Internet delle cose – Pagina 10

Ransomware per termostato, nuova tappa dell’Internet delle Cose

2016-08-12
di Paolo Attivissimo
aggiornamenti software, Internet delle cose, ReteTreRSI

Non è la prima volta che metto in guardia contro la superficialità con la quale troppi produttori di elettrodomestici e altri apparati collegano a Internet qualunque cosa senza pensare alle implicazioni di sicurezza informatica: stavolta è il turno degli impianti di riscaldamento.

Dalla DEF CON di Las Vegas arriva infatti una dimostrazione dei ricercatori di sicurezza Andrew Tierney e Ken Munro, che hanno spiegato non solo come prendere il controllo di un termostato connesso a Internet ma anche come usarlo per chiedere un riscatto con la minaccia di far salire o scendere la temperatura di casa a livelli insopportabili: una forma di attacco molto simile a quella mostrata, guarda caso, poche settimane fa in una puntata di Mr. Robot.

I due ricercatori non hanno reso pubblico il nome del produttore del termostato vulnerabile, che hanno contattato privatamente in modo da consentirgli di preparare un aggiornamento correttivo, ma hanno spiegato la tecnica usata: il termostato, che usa Linux, non effettua alcun controllo sui file che gli vengono forniti tramite una scheda SD per consentire agli utenti di caricare impostazioni e sfondi. Non è difficile, quindi, convincere una vittima a caricare un file ostile, camuffandolo come un’immagine o un aggiornamento di sicurezza, prendendo così il controllo del dispositivo.

Il produttore del dispositivo preparerà l’aggiornamento, ma il vero problema sarà farlo arrivare a tutti gli utenti, che non sempre registrano il proprio dispositivo negli archivi del fabbricante e se lo fanno sono molto pigri nell’effettuare aggiornamenti, anche perché l’idea di dover aggiornare il software di un frigorifero, di un televisore o di un termostato non è ancora entrata nel sentire comune.

Come prendere il controllo di una Nissan Leaf via Internet: sicurezza zero

2016-06-08
di Paolo Attivissimo
auto elettriche, falle di sicurezza, Internet delle cose, ReteTreRSI

Le automobili sono sempre più informatizzate e interconnesse, per cui è nato il nuovo problema della sicurezza informatica su quattro ruote. Il ricercatore di sicurezza Troy Hunt ha scoperto una falla sorprendente nel servizio di gestione via Internet delle auto elettriche Nissan Leaf: ha intercettato il traffico di dati dell’app sulla propria rete Wi-Fi e ha visto con stupore che la comunicazione fra app e automobile non è protetta e non ha alcuna password: l’accesso a un’auto o a un’altra dipende soltanto da quale VIN, il numero univoco di identificazione di ogni vettura, si immette nell’URL.

Nissan Connect, l’app fornita da Nissan per monitorare a distanza lo stato di carica e gestire l’aria condizionata e il riscaldamento, è dunque totalmente priva di autenticazione ed è facilissimo prendere il controllo di una Leaf altrui se se ne conosce il VIN.

E il VIN è in bella mostra nell’angolo inferiore del parabrezza.

Hunt ha dimostrato il problema sulla Nissan Leaf di un collega, Scott Helme, con il consenso di quest’ultimo, scoprendo inoltre che è possibile accedere ai dati personali degli utenti e ricostruire i loro spostamenti, e ha avvisato Nissan, che per ora non ha corretto la falla. Intanto gli appassionati di auto elettriche sono arrivati indipendentemente alla stessa scoperta, creando delle app alternative migliori di quelle della Nissan, per cui è solo questione di tempo prima che qualcuno abusi della sicurezza inesistente della Leaf.

E se vi sembra che accendere per dispetto il riscaldamento o l’aria condizionata sia tutto sommato una burla da poco, tenete presente che si tratta di un’auto elettrica, per cui queste accensioni, specialmente se ripetute, scaricano la batteria: sono, in sostanza, l’equivalente di poter accendere il motore di un’auto tradizionale fino a svuotarne il serbatoio.

2016/03/05: Nei giorni scorsi Nissan ha rimosso l’app da Internet. Secondo le segnalazioni dei lettori, il riscaldamento della Leaf può essere acceso a distanza soltanto quando l’auto è sotto carica, per cui la falla non può essere sfruttata per scaricare completamente la batteria. Restano confermate le falle di privacy che permettono di sapere in dettaglio la cronologia degli spostamenti dell’auto e quindi del suo conducente.

