IoT non protetto, vulnerabilità illimitate

Abbiamo tutti sentito la frase "viviamo in un mondo iperconnesso". Abbiamo accesso a vasti archivi di informazioni e applicazioni attraverso un dispositivo che abbiamo in tasca. Sempre più dati personali e persino biometrici vengono attivamente elaborati nel cloud per fornire informazioni dettagliate su come funzionano i nostri corpi.

Tuttavia, l'Internet of Things (IoT) non è privo di sfide. Portando più dispositivi online (dando loro un indirizzo IP e rendendoli indirizzabili) stiamo aumentando attivamente la superficie di un mondo hackerabile.

La crescita esplosiva dell'IoT è stata accompagnata da una crescita esplosiva dell'abuso dei dispositivi. I dispositivi connessi che ci deliziano con la conoscenza delle nostre abitudini e modelli hanno la capacità di minare la nostra privacy, porre d'assedio la nostra identità e, nei casi più estremi, causare danni fisici reali attraverso la guerra informatica.

Canale di feedback dell'IoT

Gartner prevedeva che nel 2017 sarebbero stati venduti 322 milioni di dispositivi indossabili. Il massiccio aumento del 48% rispetto al 2015 è dovuto in parte alla diffusione della tecnologia indossabile come stile di vita. Poiché la tecnologia è integrata nella nostra vita quotidiana attraverso la routine, o come abitudine, veniamo trasformati in macchine che generano micro-bio-dati.

I dispositivi e la loro connettività vanno dal molto piccolo, a cose con schermi e funzionalità interattive. Quello a cui probabilmente non stiamo pensando è la moltitudine di dispositivi necessari per avere un canale di feedback.

A cosa serve una misura se non puoi vederla o imparare cosa significa? Questi dispositivi stanno generando un sacco di e-mail transazionali attraverso i nostri telefoni e altri monitor di "output" in modo che ci rendiamo conto del valore della misurazione della nostra attività quotidiana.

La posta elettronica e la messaggistica generata dall'IoT offrono opportunità uniche per phisher e truffatori.

Ogni flusso di posta generato da un nuovo dispositivo indossabile deve essere protetto perché il phishing è decisamente in aumento.

Secondo l'APWG (Anti-Phishing Working Group), gli attacchi di phishing sono aumentati del 65% tra il 2015 e il 2016.

Connessioni infinite

Gli eventi nella mia casa generano e-mail e notifiche push che mi avvertono di un movimento o quando il mio dog sitter porta il mio cane a casa dopo un gioco al parco. Di notte, milioni di persone indossano un Fitbit per dormire in modo da poter monitorare, registrare e analizzare i propri schemi di sonno.

I giocattoli per bambini vengono sovraccaricati di capacità digitali, animatronica e possono essere consultati da remoto per una maggiore interattività tramite Bluetooth e altri standard di comunicazione.

Il mio fornello sous vide ha una connessione wi-fi e bluetooth in modo che possa dire al mio telefono se la temperatura del bagnomaria cambia o quando è pronto per essere immerso nel cibo. Il GPS del mio iPhone, combinato con una fascia toracica, si trasforma in un tracker di allenamento per tutto il corpo che registra il mio percorso su Strava e quanto ho sofferto salendo sul terreno collinare della Bay Area.

Sicurezza marginale

Ogni dispositivo aggiunto al fiorente IoT è essenzialmente in grado di raccogliere e trasmettere informazioni di identificazione personale (PII). I produttori di questi dispositivi si stanno muovendo rapidamente per cercare di introdurre dispositivi sempre più intelligenti e sempre più sensibili che spaziano dalla biometria alla domotica e alla connettività automobilistica. Tuttavia, tutti questi dispositivi introducono nuovi rischi e sfide per la sicurezza in quello che è già un ambiente insicuro.

Forse il compromesso più famoso di un dispositivo simile all'IoT non era affatto un dispositivo IoT, ma piuttosto una rete con gap d'aria. Il virus Stuxnet ha paralizzato un impianto di arricchimento nucleare iraniano: un virus informatico ha effettivamente causato danni enormi nel mondo fisico. Stuxnet era un esempio di guerra informatica che immaginavamo possibile solo nei film. Su scala minore, ma infinitamente più tangibile, è stata la fuga di milioni di registrazioni vocali di bambini e genitori attraverso un orsacchiotto connesso.

Ogni dispositivo IoT è essenzialmente un endpoint a cui è possibile accedere tramite API o altri mezzi per inviare e ricevere informazioni.

Ciò che è estremamente interessante per phisher e hacker è la natura dei dispositivi IoT: sempre attivi e sfruttando la connessione più veloce disponibile.

Ogni singolo dispositivo richiede che l'endpoint sia sicuro per garantire che non possa essere compromesso e assorbito in una botnet in grado di montare un attacco DDoS o altre forme di contenuto dannoso. Poiché la maggior parte dei dispositivi viene prodotta all'estero, c'è poca o nessuna supervisione su come vengono costruiti questi dispositivi o sul tipo di servizi eseguiti su di essi.

Maggiore consapevolezza

Organizzazioni attente alla sicurezza come Arbor Networks stanno estraendo dati honeypot per misurare l'attività di sfruttamento attorno all'IoT. Allo stesso modo, il Messaging, Malware, Mobile Anti-Abuse Working Group (M3AAWG), sta iniziando a prendere molto sul serio le minacce implicite in una società connessa in modo esponenziale.

Nell'aprile 2017, M3AAWG ha annunciato un nuovo gruppo di interesse speciale IoT per coordinare gli sforzi dei membri nella risoluzione dei problemi di abuso da dispositivi IoT compromessi. Il nuovo gruppo di interesse speciale svilupperà linee guida e processi di reputazione per i produttori di dispositivi oltre a sensibilizzare sui pericoli dell'IoT non protetto.

La sicurezza prima di tutto

Come i sottomarini e la loro caratterizzazione "corri in silenzio, corri in profondità", l'IoT, in quanto fiorente sottosettore tecnologico, deve mettere la sicurezza in prima linea nella marcia verso la produzione di dispositivi più innovativi. Non c'è dubbio che l'IoT stia arricchendo le nostre vite. Siamo tutti d'accordo sul fatto che dal telefono cellulare, agli orologi, ai fitness tracker, siamo tutti un po' più intelligenti per questo, tuttavia, i protocolli e le politiche di sicurezza devono tenere il passo.

Come output, la messaggistica deve essere protetta come parte della protezione generale dei dati che questi dispositivi inviano e ricevono quotidianamente. L'IoT ha aumentato la quantità di dati che ci sentiamo a nostro agio nell'aprire al mondo esterno e il nostro livello di comfort con dettagli esterni sulle nostre routine. Ma allo stesso tempo, dobbiamo assicurarci che i cattivi attori non entrino e utilizzino quei dati contro di noi.

Se vuoi saperne di più su altre truffe specifiche per e-mail e su come proteggerti, dai un'occhiata a Phishing, Doxxing, Botnet e altre truffe via e-mail: cosa devi sapere.