I comuni dispositivi per l’intrattenimento domestico costituiscono una reale minaccia alla sicurezza informatica a causa di vulnerabilità presenti nei loro software e della mancanza di basilari misure di sicurezza come password di amministrazione efficaci e la crittazione della connessione a Internet
David Jacoby, Security Analyst di Kaspersky Lab, ha condotto una ricerca sperimentale nel suo soggiorno per scoprire quanto fosse protetta la sua casa sotto il profilo della sicurezza informatica. Ha ispezionato i dispositivi per l’intrattenimento domestico come i NAS (Network Attached Storage), le Smart TV, il router, il lettore Blue Ray, e così via per scoprire se fossero vulnerabili a cyber attacchi. La risposta è sì.
L’esperto di Kaspersky Lab ha esaminato due modelli NAS di due diversi produttori, una Smart TV, un ricevitore satellitare e una stampante connessa. In seguito alla sua ricerca, David Jacoby ha trovato 14 vulnerabilità nelle memorie connesse alla rete, una nella Smart TV e diverse potenziali funzioni di controllo da remoto nascoste nel router.
In base alla sua policy aziendale, Kaspersky Lab non diffonderà i nomi dei vendor dei prodotti presi in esame finché non sarà rilasciata una patch di sicurezza che ripari le vulnerabilità. Tutti i produttori sono stati, infatti, informati dell’esistenza delle vulnerabilità e gli specialisti di Kaspersky Lab stanno lavorando a stretto contatto con loro per scoprire ed eliminare ogni vulnerabilità.
Esecuzione di codice in modalità remota e password deboli
Le vulnerabilità più gravi sono state trovate nelle memorie connesse alla rete. Molte permetterebbero a un aggressore di eseguire in modalità remota comandi di sistema con i maggiori privilegi amministrativi. I dispositivi testati avevano anche deboli password di default, molti file di configurazione avevano le autorizzazioni sbagliate e contenevano password in testo in chiaro. In particolare, la password di amministrazione di default di uno dei dispositivi era costituita da una sola cifra. Un altro dispositivo, invece, condivideva con chiunque in rete l’intero file di configurazione contenente le password crittate.
Utilizzando una vulnerabilità isolata, il ricercatore è stato in grado di fare l’upload di un file in un’area della memoria di archiviazione inaccessibile per l’utente ordinario. Se questo file fosse maligno, il dispositivo compromesso diventerebbe fonte di infezione per gli altri dispositivi che si connettono a questo NAS (ad esempio un PC domestico) e persino funzionare come DDoS bot in una botnet. Inoltre, dato che la vulnerabilità ha permesso di fare l’upload del file in una parte speciale del file system del dispositivo, l’unico modo per eliminarlo è utilizzare la stessa vulnerabilità. Ovviamente, questo non è un compito semplice persino per uno tecnico specializzato, figurarsi per l’utente medio di un dispositivo per l’intrattenimento domestico.
Man-in-the-Middle via Smart TV
Esaminando il livello di sicurezza della sua Smart TV, il ricercatore di Kaspersky ha scoperto che non viene utilizzata alcuna crittazione nella comunicazione tra la TV e i server del produttore della TV stessa. Ciò apre potenzialmente la strada ad attacchi Man-in-the-Middle, che, nel momento in cui l’utente cercasse di acquistare contenuti tramite la TV, potrebbero in realtà trasferire denaro si criminali. Come dimostrazione, il ricercatore è riuscito a sostituire un’icona dell’interfaccia grafica della Smart TV con un’immagine. Normalmente i widget e le immagini vengono scaricati dai server del vendor e, a causa dell’assenza di una connessione crittata, l’informazione può essere modificata da una terza parte. Il ricercatore ha inoltre scoperto che la Smart TV è in grado di eseguire codici scritti in Java, che, insieme alla capacità di intercettare lo scambio di traffico tra la TV e internet, potrebbero causare attacchi maligni guidati da exploit.
Funzioni di spionaggio nascoste in un router
Il router DSL, usato da tutti i dispositivi casalinghi per ottenere l’accesso wireless a internet, conteneva numerose funzionalità pericolose nascoste ai possessori. Secondo il ricercatore, alcune di queste funzioni nascoste potrebbero fornire all’ISP (Internet Service Provider) accesso da remoto a ogni dispositivo connesso alla rete privata. L’aspetto più importante è che, secondo i risultati ottenuti dal ricercatore, alcune sezioni dell’interfaccia web del router chiamate “Web Cameras”, “Telephony Expert Configure”, “Access Control”, “WAN-Sensing” e “Update” sono “invisibili” e non possono essere modificate dal possessore del dispositivo. Si può ottenere l’accesso a esse solo sfruttando una vulnerabilità piuttosto comune che permette di spostarsi tra le sezioni dell’interfaccia (in sostanza, sono delle pagine web, ciascuna col suo indirizzo alfanumerico) forzando brutalmente i numeri alla fine dell’indirizzo. Originariamente, queste funzioni sono state implementate per agevolare il possessore del dispositivo: la funzione di accesso da remoto rende semplice e veloce per l’ISP risolvere i possibili problemi tecnici che si verificano sul dispositivo, ma la comodità potrebbe trasformarsi in un rischio se i controlli cadessero nelle mani sbagliate.
“Individui e aziende devono capire i rischi di sicurezza connessi ai dispositivi in rete. Dobbiamo anche tenere a mente che le nostre informazioni non sono al sicuro solo perché abbiamo una password forte e che ci sono molti fattori che non possiamo controllare. Ci sono voluti meno di 20 minuti per trovare e verificare vulnerabilità estremamente serie in un dispositivo che sembra sicuro e allude persino alla sicurezza nel suo stesso nome. Che risultati otterrebbe una simile ricerca se fosse condotta su scala più ampia? Questa è solo una delle molte domande che devono essere affrontate dai vendor, dalle comunità di sicurezza e dagli utenti nell’immediato futuro. Un’altra questione importante è il ciclo di vita dei dispositivi. Come ho appreso discutendo con i produttori, alcuni di loro non sono disposti a sviluppare una soluzione di sicurezza per un dispositivo vulnerabile nel momento in cui il suo ciclo di vita sia giunto al termine. Solitamente, questo ciclo di vita dura uno o due anni, mentre la vita reale dei dispositivi – ad esempio i NAS – è molto più lunga. Da qualunque punto di vista la si guardi, non si tratta di una politica molto corretta”, ha commentato David Jacoby, l’autore della ricerca.
Come rimanere al sicuro nel mondo dei dispositivi connessi
• Rendere il lavoro dell’hacker difficile: tutti i vostri dispositivi dovrebbero avere installati sempre gli ultimi aggiornamenti di sicurezza e firmware. Questo accorgimento ridurrà il rischio dello sfruttamento delle vulnerabilità conosciute.
• Assicurarsi che lo username e la password di default siano stati cambiati: questa è la prima cosa che un aggressore proverebbe nel tentativo di compromettere il vostro dispositivo.
• La gran parte dei router e degli switch domestici includono l’opzione per la creazione di una rete dedicata per ciascun dispositivo e la restrizione dell’accesso a quest’ultimo – grazie all’aiuto di molti DMZ differenti (un segmento di rete separato per i sistemi più a rischio di compromissione) /VLAN (un meccanismo per ottenere una separazione logica tra diverse reti logiche sulla stessa rete fisica). Ad esempio, se avete una TV, potreste desiderare restringere l’accesso a tale dispositivo e allo stesso tempo consentirgli l’accesso a solo alcune risorse all’interno della vostra rete: non ci sono ragioni per cui la vostra stampante dovrebbe essere connessa alla televisione.