Fonti aggiuntive: The Register.

Dispositivi comandabili via Internet in Svizzera

Prosegue il viaggio nelle insicurezze dell’Internet delle Cose: oggi è il turno di questi apparati che sono accessibili e comandabili via Internet semplicemente usando un programma di controllo remoto, come VNC, e collegandosi al loro indirizzo IP. Non sono protetti né da password né da crittografia, per cui chiunque li può visualizzare e controllare.

Molte aziende sono ancora convinte che basti usare un indirizzo IP segreto per dare sicurezza ai dispositivi da gestire via Internet, ma motori di ricerca specializzati come Shodan dimostrano che è un grave errore. Per sicurezza non indico gli indirizzi IP e maschero il nome dell’azienda nelle schermate mostrate qui sotto, che mi risultano tuttora pubblicamente accessibili. Le località indicate sono Buchs e Ilnau, ma ce ne sono molte altre.

Riuscite a decifrare di cosa si tratta? Se sì, ditemelo nei commenti o scrivetemi via mail a paolo.attivissimo@gmail.com (se scrivete informazioni sensibili nei commenti non li pubblicherò, per sicurezza). E soprattutto, se lavorate per quest’azienda, riuscite ad avvisare i responsabili che mettere queste cose online senza password e senza cifratura non è salutare?

Internet delle Cose, alcuni esempi d’insicurezza dalla Svizzera

Il motore di ricerca per l’Internet delle Cose, Shodan, è un ottimo strumento di sensibilizzazione alla sicurezza, perché rivela i dispositivi connessi a Internet in modo insicuro. Ho già raccontato del generatore elettrico italiano comandabile via Internet da chiunque, ma queste insicurezze esistono dappertutto. Un ascoltatore del Disinformatico, Decio, è un amministratore di sistema con la passione per tutto quello che riguarda la sicurezza informatica e ha segnalato alcune chicche svizzere in questo campo: tutti dispositivi comandabili via Internet e raggiungibili senza password e senza cifratura.

Un impianto per spa comandabile:

Un navigatore connesso a Internet:

Un impianto di riscaldamento:

Un impianto telefonico:

E ci sono un po’ di computer accessibili presso il Politecnico di Zurigo (il link è accessibile a chiunque si registri su Shodan).

Niente paura: non sto istigando a commettere atti vandalici segnalando gli indirizzi IP di questi dispositivi vulnerabili, perché i loro responsabili sono già stati avvisati e hanno già provveduto a metterli in sicurezza. È proprio a questo che serve Shodan. Ma ci sono molti altri dispositivi svizzeri che restano vulnerabili, perché l’idea che un indirizzo IP sia un segreto difficile da trovare è molto diffusa. Ci sono su Shodan, per esempio, decine di schermate di login accessibili di macchine Windows. trovabili con un semplice comando, che per ora, però, non pubblico per ovvie ragioni.

Se avete computer o altri dispositivi comandabili a distanza connessi tramite VNC e simili, controllate che siano protetti da una buona password e dalla cifratura. Non lasciate che siano altri a prenderne il controllo.

Generatore elettrico italiano comandabile da chiunque via Internet

2016-04-15
di Paolo Attivissimo
falle di sicurezza, Internet delle cose, ReteTreRSI

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/04/15 11:30.

Dan Tentler, uno degli ideatori di Shodan (motore di ricerca per l’Internet delle cose), ha segnalato su Twitter questo generatore idroelettrico collegato a Internet e comandabile da chiunque tramite VNC non criptato e senza password. La presento qui senza mascherarne i dati perché comunque tutti i dettagli sono appunto su Shodan e perché ho avvisato i responsabili, che l’hanno scollegata.

Ho verificato che la segnalazione su Shodan era ancora valida: mi sono collegato tramite VNC all’indirizzo IP 88.147.120.248 (pubblicato da Shodan) e ho trovato la schermata, aggiornata in tempo reale, con quel pulsante “START/STOP” disponibile a qualunque malintenzionato. Non l’ho toccato. Pochi clic su siti pubblicamente disponibili mi hanno permesso di scoprire che si trattava dell’impianto idroelettrico Rio Brent.

Altri, però, sono stati meno rispettosi di me: ho visto qualcuno azionare lo “START/STOP”. Ho cercato e trovato online il numero di telefono dell’azienda in questione e l’ho chiamato. Ha risposto una voce che ha avuto una risposta decisamente incredula quando mi sono presentato, con nome e cognome, qualificandomi come giornalista informatico, e gli ho spiegato il problema. Ha risposto che solitamente mettono le password a protezione degli accessi VNC ai loro generatori e che stavolta se ne sono dimenticati. Ha ringraziato per la mia segnalazione.

