Attenzione ai dispositivi sospetti

Alcuni episodi recenti mostrano come gli attacchi che coinvolgono l’”Internet of Things” stanno diventando una realtà. David Gubiani, Technical Manager, Check Point Software Technologies Italia spiega in che modo i dispositivi “smart” stanno iniziando ad essere sfruttati

A dicembre 2013, Check Point ha rilasciato le sue previsioni di sicurezza per il 2014. In cima alla lista delle nuove minacce previste c’era la ricerca da parte dei cybercriminali sfruttare dispositivi ed appliance “smart” basati su IP per raccogliere informazioni personali, o per lanciare direttamente attacchi. Non ci aspettavamo che questa previsione si sarebbe verificata nel giro di pochi mesi, con due incidenti di sicurezza che coinvolgono proprio queste nuove tipologie di dispositivi.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Prima è arrivata la notizia che una massiccia violazione di dati in due principali retailer statunitensi aveva provocato il furto di informazioni personali e relative a carte di credito di 110 milioni di clienti. Gli aggressori hanno utilizzato un malware “RAM scraping”, che è stato collocato nei terminali POS presso i punti vendita.

Anche se questi terminali POS non sono computer in senso convenzionale, hanno processori e chip di memoria RAM, e svolgono funzioni informatiche di base – come leggere i dati dalle carte di credito dei clienti, crittografarli e inviarli ai sistemi di back-end del rivenditore.

A proposito di RAM scraping

Il malware cosiddetto di “RAM scraping” è progettato per attivarsi quando nuovi dati vengono caricati in memoria prima che vengano criptati, catturare questi dati (inclusi il nome del titolare, numero di carta, data di scadenza e il codice di sicurezza a tre cifre) e trasmetterli al criminale informatico. Se i terminali POS possono non essere collegati direttamente a Internet, i sistemi retail che gestiscono i terminali sono in genere basati su Windows e devono essere configurati correttamente, avere patch regolarmente aggiornate, e sono probabilmente anche connessi a Internet.
Quindi, un malintenzionato che riesca a farsi strada nel server Internet di un retailer utilizzando una vulnerabilità, può essere in grado di muoversi attraverso altre reti locali, e quindi ai sistemi POS e terminali stessi.

Leggi anche:  Kaspersky segnala un aumento degli attacchi di phishing del 40% nel 2023

Spam fresco dal frigorifero

In secondo luogo, c’era la notizia che oltre 100.000 dispositivi consumer, tra cui un frigorifero connesso a internet, smart TV e hub multimediali sono serviti per inviare più di 750.000 email di spam e phishing nel corso delle ultime vacanze di Natale.

Certo, è cosa abbastanza comune che i PC domestici e aziendali vengano compromessi dai bot e utilizzati per generare enormi quantità di spam e phishing, e per lanciare attacchi “denial of service” contro i siti web – ma questo attacco è il primo ad essere riportato in cui dispositivi smart domestici convenzionali vengono stati usati come parte della botnet.
La maggior parte dei dispositivi non erano realmente infetti, ma erano stati semplicemente lasciati aperti in modo che gli aggressori fossero in grado di sfruttare il software in esecuzione su di essi per inviare e trasmettere spam ed email infette. Ma questo incidente mette in luce quanto siano diventati intraprendenti gli aggressori, e come possano essere efficaci vettori di attacchi non convenzionali.

Proteggere le cose

Ora che sono iniziati gli attacchi contro i dispositivi smart, potranno solo aumentare. L’agenzia di analisi IDC prevede che ci saranno 200 miliardi di dispositivi connessi a Internet entro il 2020 – rispetto ai 5 miliardi di dispositivi attuali (circa 1 miliardo di PC, 2 miliardi di cellulari e tablet e altri 2 miliardi di dispositivi, quali monitor di temperatura, webcam, ecc.).
Proteggere questi dispositivi sarà una sfida. Molti di essi hanno capacità di elaborazione limitata, e quindi non sono in grado di far funzionare soluzioni anti-malware convenzionali. Invece, la sicurezza si basa sugli utenti che modificano le password e le impostazioni predefinite, e garantendo che i dispositivi non vengano lasciati aperti – esattamente nello stesso modo in cui si raccomanda alle persone di proteggere le loro reti wi-fi a casa.

Leggi anche:  Protezione delle identità e degli accessi. Sfide e opportunità per CIO e CISO

Gli attacchi su larga scala, come gli exploit di RAM scraping contro i principali retailer rafforza la necessità per le organizzazioni di mantenere le migliori pratiche di sicurezza. Ciò include l’applicazione degli ultimi aggiornamenti e le patch per chiudere le vulnerabilità, e l’implementazione di livelli di sicurezza per proteggere le reti e i dati in modo che anche se uno strato viene violato, quello successivo può fermare l’attacco. Ad esempio, le organizzazioni possono isolare diversi segmenti di rete tra loro utilizzando i firewall, per inibire che gli attacchi attraversino le reti, o utilizzare servizi come Check Point ThreatCloud Emulation che può identificare e isolare file dannosi prima che entrino nella rete, in modo che non si verifichino infezioni.

Proprio come l’”Internet of Things” sta permettendo un mondo più efficiente e meglio connesso, ma offre anche ai criminali una rete meglio collegata, più efficiente per lanciare attacchi. Sì, dobbiamo essere consapevoli dei dispositivi sospetti – che, a quanto pare, stanno diventando rapidamente tutti i dispositivi.