I pericoli dell'Internet of Things in ambito sanitario, industriale e privato
Breve viaggio nell’ «oscuro» mondo dell’IoT
Danilo De Rogatis
Disclaimer
2Foggia, 28 ottobre 2015 Danilo De Rogatis
I contenuti di questa presentazione non violano alcuna proprietà intellettuale e non sono in contrasto con la vigente legislazione.
Parte del materiale utilizzato è liberamente tratto e rielaborato da una serie di fonti autorevoli, tutte puntualmente citate.
I marchi citati appartengono ai rispettivi proprietari.
Le opinioni qui espresse sono esclusivamente quelle dell'autore.
$ whoami
3
Responsabile Sistemi Informativi
Ho collaborato (o collaboro) con
Involved in/Certified
Foggia, 28 ottobre 2015 Danilo De Rogatis
Cos’è l’IoT?
5
• Internet è «la rete delle reti»
• Fino a poco tempo fa gli oggetti
connessi ad Internet erano router,
server, stampanti, etc.
• Da qualche anno l’industria mondiale sta
lavorando per connettere ad Internet
qualsiasi tipo di oggetto, secondo il
paradigma per cui «Ogni oggetto che
potrà essere connesso, lo sarà». A tal
proposito sarebbe più corretto parlare
di «Internet of Everything» (IoE).
Foggia, 28 ottobre 2015 Danilo De Rogatis
La «vecchia» Internet
6
http://uk.businessinsider.com/the-internet-of-everything-2014-slide-deck-sai-2014-2?op=0#
Foggia, 28 ottobre 2015 Danilo De Rogatis
La «nuova» Internet
7
Immagini: in basso a sx: Gemalto; in basso a dx: Filmateria Digital LLC
Foggia, 28 ottobre 2015 Danilo De Rogatis
Nel 2020 gli «oggetti» connessi saranno 50 mld
8
http://blogs.cisco.com/diversity/the-internet-of-things-infographic
Foggia, 28 ottobre 2015 Danilo De Rogatis
Nel 2017 il mercato IoT supererà quello di smartphone, tablet e pc messi insieme
9
http://uk.businessinsider.com/the-internet-of-everything-2014-slide-deck-sai-2014-2
Foggia, 28 ottobre 2015 Danilo De Rogatis
«Tutto ciò che potrà essere connesso lo sarà!»
10
http://uk.businessinsider.com/the-internet-of-everything-2014-slide-deck-sai-2014-2
Foggia, 28 ottobre 2015 Danilo De Rogatis
Mucche olandesi «smart» ??
12
http://blogs.cisco.com/diversity/the-internet-of-things-infographic
Foggia, 28 ottobre 2015 Danilo De Rogatis
Oggetti già connessi
13
Sistemi di Controllo Industriali (ICS)
http://www.tenable.com/plugins/index.php?view=all&family=SCADA
Foggia, 28 ottobre 2015 Danilo De Rogatis
Oggetti già connessi
14
Mondo Corporate
• Controllo accessi
• Telecamere di sicurezza
• Schede per l'accesso alle
camere degli hotel
• Stampanti multifunzione
• Telefoni
• Serrature
• Sistemi di climatizzazione
Foggia, 28 ottobre 2015 Danilo De Rogatis
Oggetti già connessi
15
Dispositivi Medicali
• Sistemi di dosaggio per
l'insulina
• Sistemi di infusione IV
• Pacemakers e
Defibrillatori
• Risonanza magnetica
• Robot chirurgici
• Sistemi di monitoraggio
• Sistemi per le analisi
di laboratorio
Foggia, 28 ottobre 2015 Danilo De Rogatis
Cosa accadrebbe ad esempio se...
17
Qualcuno prendesse il controllo di una centrale
elettrica?
Qualcuno prendesse il controllo della vostra auto
mentre state guidando sull'autostrada?
Qualcuno riuscisse a controllare a distanza il
vostro pacemaker o la vostra pompa ad insulina?
Qualcuno prendesse il controllo di un robot
chirurgico durante un intervento?
