Background Image
Table of Contents Table of Contents
Previous Page  66 / 84 Next Page
Information
Show Menu
Previous Page 66 / 84 Next Page
Page Background

EMBEDDED

58 • novembre • 2015

software

|

MALWARE

66

riscontrando in ciascuno di essi un allarmante

numero di vulnerabilità. È risultato, infatti, che

il 70% dei dispositivi non criptava correttamente

le comunicazioni verso il cloud, il 60% presenta-

va problemi di sicurezza nell’interfaccia di rete e,

infine, il 60% non usava alcun tipo di crittografia

nello scaricare gli aggiornamenti software. Que-

sto studio dimostra, quindi, quanto siano seri,

al giorno d’oggi, i problemi di vulnerabilità nei

dispositivi IoT di consumo. Un secondo aspetto

da considerare è il fatto che i dispositivi IoT di

consumo spesso non ricevono gli aggiornamenti

critici. Esiste, quindi, la concreta possibilità che

dispositivi con vulnerabilità note continuino a ri-

manere tali in rete anche per cinque o, addirittu-

ra, quindici anni, dopo che la loro vulnerabilità

è stata scoperta e che, pertanto, avrebbe potuto

essere risolta. Ad esempio una vulnerabilità re-

centemente individuata e nota come “Misfortune

Cookie”, ovvero “Biscotto della sfortuna”, permet-

te a un potenziale aggressore informatico di pren-

dere da remoto il controllo di un sistema embed-

ded. Il progettista del server web ha introdotto la

vulnerabilità in questione nel 2002, risolvendola

nel 2005. Una recente indagine condotta in rete

ha rilevato che dei 133.660 terminali accessibi-

li pubblicamente sui quali girava il server web

incriminato, più del 50% utilizzava ancora copie

“vulnerabili” del codice. A distanza di dieci anni,

questi stessi dispositivi rimangono ancora non

corretti e continuano, quindi, a essere vulnerabili

pur trovandosi connessi alla rete pubblica.

I due motivi appena illustrati hanno portato Bru-

ce Schneier, esperto nel settore della sicurezza, a

osservare quanto segue:

“Ci troviamo ora a un punto critico per quanto

riguarda la sicurezza dei sistemi embedded, nei

quali l’elaborazione è integrata con l’hardware

stesso – come avviene per l’Internet delle Cose.

Questi computer integrati sono pieni zeppi di vul-

nerabilità e non esiste alcuna maniera efficace per

correggerle”

Purtroppo i sistemi IoT di consumo sono vulne-

rabili. Questo fatto, tuttavia, può destare una

scarsa preoccupazione se l’utilizzatore non rap-

presenta un obiettivo di interesse. Per questo mo-

tivo l’interrogativo successivo da porsi è “Perché

un pirata informatico dovrebbe attaccare il mio

tostapane?”

Perché un pirata informatico dovrebbe at-

taccare il mio tostapane?

Allo scopo di esaminare il problema, classifiche-

remo gli attacchi in due categorie: attacchi mirati

e attacchi opportunistici. Analizzeremo, quindi,

se un aggressore ha, in quest’ultimo caso, un va-

lido motivo per attaccare un tostapane.

Attacchi mirati

Si definiscono “mirati” gli attacchi nei quali l’ag-

gressore informatico prende di mira una specifica

persona o un’organizzazione di valore elevato. Ne

è un esempio la recente violazione informatica

ai danni di Sony Pictures. Per quanto ne possia-

mo sapere, gli hacker, ossia i pirati informatici,

hanno preso di mira Sony a causa dell’imminente

uscita della commedia “The Interview”, che irri-

deva il governo nordcoreano. In quel momento gli

hacker non avevano alcun interesse ad attaccare

altri studi cinematografici, quali, ad esempio, Pa-

ramount o Universal; hanno attaccato Sony per-

ché quella specifica organizzazione rivestiva per

loro un grande valore.

Altri attacchi confermano la medesima tesi: il vi-

rus Stuxnet, che aveva come obiettivo la centra-

le nucleare di Natanz in Iran, venne progettato

per ignorare altri sistemi di controllo industriale.

Negli Stati Uniti sono trapelate foto private di di-

verse celebrità; quegli stessi aggressori informa-

tici non avevano alcun interesse a trafugare foto-

grafie di gente qualunque. In entrambi i suddetti

casi, la persona o l’organizzazione in questione

aveva un elevato valore per gli aggressori.

Assodata questa definizione, risulta improbabile

individuare una qualsivoglia ragione per la quale

un aggressore dovrebbe prendere, come obiettivo,

il tostapane di una persona qualunque, dato che

il fatto non sarebbe di elevato valore per l’aggres-

sore in questione.

Attacchi opportunistici

Si definiscono opportunistici quegli attacchi che

si focalizzano dove gli aggressori ritengono di po-

ter ottenere il massimo guadagno economico. Gli

attacchi contro Target, il colosso americano della

grande distribuzione, con il furto di dati persona-

1 61 62 63 64 65 66 67 68 69 70 71 72 84  FlippingBook