La peculiare situazione che stiamo vivendo in queste settimane a causa del Coronavirus (o COVID-19) ha costretto tantissimi lavoratori a passare in regime di smart working pur di mantenere un livello di Business Continuity adeguato: una decisione forzata che potrebbe, però, avere conseguenze veramente sfavorevoli dal punto di vista della cyber security, soprattutto quando il lavoro agile lo si compie utilizzando i dispositivi IoT di casa.
C’è infatti un grande errore di fondo quando si valuta l’impatto e i potenziali rischi che la smobilitazione fuori dal perimetro aziendale di tantissimi device: troppo spesso, infatti, si legge della necessità di rendere sicura la connessione verso gli asset aziendali, attraverso applicativi in cloud o VPN, di evitare l’utilizzo di device personali per svolgere le mansioni lavorative e via discorrendo.
Suggerimenti validi, anzi vere e proprie best practice che sempre più aziende stanno facendo parte integrante delle proprie policy, ma non stiamo forse ignorando l’elefante nella stanza?
Tante aziende piccole o grandi che siano oramai forniscono una dotazione aziendale, quasi sempre un laptop. Il problema dell’utilizzo dei device personali è sicuramente presente, ma probabilmente meno diffuso di quanto si possa preventivare.
Il vero problema riede nell’ambiente i cui i dispositivi vengono introdotti per svolgere le mansioni: le nostre case.
Indice degli argomenti
La società “IoT centrica” non aiuta
Cosa significa? Che l’attenzione non deve essere più focalizzata sulle connessioni verso gli asset aziendali o verso gli applicativi in cloud già più o meno sicuri, ma su quanto ci circonda quando lavoriamo da casa.
Viviamo in una società che sta diventando IoT centrica, non solo lato Enterprise e azienda, ma in particolare nell’ambito della domotica e degli oggetti di uso quotidiano. Basti pensare che entro il 2025 è stato stimato che il numero di questi dispositivi contemporaneamente connessi a Internet supererà i 75 miliardi di unità.
Concretamente questo si traduce in una casa “tipo” di un lavoratore “x” che si vede costretto a lavorare da remoto con un minimo di 3 o 4 dispositivi IoT connessi sulla stessa rete del laptop aziendale.
Dai router stessi, alle Smart TV, passando per stampanti e Smart Watch: insomma, almeno uno dei componenti che danno vita alla Smart Home del futuro prossimo è molto probabilmente già nelle nostre case.
Questo significa che, a differenza dell’infrastruttura aziendale, standardizzata e controllata, il nostro lavoratore “tipo” si troverà a condividere la rete con questa miriade di dispositivi, provenienti da produttori differenti, non necessariamente aggiornati o magari con password ancora “factory set”.
Ciò moltiplica, di fatto, il perimetro e le possibilità di attacco per un criminal hacker di arrivare al computer della vittima, non solo per sottrarre informazioni o dati sensibili, ma anche solo per depositare – per esempio – il payload di un malware con la previsione che questo poi si possa diffondere nell’azienda bersaglio una volta terminata la fase di smart working.
Questa non è solo verve da Nostradamus, basti pensare al recente caso che ha coinvolto i Wi-Fi chips di Broadcom e Cypress – presenti in milioni di device IoT e non solo – risultati vulnerabili alla CVE-2019-15126 che permetteva a potenziali aggressori di intercettare il traffico che passava dai device dotati di questi sensori.
Ma è solo la punta dell’iceberg, perché i router sono forse una delle aree su cui più facilmente anche l’utente meno “cyber informato” perda un modicum di attenzione, per esempio, alla password del modem di casa.
Il livello di exploitability dei device IoT non conosce limiti. Non sono che passate alcune settimane da quando un team di ricercatori, giusto per citare un altro caso degno di nota, è riuscito a dimostrare come utilizzando le lampadine smart della Philips Hue fosse possibile infettare un intero network con il payload di un malware.
Il Proof of Concept (PoC) dimostrato era di fatto un esercizio di escalation dei privilegi (per escalation s’intende lo sfruttamento di una vulnerabilità di un software applicativo o di un sistema operativo al fine di acquisire il controllo di risorse di macchina normalmente precluse a un utente o a un’applicazione), che faceva leva su due separate CVE per portare a termine l’attacco.
Smart working e dispositivi IoT di casa: questione di valutazione
Certo, tutti gli animali sono uguali, ma alcuni sono più uguali degli altri. Quindi quando si valuta la potenziale minaccia rappresentata dagli oggetti che ci mettiamo in casa, cosa determina il rischio?
Le domande chiave sono principalmente due, qual è il danno potenziale posto dal dispositivo e qual è la relativa sofisticazione del dispositivo in termini di:
- connettività/accesso (sia come può essere infiltrato sia se nel caso in cui venisse compromesso a cos’altro potrebbe accedere?);
- le sue capacità funzionali (che male potrebbe fare se fosse compromesso, direttamente o indirettamente?);
- la sua cyber-anatomia (ha un sistema operativo completo – Windows, Android, Automotive Linux, ha un filesystem e impostazioni di configurazione?)
Ci deve essere anche una misura di quanta considerazione è stata applicata alla messa in sicurezza del dispositivo durante la sua progettazione e produzione. Alcune marche ben note possono – anche se non i tutti i casi – fornire una certa sicurezza “built-in” a differenza di produttori low-cost che vendono unicamente sulle piattaforme e-commerce.
Quindi il rischio presentato da un dispositivo IoT dipende da diversi fattori relativi sia alla progettazione che a come il dispositivo viene utilizzato e dove viene distribuito.
Paragonate uno smartphone a un frigorifero con accesso a Internet.
Lo smartphone può potenzialmente fare molto più male (gestisce dati confidenziali, credenziali bancarie, password, ha una fotocamera/microfono che potrebbe essere abusato, e fornisce una postazione ideale per hackerare altri dispositivi, con un sistema operativo completo e un accesso a internet sia Wi-Fi che cellulare).
Tuttavia, per sua natura, lo smartphone è noto fin dall’inizio per essere potenzialmente vulnerabile.
Dal produttore, ma anche dai fornitori di applicazioni di terze parti e dagli utenti, tutti apprezzano che la sicurezza sia di primaria importanza.
Per questo motivo le misure di cyber security sono intrinseche e fondamentali, abilitate e gestite. Gli aggiornamenti per la protezione contro le nuove vulnerabilità vengono applicati automaticamente, e la sicurezza oltre la protezione del codice di accesso viene aumentata con la crittografia dei dati e il software con firma crittografica.
Al contrario, il frigorifero viene semplicemente sbloccato e acceso. Molto probabilmente utilizza la connettività universale plug and play per facilitare la connessione in rete e, poiché durante la sua progettazione non è stata presa in considerazione la necessità di sicurezza, è molto più suscettibile al compromesso.
Ma che male può fare un frigorifero? Un’acquisizione in stile Stuxnet non farà troppi danni – anche se il latte andrà inacidito se il termostato del frigorifero viene sovrascritto.
Ma potrebbe anche essere sfruttato all’interno di una botnet per attacchi DDOS o utilizzato per accedere ad altri dispositivi di casa, tra cui il router, per compiere una privilege escalation e arrivare a infettare il laptop dello smart worker.
Insomma, lo scenario è ben chiaro.
L’ondata di smart working forzato di migliaia di lavoratori può essere sì una buona occasione per rivedere le policy aziendali, ma è doppiamente utile per porre l’accento su un problema ancora “in potenza”, ma che nel breve potrebbe rivelarsi endemico (proprio come il COVID-19): quello della cyber security.