Foggia, 28 ottobre 2015 Danilo De Rogatis
Non aprite quel frigo…
22
Agosto 2015: Alla DEFCON Hacking
Conference, una delle più
importanti conferenze mondiali
sulla sicurezza informatica,
alcuni esperti hanno dimostrato
come sia possibile rubare le
credenziali di accesso a Gmail,
sfruttando una vulnerabilità del
frigo Samsung mod. RF28HMELBSR,
che falliva nel validare i
certificati SSL.
http://www.theregister.co.uk/2015/08/24/smart_fridge_security_fubar/
Foggia, 28 ottobre 2015 Danilo De Rogatis
Frigoriferi Spammer...
23
Si calcola che più del 25% dello
SPAM mondiale provenga da oggetti
"non convenzionali", come
frigoriferi, TV, Set-Top Boxes,
Media Players, NAS (unità di
storage), videocamere, stampanti,
etc. ed è un numero certamente
destinato a salire.
https://www.proofpoint.com/us/threat-insight/post/Your-Fridge-is-Full-of-SPAM
Foggia, 28 ottobre 2015 Danilo De Rogatis
Caffettiere & ferri da stiro
24
http://thehackernews.com/2013/11/russia-finds-spying-microchips-planted_1.html
Foggia, 28 ottobre 2015 Danilo De Rogatis
Sono già stati dimostrati attacchi che
sfruttano caffettiere Wi-Fi. Qualche giorno
fa il canale di Stato russo Rossya24 ha
mostrato le immagini di un ferro da stiro
di fabbricazione cinese, contenente un chip
utilizzato per spiare l’ambiente
circostante, equipaggiato con un piccolo
microfono ed in grado di connettersi a
reti Wi-Fi non protette in un raggio di 200
mt. Lo stesso dicasi per caricabatterie ed
altri oggetti di uso comune.
http://thehackernews.com/2015/10/hacking-wifi-password.html
In principio fu la Smart TV...
25
Nel 2014 l’italiano Luigi Auriemma di ReVuln ha
dimostrato come sia semplice compromettere una
Smart TV Philips, estraendo i cookie del
browser che possono contenere dati sensibili ed
essere usati per autenticarsi su molti servizi
web.
In particolare Auriemma e il suo team sono
riusciti a catturare i cookie di autenticazione
a Gmail e ad estrarre dati presenti su una
chiavetta USB connessa alla Smart TV.
L’exploit è stato possibile a causa del fatto
che chiunque sia nelle vicinanze della TV possa
connettersi ad essa semplicemente inserendo la
password “Miracast” che era scolpita
all’interno del firmware della Smart TV Philips
https://vimeo.com/90138302
Foggia, 28 ottobre 2015 Danilo De Rogatis
Controllo remoto di baby monitor
26
• Settembre 2015: Decine di
vulnerabilità rilevate su 9 marchi di
baby monitors, che consentirebbero di
prenderne il controllo ed esporre
immagini private o pilotare i device
a proprio piacimento.
• Nello steso periodo una coppia
dell'Indiana ha denunciato un accesso
abusivo al loro baby monitor, su cui
è stato proiettato il video di "Every
Breath You Take" dei Police, seguito
da "sexual noises"
http://arstechnica.com/security/2015/09/9-baby-monitors-wide-open-to-hacks-that-expose-users-most-private-moments/
Foggia, 28 ottobre 2015 Danilo De Rogatis
Cassaforti insicure...
27
Luglio 2015: due ricercatori dimostrano
come la cassaforte modello "CompuSafe
Galileo" della notissima Brink presenti
vulnerabilità in grado di consentire a
chiunque abbia accesso fisico ad essa di
poter aprire a piacimento la porta,
prelevando denaro e scrivendo nei log
della cassaforte dati fasulli (false
operazioni).
In sostanza, i due esperti hanno iniettato
uno script appositamente forgiato
attraverso la porta USB, bypassando tutte
i controlli e ottenendo pieno accesso al
sistema operativo (Windows XP) con
privilegi di Administrator.
http://www.wired.com/2015/07/brinks-super-secure-smart-safes-not-secure/
Foggia, 28 ottobre 2015 Danilo De Rogatis
Semafori «allegri»...
28
Agosto 2014: un gruppo di
ricercatori dell’Università del
Michigan hanno dimostrato come sia
possibile prendere possesso di
sistemi di controllo dei semafori.