Ho aspettato che il generatore venisse scollegato da Internet e poi ho pubblicato queste note.

Forse sarò paranoico io, ma collegare un generatore idroelettrico a Internet e renderlo non solo monitorabile ma addirittura comandabile con un semplice VNC, senza né cifratura né password, non mi sembra una buona idea. E “dimenticarsi” di attivare la cifratura e anche di impostare una password indica un errore umano o di procedura che semplicemente non dovrebbe esistere in circostanze come queste.

Il problema di fondo è che ci sono ancora molti tecnici di altri settori (non informatici) che ora si trovano a doversi assumere delle competenze da informatici senza avere la cultura della sicurezza online e quindi non sanno che tenere segreto un indirizzo IP non è affatto una misura di protezione accettabile, specialmente se quell’IP offre accesso a macchinari importanti. E da quando esistono motori di ricerca come Shodan, scoprire questi IP “segreti” è ormai un gioco da ragazzi.

Spero che questo episodio risolto felicemente serva da monito ai tanti, troppi gestori di dispositivi sensibili che ancora usano queste prassi pericolose.

2016/04/12 20:10: Il generatore è tornato online allo stesso indirizzo IP senza cifratura ma perlomeno con password.

2016/04/15 11:30: Altre funzioni dello stesso operatore sono vulnerabili o protette da password ridicole. Grazie a tutti di non parlarne nei commenti: non potrei pubblicarli. Avviso l’operatore e aggiornerò l’articolo quando la falla sarà stata risolta.

Perché i giocattoli digitali mandano ai loro fabbricanti le foto dei bambini?

2016-04-09
di Paolo Attivissimo
Internet delle cose, privacy, ReteTreRSI

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/12/05 17:30.

Un intruso informatico è entrato nei server della VTech, una società con sede a Hong Kong che fabbrica tablet, telefonini, gadget e giocattoli collegabili a Internet, e ha scoperto che la società archiviava nomi, indirizzi di e-mail, password e indirizzi di casa di milioni di acquirenti e i nomi e le voci e le foto dei loro figli. Disgustato dalla scoperta, l’incursore digitale l’ha segnalata ai giornalisti di Motherboard, che hanno reso pubblica questa violazione su vasta scala della fiducia degli utenti.

VTech ha confermato pubblicamente la vicenda, ma senza rivelarne con chiarezza la reale portata o le implicazioni, che sono davvero notevoli: per esempio, dato che le password degli utenti erano custodite dalla VTech con un sistema di protezione facilmente scavalcabile, è facile per un aggressore ricavare queste password, abbinarle all’indirizzo di mail dello specifico utente e poi tentare di rubare all’utente l’account di mail contando sul fatto che molti usano ripetutamente la stessa password per tutti i propri servizi online. Inoltre la disponibilità dell’indirizzo di casa e delle foto dei minori spalanca la porta a intrusioni e ricatti.

Soprattutto la domanda di fondo è cosa se ne faccia, una società come VTech, di questi dati personali degli utenti. La risposta tecnica è che li raccoglie per offrire il suo servizio Kid Connect, che consente ai genitori di chattare via smartphone con i figli che usano per esempio un tablet della VTech. Ma questi servizi si possono anche realizzare senza custodire i dati degli utenti in modo così insicuro.

Purtroppo questo approccio disinvolto alla raccolta di dati e alla loro custodia è molto diffuso fra le aziende che si sono buttate da poco nell’informatica seguendo la moda della cosiddetta “Internet delle cose”. Meglio allora evitare i giocattoli digitali che si connettono a Internet.

Se avete acquistato un dispositivo VTech e volete sapere se siete coinvolti in quest’ennesima violazione, consultate HaveIBeenPwned, sito dedicato alla raccolta di informazioni sulle violazioni informatiche di massa che offre un servizio nel quale si può immettere un indirizzo di mail (per esempio il proprio o quello dei figli) per sapere se è stato coinvolto in qualcuna di queste violazioni.

Piccola demo di ordinaria insicurezza: la telecamera del supermercato di Praga

2016-03-25
di Paolo Attivissimo
Internet delle cose, ReteTreRSI, sicurezza informatica

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/03/25 17:45.

