Premesse
L’Iot, di cui ho parlato in diversi articoli su questo blog, è un ambito in crescita esponenziale e che porta a importanti vantaggi per le applicazioni nel Facility Management e nell’Energy Management. A patto che sia questi dispositivi e relative applicazioni siano sicure.
Mi sono imbattuto oggi in un interessante articolo postato dal mio contatto Alessandro Parisi e ho deciso di fare un rapido controllo dell’avanzamento del framework di valutazione dei rischi per il mondo IoT.
Lo scenario descritto
Riporto un piccolo stralcio, cuore dell’articolo, con suggerimento di leggerlo davvero tutto (merita!):
Avrete sentito parlare di Stuxnet. Si trattò di un worm governativo concepito per nascondersi nei firmware e attaccare specifiche centrifughe in Iran. Il resto del mondo, però, era in relativa pace. Ma se osserviamo, oggi come oggi, i processori che soffrono del problema, scopriamo che sono in tantissime applicazioni industriali e IoT.
E adesso, la risposta a “che succede se i russi riescono ad ottenere, da Intel, le chiavi che servono ad installare il firmware sulla CPU?”, la risposta è …. che siamo nella m***a fino al collo.
E se anche la Cina diventa sempre più nemica degli USA, e Intel ha almeno una factory in Cina a Chengdu, e i servizi cinesi riescono a mettere le mani su quelle chiavi, possono letteralmente prendere possesso delle CPU di mezzo mondo.
Ma se si sapeva, qual è il punto? Il punto è che “sapere” ha diversi significati. Un conto è sapere in astratto “c’è del microcodice nella CPU, magari criptato, che fa cose”. Un conto è VEDERE il microcodice, riuscire a tirarlo fuori, e vedere cosa fa.
Un hacker può cominciare a smontare un orologio ben sapendo che ci sono ingranaggi e molle che segnano il tempo. Ma mentre lo smonta, scoprirà sempre di piu’ quali ingranaggi, come si smontano, come funzionano, che difetti hanno, e come far andare in ritardo un orologio.
A quel punto, l’Hacker ha vinto.
Solo questo pezzo è sufficiente a far correre più di un brivido lungo la schiena di chiunque ha idea di cosa può succedere al maestro di chiavi.
E’ per questo che ho voluto fare un po’ di ricerca per capire quali iniziative stiano lavorando a rendere più sicure le tecnologie IoT.
OWASP per l’IoT
Nell’articolo dedicato ad OWASP avevo parlato di sicurezza software in generale. Questa Fondazione ha tuttavia avviato un altro interessante progetto dedicato al mondo IoT.
L’OWASP Internet of Things Project è stato concepito per aiutare produttori, sviluppatori e consumatori a comprendere meglio i problemi di sicurezza associati all’Internet of Things e per consentire agli utenti, in qualsiasi contesto, di prendere decisioni migliori in materia di sicurezza quando costruiscono, distribuiscono o valutano le tecnologie IoT.
Il progetto si propone di definire una struttura per vari sottoprogetti IoT suddivisi nelle seguenti categorie:
- ricerca e comprensione
- convalida e test
- governance.
Al momento, sono disponibili i seguenti progetti OWASP sull’Internet delle cose:
- OWASP IoT Top 10
- OWASP IoT Top 10 Mapping Project
- OWASP IoTGoat
- OWASP Firmware Analysis Project
- OWASP Firmware Security Testing Methodology
- ByteSweep
OWASP IoT Top 10
Come per la Top 10 dei pericoli per i software, anche la Top 10 IoT stabilisce una graduatoria dei rischi che si corrono.
La più recente è del 2018 e contempla queste voci:
- I1 Password deboli, indovinabili o codificate in modo rigido
- I2 Servizi di rete non sicuri
- I3 Interfacce dell’ecosistema non sicure
- I4 Mancanza di un meccanismo di aggiornamento sicuro
- I5 Utilizzo di componenti non sicuri o obsoleti
- I6 Insufficiente protezione della privacy
- I7 Trasferimento e archiviazione dei dati non sicuri
- I8 Mancanza di gestione del dispositivo
- I9 Impostazioni predefinite non sicure
- I10 Mancanza di protezione fisica
OWASP IoT Top 10 Mapping Project
L’OWASP IoT Mapping Project ha lo scopo di fornire una mappatura della OWASP IoT Top 10 con le pubblicazioni di settore e i progetti gemelli. L’obiettivo è quello di fornire risorse che consentano usi pratici della OWASP IoT Top 10 . Come tutti gli elenchi di Top 10, devono essere utilizzati come primo passo e ampliati in base all’ecosistema IoT applicabile. Le mappature sono strutturate con categorie di controllo, test o raccomandazioni, descrizioni e la loro mappatura alla lista OWASP IoT Top 10.
