L'infrastruttura di una metropoli moderna è costruita sui dispositivi dell'Internet of Things: dalle videocamere sulle strade alle grandi centrali idroelettriche e agli ospedali. Gli hacker sono in grado di trasformare qualsiasi dispositivo connesso in un bot e quindi utilizzarlo per sferrare attacchi DDoS.
I motivi possono essere molto diversi: gli hacker, ad esempio, possono essere pagati dal governo o da un'azienda, e talvolta sono semplicemente criminali che vogliono divertirsi e fare soldi.
In Russia l’esercito spaventa sempre più con possibili attacchi informatici contro “infrastrutture critiche” (proprio per proteggersi, almeno formalmente, è stata adottata la legge sull’Internet sovrana).
Tuttavia, questa non è solo una storia dell’orrore. Secondo Kaspersky, nella prima metà del 2019, gli hacker hanno attaccato i dispositivi Internet of Things più di 100 milioni di volte, nella maggior parte dei casi utilizzando le botnet Mirai e Nyadrop. A proposito, la Russia è solo al quarto posto nel numero di tali attacchi (nonostante l’immagine inquietante degli “hacker russi” creata dalla stampa occidentale); tra i primi tre ci sono Cina, Brasile e perfino Egitto. Gli Stati Uniti sono solo al quinto posto.
Quindi è possibile respingere con successo tali attacchi? Diamo prima un'occhiata ad alcuni casi noti di tali attacchi per trovare una risposta alla domanda su come proteggere i tuoi dispositivi almeno a livello di base.
Diga di Bowman Avenue
La diga di Bowman Avenue si trova nella città di Rye Brook (New York) con una popolazione di meno di 10mila persone: la sua altezza è di soli sei metri e la sua larghezza non supera i cinque. Nel 2013, le agenzie di intelligence statunitensi hanno rilevato software dannoso nel sistema informativo della diga. Quindi gli hacker non hanno utilizzato i dati rubati per interrompere il funzionamento della struttura (molto probabilmente perché la diga era disconnessa da Internet durante i lavori di riparazione).
Bowman Avenue è necessaria per prevenire l'allagamento delle aree vicino al torrente durante un'alluvione. E non potrebbero esserci conseguenze distruttive dal cedimento della diga: nel peggiore dei casi, gli scantinati di diversi edifici lungo il torrente sarebbero stati allagati dall'acqua, ma questa non può nemmeno essere definita un'alluvione.
Il sindaco Paul Rosenberg ha poi suggerito che gli hacker avrebbero potuto confondere la struttura con un'altra grande diga con lo stesso nome nell'Oregon. Viene utilizzato per irrigare numerose aziende agricole, dove un guasto causerebbe gravi danni ai residenti locali.
È possibile che gli hacker si stessero semplicemente addestrando su una piccola diga per poi organizzare una grave intrusione in una grande centrale idroelettrica o in qualsiasi altro elemento della rete elettrica statunitense.
L'attacco alla diga di Bowman Avenue è stato riconosciuto come parte di una serie di attacchi informatici contro sistemi bancari eseguiti con successo da sette hacker iraniani nel corso di un anno (attacchi DDoS). Durante questo periodo, il lavoro di 46 dei più grandi istituti finanziari del paese è stato interrotto e i conti bancari di centinaia di migliaia di clienti sono stati bloccati.
L'iraniano Hamid Firouzi è stato successivamente accusato di una serie di attacchi hacker alle banche e alla diga di Bowman Avenue. Si è scoperto che ha usato il metodo Google Dorking per trovare "buchi" nella diga (in seguito la stampa locale ha lanciato una raffica di accuse contro la società Google). Hamid Fizuri non era negli Stati Uniti. Poiché non esiste l'estradizione dall'Iran negli Stati Uniti, gli hacker non hanno ricevuto alcuna vera condanna.
2. Metropolitana gratuita a San Francisco
Il 25 novembre 2016 in tutti i terminali elettronici che vendono abbonamenti ai trasporti pubblici di San Francisco è apparso un messaggio: “Sei stato violato, tutti i dati sono crittografati”. Sono stati attaccati anche tutti i computer Windows appartenenti all'Agenzia dei trasporti urbani. Il software dannoso HDDCryptor (crittografo che attacca il record di avvio principale di un computer Windows) ha raggiunto il controller di dominio dell'organizzazione.
HDDCryptor crittografa i dischi rigidi locali e i file di rete utilizzando chiavi generate casualmente, quindi riscrive l'MBR dei dischi rigidi per impedire il corretto avvio dei sistemi. L'attrezzatura, di norma, viene infettata a causa delle azioni dei dipendenti che aprono accidentalmente un file esca in un'e-mail, quindi il virus si diffonde attraverso la rete.
Gli aggressori hanno invitato il governo locale a contattarli via mail [email protected] (sì, Yandex). Per ottenere la chiave per decriptare tutti i dati chiesero 100 bitcoin (all'epoca circa 73mila dollari). Gli hacker si sono anche offerti di decriptare una macchina per un bitcoin per dimostrare che il recupero era possibile. Ma il governo ha affrontato il virus da solo, anche se ci è voluto più di un giorno. Mentre si ripristina l’intero sistema, i viaggi in metropolitana sono stati resi gratuiti.
