Dispositivi IoT: il 90% delle transazioni non è criptato

Un rapporto di Zscaler rivela alcuni fatti preoccupanti sui rischi posti dai dispositivi IoT connessi in rete, il cui traffico dati è criptato solo in minima parte.

endpoint iot

Un nuovo report che ha esaminato milioni di connessioni da dispositivi IoT presenti su reti aziendali ha rilevato che oltre il 40% di essi non crittografa il proprio traffico. Ciò significa che un gran numero di tali dispositivi sono esposti ad attacchi man-in-the-middle (MitM), in cui gli hacker in grado di intercettare il traffico possono rubare o manipolare i loro dati.

Il report pubblicato oggi dalla società di sicurezza della rete Zscaler si basa sui dati di telemetria raccolti dal cloud dell’azienda, che copre oltre 56 milioni di transazioni di dispositivi IoT da 1.051 reti aziendali nel corso di un mese.

Zscaler ha identificato 270 diversi profili IoT di 153 produttori di dispositivi. I dispositivi includono telecamere IP, smartwatch, stampanti intelligenti, smart TV, set-top box, home assistant digitali, telefoni IP, dispositivi medici, videoregistratori digitali, lettori multimediali, terminali di raccolta dati, lettori multimediali di digital signage, occhiali smart, dispositivi di rete, stampanti 3D e persino auto intelligenti.

I più comuni erano i set-top box usati per la decodifica video. Questi hanno rappresentato oltre il 50% dei dispositivi osservati e sono stati seguiti dalle smart TV, dispositivi indossabili e stampanti. Tuttavia sono stati i terminali di raccolta dati che hanno generato la maggior quantità di transazioni di dati in uscita (oltre l’80%).

La scoperta più grande è stata che il 91,5% delle transazioni di dati eseguite da dispositivi IoT nelle reti aziendali non era criptato. Per quanto riguarda i dispositivi, il 41% non ha utilizzato TLS (Transport Layer Security), il 41% ha utilizzato TLS solo per alcune connessioni e solo il 18% ha utilizzato la crittografia TLS per tutto il traffico.

I dispositivi che non crittografano le loro connessioni sono suscettibili a vari tipi di attacchi MitM. Un utente malintenzionato che ha ottenuto l’accesso alla rete locale, ad esempio tramite un attacco malware, può utilizzare lo spoofing ARP (Address Resolution Protocol) o può compromettere un router locale e intercettare il traffico IoT per fornire aggiornamenti dannosi o rubare credenziali e dati inviati in testo normale

Deepen Desai, VP della ricerca e delle operazioni sulla sicurezza di Zscaler, ha dichiarato che una delle preoccupanti osservazioni è stata che le aziende hanno una grande quantità di dispositivi IoT consumer-grade sulle loro reti. Ciò evidenzia il problema della shadow IT, che si presenta quando le aziende hanno difficoltà a controllare quali dispositivi (dagli indossabili alle automobili) i dipendenti collegano alla rete aziendale.

IoT Innovation Lab

Le organizzazioni dovrebbero avere una soluzione in atto per analizzare costantemente la rete e identificare tali “dispositivi ombra” e quindi creare una policy in cui tali dispositivi sono autorizzati a connettersi solo a un segmento di rete non critico e separato. Questo perché un altro problema comune osservato da Zscaler è stato che la maggior parte dei dispositivi IoT era connessa alla stessa rete di applicazioni e sistemi business-critical. Se uno dei dispositivi IoT viene compromesso, gli utenti malintenzionati possono quindi scegliere come target tutti gli altri sistemi.

Questa situazione in realtà va in entrambe le direzioni. Se un utente malintenzionato compromette una workstation o un laptop dipendente con malware, può potenzialmente accedere a un dispositivo IoT sulla stessa rete. Mentre è probabile che un’infezione da malware su un normale computer venga rilevata prima o poi, un device IoT compromesso è molto più difficile da scoprire, fornendo così agli aggressori una backdoor furtiva nella rete.

Zscaler ha scoperto alcuni casi in cui i dispositivi IoT aziendali sono stati esposti direttamente a Internet, come le telecamere di sorveglianza, ma i numeri sono molto bassi rispetto al numero complessivo di dispositivi IoT presenti all’interno delle reti aziendali. I dispositivi collegati direttamente a Internet sono certamente a più alto rischio di essere attaccati, ma anche quelli all’interno delle reti locali non sarebbero difficili da compromettere.

Durante l’analisi delle infezioni da malware dell’IoT, Zscaler ha inoltre osservato molti dispositivi con credenziali deboli o predefinite o che avevano note falle nella sicurezza. Questo perché molti dispositivi IoT non dispongono di aggiornamenti automatici e i loro utenti raramente controllano e distribuiscono gli aggiornamenti manualmente. I ricercatori di Zscaler hanno anche osservato che molti di essi utilizzano librerie obsolete con vulnerabilità note.

L’azienda di ricerca ha rilevato infine una media di 6.000 transazioni IoT per trimestre che sono il risultato di infezioni da malware. Le famiglie di malware più comuni che colpiscono tali dispositivi sono Mirai, Rift, Gafgyt, Bushido, Hakai e Muhstik. Queste botnet si diffondono tipicamente tramite accessi forzati con tecniche di brute-force o sfruttando le vulnerabilità note nei loro framework di gestione.

“La rapida adozione di questi dispositivi IoT ha aperto a nuovi vettori di attacco per i criminali informatici”, afferma Desai. “La tecnologia IoT si è mossa più rapidamente dei meccanismi disponibili per salvaguardare questi dispositivi e i loro utenti. Il fatto è che non c’è stata quasi nessuna sicurezza integrata nella maggior parte dei dispositivi hardware IoT consumer-grade che hanno invaso il mercato negli ultimi anni, e alcuni di questi dispositivi si trovano anche nelle reti aziendali.”