Siamo abituati, ormai, all’idea che quando andiamo in un centro commerciale siamo ripresi dalle telecamere dei gestori per motivi di sicurezza e ci viene spontaneo presumere che queste misure di sicurezza siano gestite responsabilmente, tutelando il diritto alla riservatezza degli utenti, per cui le riprese effettuate restano private. Siamo un po’ meno abituati all’idea che le immagini di queste telecamere siano invece visibili a chiunque a causa della superficialità delle misure di protezione adottate da questi gestori.

Un esempio molto concreto ci arriva da Shodan, il motore di ricerca per l’Internet delle cose (delle cose insicure, soprattutto), che ha scovato a Praga, presso il centro commerciale di Flora, all’omonima stazione della metropolitana, una telecamera completamente priva di protezione e accessibile a chiunque, con tanto di audio.

Non solo le immagini della telecamera sono visibili a chiunque usi semplicemente il programma gratuito VLC per visitare il link rtsp://89.xxx.xxx.xxx:554/live/ch00_0 (URL fornito automaticamente da Shodan; ometto alcune cifre dell’indirizzo IP per ovvie ragioni) senza dover digitare alcuna password, ma la telecamera è comandabile via browser da chiunque ne conosca il nome utente e la password, che sono ridicolmente ovvie (sono quelle classiche di default).

Non è una bella situazione, così ho chiesto all’Agente M di recarsi sul posto e spiegare tutto al personale del supermercato, dimostrando in tempo reale che le immagini della telecamera erano visibili a chiunque e che la telecamera stessa era facilmente comandabile.

L’Agente M mi ha comunicato che l’addetta “l’ha presa bene e ha ringraziato”. Inoltre ha parlato col capo della sicurezza del centro commerciale, che gli è sembrato molto preoccupato, specialmente quando gli sono state spiegate le implicazioni per la privacy dei clienti. Gli ho scritto una mail per spiegare l’accaduto e fornirgli dettagli tecnici che qui, per ora, non posso pubblicare. Tra qualche giorno controllerò se i tecnici avranno provveduto a turare la falla.

Aiuto, la mia casa smart è stata posseduta via radio

2016-03-11
di Paolo Attivissimo
Amazon, domotica, Internet delle cose, ReteTreRSI

Qualcuno, probabilmente un autore di fantascienza, una volta ha detto che nelle case “smart” del futuro sarà impossibile distinguere un attacco informatico da una possessione demoniaca.

Ma non c’è bisogno di aspettare il futuro, secondo quanto riferisce la catena di emittenti radiofoniche pubbliche statunitensi NPR. Chi ha comprato l’assistente di domotica Echo di Amazon ha già questo bizzarro problema.

Echo è un dispositivo che riceve comandi vocali dal padrone di casa e manda comandi digitali ai vari dispositivi interconnessi dell’abitazione: antifurto, luci, cucina elettrica, riscaldamento. Basta dire “Alexa, spegni l’antifurto”, eccetera (“Alexa” è la parola chiave e anche il nome della assistente virtuale integrata in Echo).

Tutto molto bello, molto cool, molto futuribile. Fino al momento in cui nella casa “smart” c’è la radio accesa su un programma come quello presentato un paio di settimane fa dalla NPR, che parlava proprio di Amazon Echo citando fra l’altro alcuni esempi di comandi. Avete indovinato: i microfoni sensibili di Echo hanno captato i comandi annunciati alla radio e li hanno eseguiti. Gli ascoltatori si sono trovati con il riscaldamento reimpostato, l’impianto audio impazzito, e altro ancora.

Un altro esempio di come l’Internet delle Cose ci viene proposta senza alcuna riflessione sulle conseguenze e senza includere una minima sicurezza predefinita, come per esempio una parola chiave di autorizzazione personalizzata o un riconoscimento della voce delle persone abilitate a dare comandi.

Mini-centrale idroelettrica francese comandabile da chiunque via Internet

2016-02-12
di Paolo Attivissimo
Internet delle cose, ReteTreRSI, sicurezza informatica

Collegare i dispositivi a Internet, in modo da poterli comandare da lontano, è sicuramente molto utile. Ma bisogna collegarli come si deve, pensando alla sicurezza, altrimenti ci si ritrova con situazioni come questa, scovata in Francia dal motore di ricerca Shodan: una mini-centrale idroelettrica che è stata collegata a Internet così maldestramente che chiunque può prenderne il controllo da lontano, come ho visto fare in queste ore, con conseguenze facilmente immaginabili.

Vediamo quali errori sono stati commessi, così possiamo imparare come non si configura l’Internet delle Cose.

