OWASP IoT top 10: le vulnerabilità più pericolose

1. Che cos’è l’IoT?

2. In quali aziende trovo l’IoT?

3. Quali sono i principali pericoli dell’IoT?

4. OWASP: che cos’è?

5. OWASP IoT top 10 – 2018

6. IoT Top 10 OWASP – 2014

7. Soluzioni possibili per proteggere i dispositivi IoT dalle Top 10 vulnerabilità OWASP

8. Onorato Informatica – chi siamo?

Parlare di Iot e dispositivi IoT ci proietta sempre verso il futuro. Un futuro che sembra essere più vicino di quello che immaginiamo.

In un mondo ormai prossimo dove ogni cosa è connessa a Internet: elettrodomestici, lampadine, termostato di casa, sistemi di apertura/chiusura finestre, telecamere ma persino oggetti indossabili: vestiti, orologi, braccialetti.

Persino l’ambiente in cui viviamo diventa “smart“: le vetrine dei negozi, il car sharing, le pensiline dell’autobus che indicano gli orari di arrivo dei mezzi, la ricarica elettrica per le auto, i sistemi di rilevamento dell’inquinamento e potremmo continuare all’infinito

Spesso, in quanto specialisti di sicurezza informatica, ci siamo chiesti in che misura tutto queste smart things potessero influenzare il nostro modo di vivere.
Ma soprattutto, ci siamo messi nei panni di un’azienda: in che modo l’IoT è presente nel business? E qualora sia presente, come gestirne la sicurezza?

Dopo anni di ricerca e sviluppo siamo arrivato ad un punto di svolta per continuare a tutelare i nostri clienti dai pericoli e dalle minacce IoT.

L’IoT in azienda si trova più facilmente nelle aziende produttive (automotive, manifatturiero tessile, ecc.) grazie all’implementazione di sensori IoT sui macchinari di produzione. O ancora nel settore agricolo/alimentare, l’IoT viene implementato per la misurazione del livello di umidità, per automatizzare i comandi dei macchinari o addirittura per allarmi.

Mentre nel settore della logistica e dei trasporti, l’IoT serve spesso per l’etichettatura dei pacchi e dei container, ma anche per le letture dei dati di spedizione e consegna, per la gestione del magazzino. Ogni aspetto automatizzato e connesso della supply chain si serve dell’IoT.

Pe4nsiamo sempre alle soluzioni IoT come ad una soluzione automatica per l’interazione tra oggetti. In ogni azienda produttiva, l’obiettivo delle soluzioni IoT è quello di aumentare la produttività dei macchinari e l’automazione dei processi.

Nel 2020, i dispositivi IoT nelle aziende sono cresciuti del 33%. La presenza di connessioni veloci (5G in primis), aumenterà sempre di più questa costante.
Tuttavia, all’aumentare della disponibilità delle tecnologie, crescono di pari passo anche i rischi a cui si va incontro.

Questo è il caso in cui diciamo, l’IoT è forse la tecnologia che più attrae gli hacker in questo momento

Uno dei principali problemi dei dispositivi IoT è la totale e superficiale mancanza di qualsiasi protezione dagli attacchi informatici. Spesso vengono implementati da aziende e predisposti al funzionamento con le stesse impostazioni di default (password, nome utente) e spesso molti di questi servizi, oltre che essere connessi sono anche esposti su internet.

Qualche tempo fa vi abbiamo parlato del problema dei sistemi NVR (ovvero le telecamere) e delle webcam spiabili via web. Ecco il nostro articolo, clicca qui.
Ognuno dei dispositivi IoT ha a bordo una varia selezione di vulnerabilità che non vengono monitorate e addirittura non sono considerate un punto attaccabile da virus e hacker.

Quali sono i dispositivi IoT a rischio hacker?

I dispositivi che vengono più spesso presi di mira dai virus sono anche quelli la cui sicurezza viene tralasciata: tutti i dispositivi della smart home, sensori nei circuiti elettrici, stampanti wi-fi, sensori industriali, telecamere, dispositivi per data center.