OWASP IoTGoat
Questo sottoprogetto ha lo scopo di definire un insieme di codice insicuro da cui imparare. IoT Goat è un firmware deliberatamente insicuro basato su OpenWrt. A sua volta quest’ultimo è un progetto di sistema operativo Linux destinato ai dispositivi embedded. Invece di cercare di creare un unico firmware statico, OpenWrt fornisce un filesystem completamente scrivibile con gestione dei pacchetti. In questo modo ci si libera dalla selezione e dalla configurazione delle applicazioni fornite dal fornitore e si può personalizzare il dispositivo attraverso l’uso di pacchetti per adattarlo a qualsiasi applicazione.
L’obiettivo del progetto IoT Goat è quello di insegnare agli utenti le vulnerabilità più comuni che si trovano tipicamente nei dispositivi IoT. Le vulnerabilità saranno basate sulle 10 principali vulnerabilità documentate da OWASP. L’attuale repository è disponibile qui
OWASP Firmware Analysis Project
Il progetto di analisi del firmware ha lo scopo di fornire una guida ai test di sicurezza per la superficie di attacco IoT offerta dal Firmware del dispositivo:
OWASP Firmware Security Testing Methodology
La Firmware Security Testing Methodology (FSTM) è composta da 9 fasi studiate per consentire a ricercatori di sicurezza, sviluppatori di software, consulenti, hobbisti e professionisti della sicurezza informatica di condurre valutazioni sulla sicurezza del firmware.
| Fase | Descrizione |
|---|---|
| 1. Raccolta di informazioni e ricognizione | Acquisizione di tutti i dettagli tecnici e di documentazione relativi al firmware del dispositivo target. |
| 2. Ottenere il firmware | Ottenere il firmware utilizzando uno o più dei metodi proposti elencati. |
| 3. Analizzare il firmware | Esaminare le caratteristiche del firmware di destinazione. |
| 4. Estrazione del filesystem | Ricavare il contenuto del filesystem dal firmware di destinazione. |
| 5. Analizzare i contenuti del filesystem | Analizzare staticamente i file di configurazione del filesystem e i file binari estratti per individuare eventuali vulnerabilità. |
| 6. Emulazione del firmware | Emulazione di file e componenti del firmware |
| 7. Analisi dinamica | Eseguite test di sicurezza dinamici sul firmware e sulle interfacce delle applicazioni. |
| 8. Analisi runtime | Analizzare i binari compilati durante l’esecuzione del dispositivo. |
| 9. Sfruttamento binario | Sfruttare le vulnerabilità identificate scoperte nelle fasi precedenti per ottenere root e/o l’esecuzione di codice. |
ByteSweep
ByteSweep è una piattaforma di analisi della sicurezza IoT a software libero. Questa piattaforma consentirà ai produttori di dispositivi IoT, grandi e piccoli, di effettuare controlli di sicurezza completamente automatizzati prima di spedire il firmware. Una piattaforma di analisi della sicurezza del firmware IoT a software libero
Caratteristiche di ByteSweep:
- Estrazione del firmware
- Arricchimento dei dati dei file
- Identificazione degli hash di chiavi e password
- Rilevamento dell’uso di funzioni non sicure
- Identificazione di componenti di terze parti
- Correlazione CVE
L’impatto IoT per il Facility Management
Sempre facendo l’esempio di molti programmi di intrattenimento e film che accendono l’immaginario (e che fanno da apripista a situazioni realmente realizzabili) si ricordano molte situazioni in cui vengono attivati e disattivati sistemi in edifici con lo scopo di procurare danno o di accedere indisturbati.
L’edificio, o una proprietà in generale, è sempre un bersaglio di interesse. La diffusione dell’IoT in sovrapposizione ai BMS può creare situazioni di pericolo o solo di danno economico.
Se infatti i sensori in campo venissero manomessi per trasmettere al BMS valori sballati, gli impianti HVAC potrebbero lavorare di più (consumando più energia) o di meno (provocando malessere alle persone o danni alla produzione in corso).
Conclusioni
La capacità di prevedere scenari di attacco e di scegliere le strategie di mitigazione diventeranno sempre più utili per tutti i gestori di Patrimoni Immobiliari. Se vuoi analizzare possibili interventi o definire un piano dei rischi puoi contattarmi qui.