Sicurezza

Il Worm per l’Internet delle cose: inaspettato e pericoloso

È sicuramente fantastico avere tanti oggetti collegati a Internet: televisori, BD player, orologi, NAS, stazioni meteo, auto, stampanti. Purtroppo, però, moltissimi di questi dispositivi prendono sottogamba il tema sempre più pressante della privacy. Un ricercatore di Symantec, Kaoru Hayashi, ha appena scovato un worm che attacca una quantità preoccupante di dispositivi collegati alla rete basati su Linux.

La notizia potrebbe sembrare di nicchia, ma non è così: Linux è alla base di tantissimi sistemi interconnessi a partire da router, videocamere IP, sistemi industriali e così via. Il Worm fa leva su di una vulnerabilità ormai ben nota e che è stata già sistemata nel maggio del 2012 (PHP 'php-cgi' Information Disclosure Vulnerability – CVE-2012-1823), ma non "morta" come sarebbe lecito sperare.

Il problema è che moltissimi dei dispositivi comprati prima o pochi mesi dopo quella data non permettono di aggiornare il firmware e per molti di quelli che lo permettono, invece, non è così scontato che il proprietario abbia mai pensato di farlo.

Del resto, a quanti viene in mente di chiedersi se è il caso di aggiornare il firmware di quel pezzo di elettronica che sta sul mobile? Per questo motivo, l'impatto del worm, che è stato battezzato con il nome di Linux.Darlloz, è potenzialmente molto elevato. Al momento, Darlloz può attaccare solo dispositivi X86, ma bastano variazioni minime, già dimostrate come funzionanti, per farlo attecchire su altre piattaforme come ARM, MIPS, MIPSEL e così via.

In questa schermata si vede come il worm abbia funzionato su di una macchina che montava ARM

Symantec chiude il suo post con una serie di consigli su cosa fare per limitare, se non proprio evitare, il contagio da parte di questo worm: verificare tutti i dispositivi collegati in rete (ammesso che il produttore dichiari quale versione di Linux lo fa girare), aggiornare il software di tutti i dispositivi in casa e ufficio, rafforzare le password.

Infine, bisogna bloccare a livello router, gateway o direttamente sui dispositivi se non sono strettamente indispensabili le richieste di tipo HTTP POST sui seguenti percorsi : /cgi-bin/php; /cgi-bin/php5; /cgi-bin/php-cgi; /cgi-bin/php.cgi; /cgi-bin/php4