La comunicazione wireless tra
i semafori e i vari nodi della
rete veniva effettuata in
chiaro (no encryption) e in
più, le credenziali usate
erano quelle di default,
facilmente recuperabili da
Internet
http://theconversation.com/traffic-light-hacking-shows-the-internet-of-things-must-come-with-better-security-30803
Foggia, 28 ottobre 2015 Danilo De Rogatis
Infrastrutture critiche a rischio
29
Ottobre 2015: alcuni esperti
hanno violato le difese di
una Public Utility americana
dell'energia e dell'acqua in
22 minuti, mostrando come
sia semplice compromettere
infrastrutture critiche come
centrali elettriche o
idriche.
http://www.eenews.net/energywire/stories/1060025871/search?keyword=snohomish
Foggia, 28 ottobre 2015 Danilo De Rogatis
Infrastrutture critiche a rischio
30
Secondo uno Studio di Positive
Technologies, esistono
atualmente più di 15.000 Sistemi
di Controllo Industriale (ICS)
vulnerabili. Come si vede dal
grafico, l’Italia è al quarto
posto per sistemi di controllo
industriale potenzialmente
vulnerabili ad attacchi.
http://blog.ptsecurity.com/2015/10/industrial-control-system-security-in.html
Foggia, 28 ottobre 2015 Danilo De Rogatis
Come ti piloto la Jeep a distanza...
31
Luglio 2015: due ricercatori
(Charlie Miller and Chris Valasek)
hanno dimostrato come sia possibile
prendere possesso da remoto di una
Jeep Cherokee, riuscendo a
manipolare il climatizzatore, la
radio, i freni e tutto il sistema
di controllo elettronico
(Uconnect), fino a spegnere
definitivamente il veicolo. A
seguito di questa "demo" la Fiat
Chrysler ha dovuto richiamare oltre
1.4 milioni di autoveicoli per
«patchare» il sistema
http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
Foggia, 28 ottobre 2015 Danilo De Rogatis
32
Settembre 2015: due ricercatori (Scott Erven
and Mark Collao) hanno individuato oltre 68.000
dispositivi medici vulnerabili tutti
appartenenti ad un’unica organizzazione, tra
cui:
• 488 in cardiologia
• 97 risonanza magnetica (MRI)
• 21 in anestesia
• 133 sistemi di infusione di farmaci
Alcuni vettori di attacco usati:
• Credenziali di default
• Dispositivi che funzionano con Windows XP,
vulnerabili addirittura ad attacchi di tipo
Remote Code Execution (MS08-067), il
«vecchio» Conficker...
Dispositivi medici vulnerabili
http://www.theregister.co.uk/2015/09/29/thousands_of_directly_hackable_hospital_devices_found_exposed/
Foggia, 28 ottobre 2015 Danilo De Rogatis
33
Aprile 2015: alcuni ricercatori
dell’Università di Washington sono riusciti
a prendere il controllo di un robot
chirurgico Raven II attraverso una normale
connessione Internet, dimostrando
l'esistenza di grosse vulnerabilità:
• È possibile alterare da remoto i comandi
e far compiere al robot qualsiasi
movimento, fino a bloccarlo completamente
• La connessione video attraverso cui il
chirurgo guida il robot da remoto è
pubblicamente accessibile: in sostanza
chiunque può vedere l'intervento in
corso!
Robot chirurgici vulnerabili
http://www.gizmodo.com.au/2015/04/medical-robots-can-be-hacked-during-surgery-researchers-find/
Foggia, 28 ottobre 2015 Danilo De Rogatis
Dispositivi per farmaci vulnerabili
34
Giugno 2015: il security expert Billy Rios
scopre varie vulnerabilità nei dispositivi
ospedalieri "Hospira LifeCare":
• librerie software senza autenticazione
che consentono di alterare i valori
delle dosi;
• Un software di gestione (MedNet) con
serie vulnerabilità (password
«hardcoded» e in plain text) e altre
vulnerabilità che consentivano di
inviare librerie e aggiornamenti
«malevoli» ai dispositivi, anche da
Internet.
• I dispositivi accettano update del
firmware anche da fonti non attendibili
http://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/
Foggia, 28 ottobre 2015 Danilo De Rogatis
35
Ottobre 2012: il compianto security
researcher Barnaby Jack dimostra come sia
possibile inviare una scarica da 830 Volt
ad un pacemaker, in grado di uccidere il
paziente, da una distanza di 10 metri,
utilizzando un laptop e un firmware
modificato. Un attacco ripreso anche nella
serie TV "Homeland".
Il ricercatore trovò anche altre
vulnerabilità come username e password in
chiaro per l'accesso al server di sviluppo
dell'azienda produttrice.
http://www.itnews.com.au/news/hacked-terminals-capable-of-causing-pacemaker-deaths-319508
Pacemaker vulnerabili...
Foggia, 28 ottobre 2015 Danilo De Rogatis
36
Barnaby Michael Douglas Jack è il security expert
che in una memorabile demo alla Black Hat
Conference del 2010 dimostrò come fosse possibile
exploitare gli ATM (i bancomat) e fare in modo che
emettessero banconote senza specificare un conto
bancario o una carta di credito.
Una settimana prima di una sua presentazione alla
Black Hat Conference, nella quale avrebbe
dimostrato appunto come fosse possibile prendere
il controllo da remoto di un pacemaker, "Barnes"
dichiarò in una intervista alla Reuters che "ci
sarebbero potute essere conseguenze letali". Una
settimana dopo venne trovato morto nel suo
appartamento di San Francisco.
https://www.youtube.com/watch?v=qwMuMSPW3bU
Piccola digressione su Barnaby Jack
Foggia, 28 ottobre 2015 Danilo De Rogatis
Internet is broken
37
• In realtà Internet è già piena di "oggetti"
vulnerabili, come router, stampanti, access point wi-
fi, telefoni voip, print server, webcam, server, per
non parlare del software...
• Lo sviluppo di oggetti IoT è ancora agli inizi e molti
di questi mostrato già gravi vulnerabilità.
Foggia, 28 ottobre 2015 Danilo De Rogatis
Il Rapporto Clusit
38Foggia, 28 ottobre 2015 Danilo De Rogatis
Da qualche anno il Clusit (la più importante
associazione di professionisti della sicurezza
informatica) pubblica un Rapporto sulla
sicurezza ICT in Italia.
Nel Rapporto si evidenzia, tra l’altro, che i
danni derivanti da attacchi informatici in
Italia ammontano a circa 9 miliardi di euro nel
solo 2014.
Se non credete all’affermazione «Internet is
broken», leggetelo e poi traete le vostre
conclusioni.
E’ possibile richiedere una copia del Rapporto
scrivendo al Clusit.
Maggiori info: https://clusit.it/rapportoclusit/
OWASP Top 10 for IoT
39
La OWASP Foundation, una
organizzazione senza scopo
di lucro da anni impegnata
nel campo della Web
Application Security, ha
stilato la Top 10 delle
vulnerabilità individuate
(anche) nel mondo IoT
https://www.owasp.org/images/7/71/Internet_of_Things_Top_Ten_2014-OWASP.pdf
Foggia, 28 ottobre 2015 Danilo De Rogatis
OWASP Top 10 for IoT
40
https://www.owasp.org/images/7/71/Internet_of_Things_Top_Ten_2014-OWASP.pdf
Foggia, 28 ottobre 2015 Danilo De Rogatis
Sostanzialmente parliamo di:
• Credenziali scritte in chiaro nel firmware
• Facile reverse-engineering del firmware stesso
• Pagine web di autenticazione senza crittografia
• Dispositivi con password di default o semplicissime da
indovinare (es. admin/1234)
• Errori di programmazione che possono dar vita a Remote
Code Injection, XSS, SQLi, CSRF, etc.
• Accesso fisico insicuro via USB
• Presenza di backdoors/pagine nascoste
Un esempio «classico»: Joel’s backdoor
41
Nell’ottobre del 2013 Craig Heffner scopre una
vulnerabilità sui router D-LINK (applicabile anche ad
altri prodotti):
• Cambiando il proprio User-Agent in
“xmlset_roodkcableoj28840ybtide” è possibile accedere
all’interfaccia Web di management del router senza
inserire userid e password
• Si noti che la stringa non è altro che «edit by 04882
joel backdoor» scritta al contrario
http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/
Foggia, 28 ottobre 2015 Danilo De Rogatis
C’è da preoccuparsi seriamente...
