La Internet delle Cose è piena di produttori affetti da pigrizia cronica, al punto da riutilizzare chiavi e certificati crittografici per proteggere comunicazioni che alla fine non risultano affatto sicure. Questo almeno è quanto sostiene Stefan Viehböck, Senior Security Consultant di SEC Consult che assieme ai colleghi di CERT/CC, dell’Università del Michigan e di Rapid7 ha scandagliato la rete alla ricerca di dispositivi potenzialmente vulnerabili.
La ricerca di Viehbock ha preso in considerazione le immagini dei firmware di più di 4.000 dispositivi embedded di 70 produttori diversi, sistemi pensati per i più vari utilizzi ma comunque connessi (e accessibili) a Internet inclusivi di router, IP camera, telefoni VoIP, modem e altri ancora.
Per 50 dei produttori testati, i ricercatori hanno scoperto che i dispositivi interconnessi condividono gli stessi certificati X.509 (per le comunicazioni HTTPS) e le stesse chiavi crittografiche per l’autenticazione sulle shell remote SSH, una vulnerabilità che pone le basi per potenziali attacchi di tipo man-in-the-middle (MITM), compromissione delle comunicazioni Web cifrate, sorveglianza attiva e passiva e via elencando.
In totale, il numero di dispositivi embedded vulnerabili presenti in rete ammontano a circa mezzo milione, avvertono i ricercatori : la possibilità di individuare e connettersi ai dispositivi via Internet li rende facile preda di cyber-criminali o intelligence “ostili” (in caso di minacce APT), mentre tra le aziende coinvolte nel fatto val la pena citare nomi ben noti come Cisco, General Electric, ZyXEL, ZTE, Vodafone, Western Digital, Netgear, Huawei.
Come difendersi dalla minaccia delle chiavi crittografiche “universali”? Gli utenti possono ben poco, visto che sostituire i certificati X.509 o le chiavi SSH di prodotti e servizi commerciali è un’opzione difficilmente proponibile; più accessibile è la disabilitazione di connessioni non provenienti da host fidati, mentre per quanto riguarda i produttori c’è chi ha comunicato l’intenzione di voler aggiornare i dispositivi coinvolti e di fornire assistenza ai clienti.
Alfonso Maruccia