I ricercatori del Kaspersky Lab ICS CERT, in collaborazione con Motorica, hanno intrapreso una valutazione sulla sicurezza informatica di un software di prova per la protesi digitale di una mano sviluppata dalla start-up russa
Gli esperti di Kaspersky Lab stanno studiando l’infrastruttura cloud sperimentale per protesi bioniche avanzate e hanno identificato diversi problemi di sicurezza prima sconosciuti che potrebbero consentire a terzi di accedere, manipolare, rubare o addirittura cancellare i dati privati degli utenti dei dispositivi e molto altro. I risultati sono stati condivisi con il produttore Motorica, una start-up russa che si occupa di alta tecnologia e che sviluppa protesi bioniche degli arti superiori per assistere le persone con disabilità, permettendo loro di far fronte ad eventuali problemi di sicurezza. Questo il tema centrale della conferenza stampa di Kaspersky Lab al Mobile World Congress di Barcellona, con la partecipazione di Vladimir Dashchenko, Head of the Vulnerabilities Research Group del Kaspersky Lab ICS CERT; Ilya Chekh, CEO di Motorica, e il Brand Ambassador Dmitry Koshechkin; Sergey Kravchenko, Senior Business Development Manager, Future Technologies di Kaspersky Lab.
L’Internet of Things non riguarda più soltanto gli smart watch connessi o i dispositivi per la “smart home”, ma anche ecosistemi avanzati, complessi e sempre più automatizzati. Tra questi vi sono le cybertecnologie connesse del settore healthcare. In futuro, queste tecnologie potrebbero passare da dispositivi di supporto a oggetti “mainstream”, utilizzati da consumatori desiderosi di estendere le capacità del proprio corpo attraverso un processo che potrebbe essere definito di “cibernetizzazione”. È quindi importante che qualsiasi rischio per la sicurezza che potrebbe essere potenzialmente sfruttato dai cybercriminali sia ridotto al minimo fin da subito, indagando e risolvendo i problemi di cybersecurity nei prodotti di oggi e nelle loro infrastrutture di supporto.
I ricercatori del Kaspersky Lab ICS CERT, in collaborazione con Motorica, hanno intrapreso una valutazione sulla sicurezza informatica di un software di prova per la protesi digitale di una mano sviluppata dalla start-up russa. La soluzione stessa si basa su un sistema di cloud remoto, un’interfaccia per il monitoraggio dello stato di tutti i dispositivi biomeccanici registrati. Fornisce, inoltre, ad altri sviluppatori un set di tool per l’analisi delle condizioni tecniche di dispositivi come sedie a rotelle intelligenti, mani e piedi artificiali.
La ricerca iniziale ha identificato diversi problemi di sicurezza. Tra questi: una connessione http non sicura, operazioni non corrette di autenticazione e una convalida degli input insufficiente. Quando è in uso, la mano bionica trasmette dati al sistema in cloud. A causa dei gap a livello di sicurezza un cybercriminale potrebbe riuscire a:
- Ottenere accesso alle informazioni contenute nel cloud di tutti gli account collegati (compresi login e password “in chiaro” per quanto riguarda tutti i dispositivi protesici e i loro amministratori).
- Manipolare, aggiungere o cancellare questo tipo di informazioni.
- Aggiungere o cancellare i profili degli utenti regolari e “privilegiati” (quindi con diritti di amministratore).
“Motorica è un’azienda altamente tecnologica, affidabile e socialmente responsabile, focalizzata nel far fronte alle sfide che le persone con disabilità fisiche devono affrontare. L’azienda è in una fase di crescita e il nostro obiettivo era quello di aiutarla a garantire l’adozione delle giuste misure di sicurezza. I risultati della nostra analisi ci ricordano che la sicurezza deve essere integrata nelle nuove tecnologie fin dalla loro progettazione. Ci auguriamo che altri sviluppatori di dispositivi connessi avanzati collaborino con l’industria della cybersecurity perchè comprendano e affrontino i problemi di sicurezza dei propri dispositivi e sistemi e trattino la sicurezza dei dispositivi come parte integrante ed essenziale del loro stesso sviluppo”, ha dichiarato Vladimir Dashchenko, security researcher del Kaspersky Lab ICS CERT.
“Le nuove tecnologie ci stanno portando verso nuovi orizzonti in termini di dispositivi di assistenza bionica. Questo è un momento di cruciale importanza per gli sviluppatori di questo tipo di tecnologie per l’avvio di una collaborazione con i vendor di soluzioni di sicurezza informatica. Questa collaborazione permetterà di rendere impossibili anche casi, al momento solo ipotizzabili, di cyberattacchi al corpo umano”, ha osservato Ilya Chekh, CEO di Motorica.
Per mantenere al sicuro questo tipo di dispositivi, Kaspersky Lab consiglia alle aziende di:
- Tenere sotto controllo i principali modelli di minaccia e le classificazioni di vulnerabilità per le tecnologie web-based e IoT pertinenti, fornite da esperti del settore, come l’OWASP IoT Project.
- Introdurre pratiche di sviluppo dei software sicure, basate su un ciclo di vita corretto. Per valutare le pratiche di sicurezza di software già esistenti è sempre meglio utilizzare un approccio sistematico – ad esempio, quello di OWASP OpenSAMMMM.
- Istituire una procedura per ottenere informazioni sulle minacce rilevanti e sulle vulnerabilità in modo da garantire risposte adeguate e tempestive nel caso di incidenti.
- Procedere con il regolare aggiornamento dei sistemi operativi, dei software delle applicazioni, dei dispositivi e delle soluzioni di sicurezza.
- Implementare soluzioni di sicurezza informatica progettate per l’analisi del traffico di rete, per il rilevamento e la prevenzione di attacchi alla rete stessa, ai margini della rete aziendale e a quelli della rete OT.
- Utilizzare una soluzione di protezione dotata di tecnologia MLAD (Machine Learning Anomaly Detection) per scoprire eventuali anomalie nel comportamento dei dispositivi dell’Internet of Things e per il rilevamento precoce di eventuali attacchi, guasti o danni ai dispositivi stessi.
