Evoluzione dei Ransomware. La variante Jackware, un pericolo per gli IoT

Smart City, Smart Home, autovetture connesse in rete ed a guida autonoma, tutto questo non è più fantascienza ma è reale. Lo sviluppo degli IoT (Internet delle cose) rappresenta sicuramente un passo in avanti in senso generale verso l’automazione intelligente ed in particolare di due settori come l’industriale e l’abitativo. Il concetto di Smart City o di Smart Home si basa proprio sulla possibilità di integrare vari sistemi facendoli comunicare tra loro senza l’intervento umano. Sempre più aziende acquistano sistemi di automazione che lavorano collegandosi ad internet allo stesso modo di ciò che avviene nell’ambito delle costruzioni edili, dove l’utilizzo di sistemi domotici aumenta ogni anno. Se per un verso la crescita di questi devices rappresenta un valore aggiunto al livello di industrializzazione di un paese, è altrettanto vero che è necessario arrivare quanto prima ad un livello di sicurezza adeguato che impedisca a questi devices di commettere errori dannosi per l’uomo.

Il pericolo è concreto e già nel 2016 si sono manifestati i primi problemi in un paio di fabbriche negli Stati Uniti. La questione è abbastanza semplice e di facile intuizione: se vengono collegati ad internet dei sistemi di lavoro è evidente che questi possano venire infettati o subire degli attacchi informatici proprio come avviene al Pc di casa o al Data Center aziendale.

In passato ad esempio la fabbrica Jeep Chrysler di FIAT ha subito un attacco specializzato di ransomware al quale Stephen Cobb ha dato il nome di Jackware; nello specifico questo ha agito cercando di prendere il controllo dell’autovettura, il device colpito dall’attacco. Facile immaginare le possibili conseguenze: nella migliore delle ipotesi la macchina non risponde al semplice comando di accensione e impedisce di muoverci. A quel punto sullo smartphone arriva un messaggio nel quale viene chiesto un riscatto per ripristinare l’uso dell’automobile. Questo però è ciò che potrebbe avvenire nel migliore dei casi, altri attacchi potrebbero avere conseguenze ben peggiori.

Questo in sintesi è ciò che avverrà in un prossimo futuro se non si corre ai ripari in tempo.

I motivi che rendono gli IoT hackerabili sono di due tipi. Il primo legato a chi sviluppa le IoT connesso alla capacità di sviluppare sistemi di difesa del sistema operativo del device, che in questo momento soffre di bug di attenzione da infiltrazioni di rootkit usati per l’installazione di keyloggers in grado di scavalcare sistemi di crittografia; il secondo ascrivibile a chi utilizza le IoT che, come nel caso di Fiat, apparentemente non ha pianificato adeguatamente le patch di vulnerabilità durante il processo di progettazione del veicolo.

Questo tipo di atteggiamento industriale non è auspicabile poiché se si vende un prodotto senza averne testato e verificato quali possano essere i possibili bug, quando si verifica il problema si rischia di non saper intervenire in modo adeguato.

Molte case automobilistiche si stanno avvicinando al concetto di Smart Connection Drive, ad esempio la BMW utilizza un’applicazione web per il servizio on-line per il Connected Drive che in un recente passato ha riscontrato dei bug. In questo caso, l’applicazione consente di effettuare una serie di regolazioni in auto e di connettersi alla propria abitazione quando si disponga di un sistema domotico, il tutto stando seduti al bar o mentre si guida.

Da qui la necessità di rendere sicure le comunicazioni ed il trasferimento dati dalla piattaforma al device.

Come è ormai ampiamente risaputo gli attacchi da ransomware servono agli hacker per fare cassa facilmente, ma ci sono differenze in base a quello che è l’obiettivo dell’attacco.

Nel caso in cui si venga attaccati su un dispositivo personale da un ransomware, che sia il PC o lo smartphone poco cambia, si avrà in qualunque caso il tempo di ragionare, chiedere consiglio ed agire di conseguenza e solo in extrema ratio si andrà a pagare un riscatto. In questo caso il danno patito è comunque circoscritto all’ambito per cui utilizzo i devices personali, sia questa la gestione del conto corrente, l’invio di mail o i files che utilizzo in ambito lavorativo. In questo caso si ha la possibilità di procrastinare le attività, differendole a quando si ritornerà in possesso dei dati.

Nel caso delle IoT, la cosa cambia completamente.

Gli IoT incidono, e incideranno sempre di più, nella vita di tutti noi. Parliamo di sistemi strumentali che già sono in grado di compiere azioni che fino a poco tempo fa sembravano incredibili. Si pensi, ad esempio, alle IoT applicate al campo della medicina traumatologica.  I primi tentativi sono già stati fatti ed hanno avuto successo. Parliamo ovviamente di piccoli interventi chirurgici con nano tecnologia. Proviamo però a pensare a quali potrebbero essere gli scenari futuri in termini di sicurezza.

Da questo punto di vista non c’è differenza tra hackerare un PC o un device. Lo scopo rimane quello di ottenere un riscatto per liberare lo strumento, ma se si tratta di una autovettura o se si tratta della propria abitazione o peggio di un intervento chirurgico in corso d’opera o di una nave in porto che deve ormeggiare, è evidente che sia il livello di rischio sia il tempo di risposta all’evento dovranno essere immediate.

Ne consegue che il rischio latente legato alla sicurezza degli IoT non potrà avere margini significativi di delay o di bug o peggio ancora di accesso ai dati.

Ovviamente la tecnologia per contrastare un attacco informatico esiste ma al momento inciderebbe troppo sui costi finali poiché il concetto di cyber security degli Iot è lo stesso di quello applicato ai Big Data.

Se si analizza lo stato dell’arte in relazione ai sistemi operativi utilizzati da chi produce IoT e da chi li applica si nota che non esiste un’armonizzazione dei sistemi operativi anche se la maggior parte dei produttori tende ad utilizzare la kernel di Linux. Il problema di base è che le IoT generano informazioni da remoto che vanno gestite in cloud e già questo genera problemi sui tempi di trasferimento vista la mole di Big Data da gestire.

A mio parere una soluzione valida al momento, potrebbe essere quella delle API per bucket con ACL che utilizzi il trasferimento dati in TLS/SSL, come nel caso di Amazon S3. Il servizio consente che i dati rimangano protetti anche se intercettati nei trasferimenti fra i vari nodi di Amazon.

E’ facile prevedere, come successo, che un attacco informatico possa avvenire più facilmente da dove partono i dati. Tuttavia, ritengo possibile delle soluzioni che non incidano estremamente sul costo finale dei device. Una di queste potrebbe essere una qualche evoluzione del Sandbox. Come sanno coloro che si occupano di sicurezza informatica, le APT (Advanced Persistent Threats) specifiche indirizzate ad un determinato gateway o endpoint agiscono cercando di eluderne le difese e la Sandbox rappresenta una buona risposta e credo che un’evoluzione del Sandbox dedicata agli IoT possa rappresentare una soluzione non troppo onerosa.  Nell’attesa di vedere cosa decideranno i grandi player e vedere in opera qualche piattaforma, continuerò ad utilizzare il mio smartphone dall’ufficio per accendere il forno di casa e la lavatrice sperando di non trovare casa allagata e la lasagna carbonizzata.

Profilo Autore

Docente Formatore in Security Management presso il KHC, Cyber expert ISO27001

Condividi sui Social Network:

Articoli simili