"Abbiamo aperto i tornelli come precauzione per ridurre al minimo l'impatto di questo attacco sui passeggeri", ha spiegato il portavoce municipale Paul Rose.
I criminali hanno inoltre affermato di aver avuto accesso a 30 GB di documenti interni della San Francisco Metropolitan Transportation Agency e hanno promesso di divulgarli online se il riscatto non fosse stato pagato entro 24 ore.
A proposito, un anno prima, nello stesso stato, l'Hollywood Presbyterian Medical Center era stato attaccato. Gli hacker sono stati poi pagati 17 dollari per ripristinare l'accesso al sistema informatico dell'ospedale.
3. Sistema di allarme di emergenza di Dallas
Nell'aprile 2017, 23 sirene di emergenza hanno suonato a Dallas alle 40:156 per avvisare il pubblico delle emergenze. Sono riusciti a spegnerli solo due ore dopo. Durante questo periodo, il servizio di emergenza ha ricevuto migliaia di chiamate di allarme da parte dei residenti locali (pochi giorni prima dell'incidente, tre deboli tornado hanno attraversato l'area di Dallas, distruggendo diverse case).
Un sistema di notifica di emergenza è stato installato a Dallas nel 2007, con sirene fornite da Federal Signal. Le autorità non hanno spiegato come funzionavano i sistemi, ma hanno affermato di utilizzare "toni". Tali segnali vengono generalmente trasmessi attraverso il servizio meteorologico utilizzando la multifrequenza a doppio tono (DTMF) o l'AFSK (Audio Frequency Shift Keying). Si tratta di comandi crittografati trasmessi ad una frequenza di 700 MHz.
Le autorità cittadine hanno suggerito che gli aggressori abbiano registrato i segnali audio trasmessi durante il test del sistema di allarme e poi li abbiano riprodotti (un classico attacco di replay). Per realizzarlo gli hacker hanno dovuto solo acquistare un apparecchio di prova per lavorare con le radiofrequenze, che può essere acquistato senza problemi nei negozi specializzati.
Gli esperti della società di ricerca Bastille hanno osservato che l'esecuzione di un simile attacco implica che gli aggressori abbiano studiato a fondo il funzionamento del sistema di notifica di emergenza, delle frequenze e dei codici della città.
Il giorno successivo il sindaco di Dallas ha rilasciato una dichiarazione in cui affermava che gli hacker sarebbero stati individuati e puniti e che tutti i sistemi di allarme del Texas sarebbero stati modernizzati. Tuttavia, i colpevoli non furono mai trovati.
***
Il concetto di città intelligente comporta seri rischi. Se il sistema di controllo di una metropoli viene violato, gli aggressori otterranno l'accesso remoto per controllare le situazioni del traffico e gli oggetti cittadini strategicamente importanti.I rischi sono anche associati al furto di database, che contengono non solo informazioni sull'intera infrastruttura cittadina, ma anche dati personali dei residenti. Non dobbiamo dimenticare il consumo eccessivo di elettricità e il sovraccarico della rete: tutte le tecnologie sono legate a canali e nodi di comunicazione, compresa l'elettricità consumata.
Il livello di ansia dei possessori di dispositivi IoT si sta avvicinando allo zero
Nel 2017 Trustlook ha condotto uno studio sul livello di consapevolezza dei proprietari di dispositivi IoT riguardo alla loro sicurezza. È risultato che il 35% degli intervistati non modifica la password predefinita (di fabbrica) prima di iniziare a utilizzare il dispositivo. E più della metà degli utenti non installa affatto software di terze parti per proteggersi dagli attacchi degli hacker. L’80% dei possessori di dispositivi IoT non ha mai sentito parlare della botnet Mirai.
Allo stesso tempo, con lo sviluppo dell’Internet delle cose, il numero degli attacchi informatici non farà altro che aumentare. E mentre le aziende acquistano dispositivi “intelligenti”, dimenticandosi delle regole di sicurezza di base, i criminali informatici ottengono sempre più opportunità di guadagnare denaro da utenti disattenti. Utilizzano ad esempio reti di dispositivi infetti per sferrare attacchi DDoS o come server proxy per altre attività dannose. E la maggior parte di questi spiacevoli incidenti può essere prevenuta se si seguono semplici regole:
- Modificare la password di fabbrica prima di iniziare a utilizzare il dispositivo
- Installa un software affidabile per la sicurezza Internet sui tuoi computer, tablet e smartphone.
- Fai le tue ricerche prima dell'acquisto. I dispositivi stanno diventando intelligenti perché raccolgono molti dati personali. Dovresti essere consapevole del tipo di informazioni che verranno raccolte, di come verranno archiviate e protette e se saranno condivise con terze parti.
- Controllare regolarmente il sito Web del produttore del dispositivo per gli aggiornamenti del firmware
- Non dimenticare di controllare il registro eventi (analizzare principalmente l'utilizzo di tutte le porte USB)
Fonte: habr.com