L'ANALISI TECNICA

2 milioni di dispositivi IoT vulnerabili, è allarme cyber spionaggio: i dettagli

Sono 2 milioni i dispositivi IoT potenzialmente esposti ad attacchi hacker a causa di gravi vulnerabilità nella tecnologia iLnkP2P: a rischio telecamere di sicurezza, sistemi di controllo e tutti i dispositivi che comunicano su protocollo peer-to-peer. Al momento non ci sono patch di sicurezza. Ecco tutto quello che c’è da sapere

30 Apr 2019

Oltre 2 milioni di dispositivi IoT tra cui telecamere di sicurezza IP, sistemi di sorveglianza, campanelli intelligenti e baby monitor presentano gravi vulnerabilità che potrebbero consentire a un criminal hacker di prenderne il controllo e spiare i loro proprietari.

E al momento, purtroppo, non esiste ancora alcuna patch di sicurezza che possa correggere i bug.

Un criminal hacker potrebbe quindi portare a termine un attacco sfruttando la tecnologia di comunicazione peer-to-peer (P2P) che consente di accedere a molti dispositivi della Internet of Things (IoT) senza alcuna configurazione manuale. La particolare soluzione P2P, denominata iLnkP2P, è stata sviluppata dalla cinese Shenzhen Yunni Technology, fornitore di telecamere di sicurezza, e contiene due gravi vulnerabilità che potrebbero consentire di rilevare e intercettare i dispositivi vulnerabili.

“Sono oltre 2 milioni i dispositivi vulnerabili identificati su Internet, compresi quelli distribuiti da HiChip, TENVIS, SV3C, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Eye Sight e HVCAM”, ha annunciato in un post sul suo blog il ricercatore Paul Marrapese che ha lanciato l’allarme cyber spionaggio scoprendo le debolezze nel protocollo di comunicazione dei dispositivi IoT.

Purtroppo, però, il componente iLnkP2P è utilizzato anche da centinaia di altre marche di dispositivi IoT e ciò rende di fatto impossibile identificare tutti quelli vulnerabili.

Il componente, iLnkP2P, in particolare, consente ai proprietari dei dispositivi IoT di visualizzare filmati e monitorare le attività da remoto. Tuttavia, Marrapese ha scoperto che il software non richiede nessuna procedura di autenticazione per l’accesso ai dispositivi IoT e non utilizza alcun algoritmo di crittografia per proteggere il traffico di rete.

Secondo Jarno Niemelä, Principal Cyber Security Researcher di F-Secure, “Fondamentalmente, quello che si sta verificando in questo caso è l’errore di base di “fidarsi dell’altra parte”.

“La comunicazione che viene presa di mira in questo caso è tra l’applicazione mobile e il server di back-end, continua l’analista. “Il server di back-end si fida di qualsiasi numero seriale a cui l’applicazione mobile possa accedere senza alcuna verifica. Quindi l’attaccante può semplicemente scansionare il range limitato di numeri di serie per tutti i dispositivi noti al back-end”.

Dispositivi IoT vulnerabili: i dettagli tecnici

Come dicevamo, il componente iLnkP2P contiene due differenti vulnerabilità.

La prima vulnerabilità, identificata come CVE-2019-11219, consente ai criminal hacker di identificare facilmente i dispositivi attaccabili che sono online. Sfruttando poi la seconda vulnerabilità, identificata come CVE-2019-11220, gli aggressori possono effettuare un attacco di tipo man-in-the-middle e intercettare il traffico Internet scambiato tra il proprietario del dispositivo IoT e il dispositivo stesso, compresi i flussi video e le credenziali di accesso.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

I proprietari di telecamere di sorveglianza e sistemi di sicurezza IoT possono scoprire se i loro dispositivi sono vulnerabili analizzandone l’UID, cioè il suo codice identificativo univoco.

La prima parte del prefisso, in particolare, indica la cosiddetta “exploitability”: ad esempio, i dispositivi con il prefisso FFFF sono tra quelli vulnerabili.

Un elenco di tutti i prefissi noti per essere vulnerabili.