43
ATTACCHI VIRTUALI
=
DANNI REALI !
(anche in termini di vite
umane!)
Foggia, 28 ottobre 2015 Danilo De Rogatis
Ransomware su oggetti IoT?
44Foggia, 28 ottobre 2015 Danilo De Rogatis
Il collega che mi ha preceduto ha descritto
molto bene il funzionamento dei ransomware.
Proviamo ad immaginare per un attimo se
questo schema di attacco si trasferisse su
oggetti del mondo IoT
Ransomware su oggetti IoT
45Foggia, 28 ottobre 2015 Danilo De Rogatis
Ti cripto i PC che gestiscono la linea
di produzione e te la blocco. Se non
paghi un riscatto entro 48 ore, i tuoi
dati saranno persi per sempre
Ransomware su oggetti IoT
46Foggia, 28 ottobre 2015 Danilo De Rogatis
Ti cripto i dispositivi che
controllano il funzionamento
dell’impianto di depurazione delle
acque o dell’altoforno o di una
centrale elettrica e ti chiedo un
riscatto...
La «Smart» Toilet è una realtà
58
Non è una battuta, esiste davvero ed è
stata costruita da un’azienda
giapponese. E’ gestibile tramite un’app
via bluetooth. Purtroppo però l’app ha
un PIN «0000» scritto nel software e
non modificabile, il che consente in
linea di principio di prendere possesso
di qualsiasi toilet installata nel
mondo e – che so – farle continuamente
scaricare acqua aumentandone i consumi
a dismisura...
Foggia, 28 ottobre 2015 Danilo De Rogatis
https://www.trustwave.com/spiderlabs/advisories/TWSL2013-020.txt
Riflessioni finali
59
• Molti oggetti del mondo IoT sono immaturi e vulnerabili: siamo
all’Anno Zero. Più che di «Smart Things» bisognerebbe parlare di
«Idiot Things»..
• Il problema non è tanto nei dispositivi in sé che sono abbastanza
sicuri, ma nelle comunicazioni.
• Bisogna tenere ben presente che si tratta di sistemi che impattano
direttamente sulle nostre vite!
• Per ridurre il rischio, è necessario adottare logiche di
progettazione e sviluppo security-driven e non considerare la
sicurezza come un optional. Bisogna aspettare che ci scappi il
morto?
• Chi si occupa di creare le patch per gli apparecchi medicali e chi
ha il compito di installarle? Chi paga per tutto ciò?
Foggia, 28 ottobre 2015 Danilo De Rogatis
60
• Purtroppo le risposte a queste domande portano a un intreccio
confuso di responsabilità tra le case produttrici dei dispositivi,
gli ospedali e gli stessi pazienti. E quando parliamo di apparecchi
medicali, non facciamo riferimento solo a pacemaker e a
microinfusori di insulina. Parliamo anche di macchinari per
risonanze magnetiche, elettrocardiogrammi, radiografie, oltre ai
tablet utilizzati dai medici e ai computer dell’ospedale (sui quali
spesso è ancora installato Windows XP) che contengono dati sensibili
dei pazienti.
• Ho l’impressione che finché non ci sarà un obbligo legale, nessun
produttore prenderà la questione sul serio.
• Tuttavia, se non si interviene subito con un cambio di strategia (e
relativi investimenti), l’unico posto «sicuro» per vivere sarà sul
cocuzzolo della montagna (sempre che non arrivi il Wi-Fi...)
Foggia, 28 ottobre 2015 Danilo De Rogatis
Riflessioni finali /2
Grazie per l'attenzione!
Domande?
Mail:
danilo.derogatis_[at]_unifg.it
Linkedin: daniloderogatis
Slideshare: dderog
Twitter: __shogun
These slides are written by Danilo De Rogatis and are subjected to Creative Commons Attribution-ShareAlike 3.0
Unported (CC BY-SA 3.0). You are free to copy, distribute, transmit, adapt, sell the work under the following conditions:
Attribution - You must cite the Author. Share Alike — If you alter, transform, or build upon this work, you may distribute
the resulting work only under the same or similar license to this one.
61Foggia, 28 ottobre 2015 Danilo De Rogatis
Top Related