L’attacco hacker più diffuso per dispositivi IoT è attraverso la uPNP.

Abbiamo già parlato del progetto OWASP in un articolo dedicato qui sul nostro blog di informatica.

Possiamo dire che OWASP nasce come progetto aperto internazionale che ha l’obiettivo di realizzare materiale e linee guida per l’application security, in altre parole per la sicurezza degli ambienti web (siti, e-commerce, software web-based).

Il progetto OASP nasce nel 2001 e oggi rappresenta lo standard più seguito dalla comunità cyber security per mettere in sicurezza le applicazioni web.
ma non parliamo solo di applicazioni, il progetto OWASP Top Ten riguarda anche i dispositivi IoT.

Veniamo al dunque, il progetto della Top 10 IoT OWASP ha l’obiettivo di fornire una lista delle 10 vulnerabilità IoT più pericolose. Grazie a questa lista sviluppatori, tecnici e utenti che usufruiscono delle tecnologie IoT possano mantenere controllati tutti i punti deboli dei dispositivi e garantire allo stesso tempo il massimo della sicurezza.

Attualmente la lista di vulnerabilità più aggiornata risale alla versione del 2018.

Nello specifico, la presenza di queste 10 vulnerabilità IoT si annida in specifici punti dei dispositivi:

• interfaccia amministrativa;
• autenticazione/login;
• meccanismi di aggiornamento;
• interfaccia web cloud;
• servizi di rete del dispositivo.

1. Weak Guessable, or Hardcoded Passwords

2. Insecure Network Services

3. Insecure Ecosystem Interfaces

4. Lack of Secure Update Mechanism

5. Use of Insecure or Outdated Components

6. Insufficient Privacy Protection

7. Insecure Data Transfer and Storage

8. Lack of Device Management

9. Insecure Default Settings

10. Lack of Physical Hardening

Tenete sempre a mente che l’obiettivo di questa lista aggiornata, e valida anche oggi nel 2021, è quello di sensibilizzare sulla sicurezza delle applicazioni identificando alcuni dei rischi più critici per le aziende di tutto il mondo.

Prima dell’entrata in vigore della lista Top 10 OWASP IoT 2018, il progetto aveva diffuso questa lista di vulnerabilità che oggi viene considerata ormai dismessa.

1. Insecure Web Interface
2. Insufficient Authentication/Authorization
3. Insecure Network Services
4. Lack of Transport Encryption
5. Privacy Concerns
6. Insecure Cloud Interface
7. Insecure Mobile Interface
8. Insufficient Security Configurability
9. Insecure Software/Firmware
10. Poor Physical Security

Siamo finalmente giunti ad un punto di svolta del nostro articolo che risponde ad una domanda forse scontata ma fondamentale:

Come si proteggono i dispositivi IoT dalle Top 10 vulnerabilità OWASP?

Ebbene, affinché la tua azienda possa attenersi agli standard di sicurezza OWASP è necessario sottoporre ciclicamente la propria rete IoT a monitoraggi cyber security. Il servizio di monitoraggio si chiama IoT Vulnerability Assessment e solo un’azienda specializzata in cyber security è in grado di fornirlo.

Un vulnerability assessment è in grado di dirti quali dispositivi sono in pericolo e come fare per metterli al riparo dagli attacchi.

Se la tua azienda ha implementato tecnologie di automazione, robot industriali, sensori e ogni genere di servizio connesso a internet, allora ha bisogno di effettuare un vulnerability assessment.

Il primo step da affrontare per garantire la massima sicurezza dell’IoT è sapere quali sono i punti deboli dei device, solo in un secondo momento potrai focalizzare gli interventi di messa in sicurezza.

Grazie ad un Vulnerability Assessment sull’IoT sarai in grado di:

• tenere monitorata il sistema di aggiornamenti
• conoscere il livello di esposizione delle credenziali
• sapere dove mancano protocolli di crittografia
• accertarti che il dispositivo sia patchato
• monitorare le funzionalità abilitate e disabilitare le porte inutilizzate