Si chiamano iStar Ultra e IP-ACM, sono dispositivi forniti dall’azienda Software House (Tyco International) per gestire l’ingresso ad aree riservate degli edifici attraverso il riconoscimento di una scheda RFID. Tornano utili per controllare chi ha modo di accedere a uffici, sale riunioni, archivi e così via. Tra coloro che li hanno adottati anche Google. Peccato per quella vulnerabilità scovata, fortunatamente, da un dipendente del gruppo di Mountain View nella sede californiana di Sunnyvale.
Non aprite quella porta
Nei mesi scorsi David Tomaschik ha esaminato le informazioni inviate dai device in questione all’interno della rete locale, scoprendo che pur essendo cifrate non vengono generate in modo casuale. Analizzandole sono emerse alcune chiavi crittografiche comuni a tutti i prodotti commercializzati da Software House, arrivando così a poter replicare un comando su una qualsiasi delle porte gestite dal sistema. Il risultato: è stato possibile accedere ad aree riservate pur non essendo in possesso in via ufficiale delle credenziali e persino bloccare l’ingresso al personale autorizzato. Tutto questo senza lasciare traccia della sua azione. Una pratica che, nelle mani sbagliate, potrebbe dar luogo a gravi conseguenze facilmente immaginabili.
Come riportato sulle pagine di Forbes, Google si è vista costretta a segmentare e frammentare la gestione dei propri uffici in seguito alla segnalazione, correndo ai ripari al fine di contenere il fattore di rischio. Rimangono comunque esposte tutte quelle realtà che impiegano i medesimi dispositivi, poiché sebbene Software House sia intervenuta con un fix, pare essere necessaria l’adozione di un nuovo hardware: la scheda in questione non include infatti un quantitativo di memoria sufficiente per procedere all’installazione di un aggiornamento firmware. Piuttosto sintetica la dichiarazione rilasciata dal produttore, che non fa luce sull’esigenza di sostituire gli apparecchi.
Il problema è stato risolto con i nostri clienti.
IoT e vulnerabilità
La vicenda costituisce lo spunto per una riflessione sulla sicurezza delle soluzioni legate al mondo della Internet of Things, che stanno via via andando sempre più diffondendosi in pressoché qualsiasi ambito o contesto. Se da un lato la loro utilità è fuori discussione, innegabilmente mostrano il fianco a problematiche che interessano qualsiasi dispositivo connesso. Ne è dimostrazione che, durante l’evento IoT Village andato in scena nel mese di agosto nella cornice della conferenza DEF CON, i ricercatori hanno individuato ben 55 vulnerabilità nelle più svariate tipologie di device destinati all’ambito domestico e a quello professionale: dagli speaker per l’ascolto della musica nelle smart home ai sistemi di irrigazione.