1. Non si deve contare su un indirizzo IP “segreto”. Molti utenti (e amministratori di dispositivi) pensano ancora che un indirizzo IP, se non viene divulgato, sia un fattore di sicurezza perché se nessuno conosce l’indirizzo di un dato dispositivo quel dispositivo è introvabile. Non è così: motori di ricerca appositi, come Shodan, permettono di cercare dispositivi in base al loro tipo e alla loro posizione geografica. Sapendo qual è la marca e il modello del dispositivo e dove si trova, scoprire il suo indirizzo IP di controllo è banale. Vale anche il contrario: per esempio, secondo Utrace.de risulta che la centrale idroelettrica mostrata qui sopra (di cui non pubblico l’indirizzo IP per ovvie ragioni) è situata dalle parti di Tolosa, in Francia. Altri indizi suggeriscono più precisamente la località di Aiguillon.

2. Non si deve abilitare una connessione remota aperta a tutti e senza password. La centrale idroelettrica in questione è accessibile via Internet a chiunque sappia il suo indirizzo IP e usi una normale applicazione di gestione remota come VNC. Non viene neppure richiesta una password di accesso alla connessione VNC: ci si collega e basta. Ciliegina sulla torta, la connessione non è cifrata contro eventuali intercettazioni. Ciliegina sulla ciliegina, la centrale fa collegare chiunque ne digiti l’indirizzo IP anche in un normale browser.

3. Non si devono memorizzare sul computer remoto i nomi degli utenti e le password di accesso. Chi avvia una sessione VNC con il computer che gestisce la centrale idroelettrica di questo esempio non deve neppure tentare di indovinare i nomi degli utenti autorizzati, perché sono stati memorizzati nel browser del computer remoto. Insieme alle password. Così ho visto utenti accedere ai controlli della centrale e alla configurazione degli utenti semplicemente cliccando nella casella del nome utente e lasciando che il completamento automatico proponesse il nome dell’utente e poi la sua password.

4. Non si devono usare password stupidamente evidenti. Nel caso della centrale, ho visto che i visitatori hanno scoperto che almeno un account ha la password uguale al nome utente.

Sono rimasto alcune ore a osservare l’andirivieni dei visitatori sulla connessione di controllo remoto e ho visto fare di tutto, compreso cliccare sui comandi della centrale. Mi sono ovviamente posto il problema di come avvisare il responsabile della centrale, ma nelle scorribande dei visitatori non ho visto alcuna informazione di contatto, per cui ho inviato una mail alle aziende citate nelle schermate di configurazione della centrale. Ho inoltre creato sul desktop del computer remoto un file di stampa di nome “ATTENTION VOUS ETES ACCESSIBLES PAR INTERNET”. Speriamo in bene.

Nuove frontiere dell’Internet delle Cose: il termometro rettale “social”

2016-01-15
di Paolo Attivissimo
informatichicche, Internet delle cose, ReteTreRSI, social network

So che adesso va di moda condividere tutto e connettere tutto a Internet, e magari sono io che sono troppo all’antica, ma forse c’è un limite che non andrebbe superato: Ditemi voi: è proprio necessario un termometro da collegare al telefonino per condividere la propria temperatura orale, ascellare o rettale?

Secondo la casa produttrice del termometro “smart” Kinsa, sì, è necessario e socialmente utile. Questo dispositivo è una sonda sottile che si collega allo smartphone, che viene usato per visualizzare la temperatura e memorizzarla. I dati raccolti possono essere poi condivisi online tramite un’app gratuita.

Se vi state chiedendo quale sia l’utilità sociale di condividere la propria temperatura personale, Kinsa risponde dicendo che il prodotto offre la possibilità di “vedere cosa circola nel vicinato o nella scuola del tuo bambino”. Francamente faccio fatica a immaginarmi una collettività di genitori che ogni mattina ficca lo smartermometro in bocca al pargoletto e posta online la febbriciattola del giorno, ma con certi genitori esibizionisti e iperprotettivi non si può mai dire.

Un aspetto che ha creato una certa divertita perplessità a proposito del termometro social è il fatto che la sua app chiede accesso alle informazioni di posizione, alle fotografie e soprattutto al microfono dello smartphone. I maliziosi hanno messo in relazione la richiesta del microfono con una delle modalità di utilizzo del termometro, ma in realtà l’accesso al microfono è necessario perché il termometro trasmette i propri dati tramite la presa per cuffie e microfono del telefonino. Benvenuti nell’Internet delle Cose.