Dispositivi IoT vulnerabili: una possibile soluzione

Nel suo post, Marrapese ha detto di avere inviato un primo avviso ai fornitori di dispositivi in merito alle vulnerabilità individuate lo scorso 15 gennaio e un avviso agli sviluppatori di iLnkP2P il 4 febbraio, ma senza ricevere alcuna risposta. Il ricercatore ritiene, quindi, che difficilmente verranno rilasciati aggiornamenti per le due vulnerabilità.

Secondo Tom Van de Wiele, Principal Cyber Security Consultant di F-Secure, “le attuali e passate generazioni di dispositivi ed ecosistemi IoT, in particolare quelli a basso costo, soffrono di una serie di vulnerabilità e carenze di progettazione e implementazione. Questi dispositivi – e i servizi e la connettività da cui dipendono – di solito non sono progettati pensando alla sicurezza. Fortunatamente ci sono eccezioni a questa regola in cui il costo è stato mantenuto basso, ma è stato considerato il modello di minaccia: questo vale, ad esempio, per Philips, IKEA ecc. Il problema di fondo è la mancanza di incentivi per il produttore, l’integratore o il rivenditore affinché si preoccupino della sicurezza. Tutti e tre questi soggetti riversano la responsabilità sull’utente finale, che però è disinformato. Siamo in una fase di transizione in questo momento in cui questo mercato ha semplicemente bisogno di maturare e dove la pazienza di diversi stakeholder, basata sulla convinzione che “l’industria prima o poi capirà”, si sta esaurendo”.

“Per stabilire regolamenti e requisiti di base che rendano sicuri questi dispositivi IoT in futuro serve una leadership che comprenda l’impatto e la natura di alcuni di questi dispositivi quando sono esposti su Internet, e questo vale dalla catena di approvvigionamento fino a tutta la filiera” è il parere di Tom Van de Wiele. “Per quanto riguarda una strategia più reattiva per affrontare la situazione attuale, possiamo prendere come esempio il Giappone, che sta tentando di scoprire tutti i dispositivi online esposti nello spazio degli indirizzi IP giapponese al fine di prevenire qualsiasi imprevisto durante le Olimpiadi che si terranno lì. Un’operazione questa di costo relativamente basso, ma un esempio virtuoso che dobbiamo ancora vedere in Europa nel tentativo di mitigare i rischi inutili, la maggior parte dei quali è sconosciuta ai Paesi che stanno esponendo questi dispositivi”.

“Sebbene “bug bounties” e altri incentivi che promuovono la ricerca e la trasparenza possano aiutare a incentivare il consumatore e il venditore sull’importanza e il rischio di questi dispositivi per il futuro”, continua l’analista, “resta ancora molto lavoro da fare per ridurre il livello di rischio associato con prodotti e servizi per i quali non è stata dichiarata alcuna sicurezza o garanzia di servizio. Ciò significa che nel frattempo dobbiamo ricorrere alle premesse di base dell’information security, ovvero:

  • isolare i sistemi e le reti in base alla loro funzione (ad esempio, inserire il mio dispositivo IoT sulle rete ospiti);
  • isolare il controllo degli accessi (ad esempio utilizzare password univoche per ogni servizio e account, assicurarsi che solo alcuni servizi siano esposti a chi ne ha bisogno);
  • assicurarsi che il monitoraggio e la rilevazione siano eseguite e possa essere fornita una risposta, essere informati sugli aggiornamenti di sicurezza del fornitore, assicurarsi di poter tenere traccia degli account utilizzati e di prendere una decisione informata sul dispositivo o il servizio che si acquista e per quanto tempo ci si può aspettare un servizio dal fornitore.

E come per tutto ciò che riguarda l’IT, e in particolare per l’IoT, ricordare che la “garanzia a vita” non è la durata del dispositivo o del servizio, ma è la durata della società che lo offre; quindi pianificare di conseguenza e sapere quando cancellare un acquisto o un servizio quando i rischi superano i benefici”.

Al momento, l’unica soluzione per neutralizzare le due vulnerabilità nel componente iLnkP2P e bloccare quindi ogni possibile tentativo di attacco consiste dunque nel bloccare, mediante un firewall, il traffico in uscita sulla porta UDP 32100: in questo modo, non si fa altro che impedire l’accesso ai dispositivi IoT da reti esterne attraverso il protocollo di comunicazione P2P.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr