.au/news/hacked-terminals-capable-of-causing-pacemaker-deaths-319508

Pacemaker vulnerabili...


36

Barnaby Michael Douglas Jack è il security expert

che in una memorabile demo alla Black Hat

Conference del 2010 dimostrò come fosse possibile

exploitare gli ATM (i bancomat) e fare in modo che

emettessero banconote senza specificare un conto

bancario o una carta di credito.

Una settimana prima di una sua presentazione alla

Black Hat Conference, nella quale avrebbe

dimostrato appunto come fosse possibile prendere

il controllo da remoto di un pacemaker, "Barnes"

dichiarò in una intervista alla Reuters che "ci

sarebbero potute essere conseguenze letali". Una

settimana dopo venne trovato morto nel suo

appartamento di San Francisco.

https://www.youtube.com/watch?v=qwMuMSPW3bU

Piccola digressione su Barnaby Jack


Internet is broken

37

• In realtà Internet è già piena di "oggetti"

vulnerabili, come router, stampanti, access point wi-

fi, telefoni voip, print server, webcam, server, per

non parlare del software...

• Lo sviluppo di oggetti IoT è ancora agli inizi e molti

di questi mostrato già gravi vulnerabilità.


Il Rapporto Clusit


Da qualche anno il Clusit (la più importante

associazione di professionisti della sicurezza

informatica) pubblica un Rapporto sulla

sicurezza ICT in Italia.

Nel Rapporto si evidenzia, tra l’altro, che i

danni derivanti da attacchi informatici in

Italia ammontano a circa 9 miliardi di euro nel

solo 2014.

Se non credete all’affermazione «Internet is

broken», leggetelo e poi traete le vostre

conclusioni.

E’ possibile richiedere una copia del Rapporto

scrivendo al Clusit.

Maggiori info: https://clusit.it/rapportoclusit/

OWASP Top 10 for IoT

39

La OWASP Foundation, una

organizzazione senza scopo

di lucro da anni impegnata

nel campo della Web

Application Security, ha

stilato la Top 10 delle

vulnerabilità individuate

(anche) nel mondo IoT

https://www.owasp.org/images/7/71/Internet_of_Things_Top_Ten_2014-OWASP.pdf


OWASP Top 10 for IoT

40

https://www.owasp.org/images/7/71/Internet_of_Things_Top_Ten_2014-OWASP.pdf


Sostanzialmente parliamo di:

• Credenziali scritte in chiaro nel firmware

• Facile reverse-engineering del firmware stesso

• Pagine web di autenticazione senza crittografia

• Dispositivi con password di default o semplicissime da

indovinare (es. admin/1234)

• Errori di programmazione che possono dar vita a Remote

Code Injection, XSS, SQLi, CSRF, etc.

• Accesso fisico insicuro via USB

• Presenza di backdoors/pagine nascoste

Un esempio «classico»: Joel’s backdoor

41

Nell’ottobre del 2013 Craig Heffner scopre una

vulnerabilità sui router D-LINK (applicabile anche ad

altri prodotti):

• Cambiando il proprio User-Agent in

“xmlset_roodkcableoj28840ybtide” è possibile accedere

all’interfaccia Web di management del router senza

inserire userid e password

• Si noti che la stringa non è altro che «edit by 04882

joel backdoor» scritta al contrario

http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/


Un esempio: Joel’s backdoor


C’è da preoccuparsi seriamente...

43

ATTACCHI VIRTUALI

=

DANNI REALI !

(anche in termini di vite

umane!)


Ransomware su oggetti IoT?


Il collega che mi ha preceduto ha descritto

molto bene il funzionamento dei ransomware.

Proviamo ad immaginare per un attimo se

questo schema di attacco si trasferisse su

oggetti del mondo IoT

Ransomware su oggetti IoT


Ti cripto i PC che gestiscono la linea

di produzione e te la blocco. Se non

paghi un riscatto entro 48 ore, i tuoi

dati saranno persi per sempre

Ransomware su oggetti IoT


Ti cripto i dispositivi che

controllano il funzionamento

dell’impianto di depurazione delle

acque o dell’altoforno o di una

centrale elettrica e ti chiedo un

riscatto...

«Oggetti» che si possono trovare in Rete /1


Ed è estremamente semplice trovarli...


Sdrammatizziamo un attimo...


Sarà “lei” il prossimo obiettivo?


La «Smart» Toilet è una realtà

58

Non è una battuta, esiste davvero ed è

stata costruita da un’azienda

giapponese. E’ gestibile tramite un’app

via bluetooth. Purtroppo però l’app ha

un PIN «0000» scritto nel software e

non modificabile, il che consente in

linea di principio di prendere possesso

di qualsiasi toilet installata nel

mondo e – che so – farle continuamente

scaricare acqua aumentandone i consumi

a dismisura...


https://www.trustwave.com/spiderlabs/advisories/TWSL2013-020.txt

Riflessioni finali

59

• Molti oggetti del mondo IoT sono immaturi e vulnerabili: siamo

all’Anno Zero. Più che di «Smart Things» bisognerebbe parlare di

«Idiot Things»..

• Il problema non è tanto nei dispositivi in sé che sono abbastanza

sicuri, ma nelle comunicazioni.

• Bisogna tenere ben presente che si tratta di sistemi che impattano

direttamente sulle nostre vite!

• Per ridurre il rischio, è necessario adottare logiche di

progettazione e sviluppo security-driven e non considerare la

sicurezza come un optional. Bisogna aspettare che ci scappi il

morto?

• Chi si occupa di creare le patch per gli apparecchi medicali e chi

ha il compito di installarle? Chi paga per tutto ciò?


60

• Purtroppo le risposte a queste domande portano a un intreccio

confuso di responsabilità tra le case produttrici dei dispositivi,

gli ospedali e gli stessi pazienti. E quando parliamo di apparecchi

medicali, non facciamo riferimento solo a pacemaker e a

microinfusori di insulina. Parliamo anche di macchinari per

risonanze magnetiche, elettrocardiogrammi, radiografie, oltre ai

tablet utilizzati dai medici e ai computer dell’ospedale (sui quali

spesso è ancora installato Windows XP) che contengono dati sensibili

dei pazienti.

• Ho l’impressione che finché non ci sarà un obbligo legale, nessun

produttore prenderà la questione sul serio.

• Tuttavia, se non si interviene subito con un cambio di strategia (e

relativi investimenti), l’unico posto «sicuro» per vivere sarà sul

cocuzzolo della montagna (sempre che non arrivi il Wi-Fi...)


Riflessioni finali /2

Grazie per l'attenzione!

Domande?

Mail:

danilo.derogatis_[at]_unifg.it

Linkedin: daniloderogatis

Slideshare: dderog

Twitter: __shogun

These slides are written by Danilo De Rogatis and are subjected to Creative Commons Attribution-ShareAlike 3.0

Unported (CC BY-SA 3.0). You are free to copy, distribute, transmit, adapt, sell the work under the following conditions:

Attribution - You must cite the Author. Share Alike — If you alter, transform, or build upon this work, you may distribute

the resulting work only under the same or similar license to this one.
