Gli attacchi portati nel corso del 2016 a società di livello mondiale quali Brian Krebs, OVH e DynDNS impongono di porre una crescente attenzione a come si implementa l'IoT.
Gli attacchi hanno semplicemente messo a fattor comune la potenza di migliaia di dispositivi IoT e per la legge dei grandi numero hanno finito con il portare a volumi di traffico diretti verso il sito attaccato che hanno superato il terabyte Il problema si prospetta critico perché i codici sorgenti usati per gli attacchi sono sul mercato e quindi c'è da spettarsi nel prossimo futuro un intensificarsi dei medesimi.
La situazione va quindi tenuta strettamente sotto controllo e le società potenziali target, osserva Nicola Cavallina, channel manager della società, dovranno quanto prima correre ai ripari.
La cosa è ancor più grave, osserva Radware, perché tramite i suoi esperti ha individuato negli ultimi mesi miglioramenti apportati dagli hacker alla versione originale del botnet Mirai, il grimaldello usato per portare l'attacco tramite i dispositivi IoT e la loro rete di connessione.
IoT vulnerabile
Uno dei motivi della vulnerabilità dei dispositivi IoT, evidenzia Radware, è la loro semplicità. Ciò rende facile asservirli perché equipaggiano un sistema operativo ridotto all'osso e dispongono di una sicurezza di livello elementare o poco più.
D'altro canto, deve essere obiettivamente considerato, per favorirne la diffusione su larghissima scala anche su dispositivi a basso costo, quella della semplicità appare in molti casi una scelta obbligata pe run reale uso di dispositivi IoT.
Ciò però permette agli hacker di individuare facilmente delle falle e usare gli exploit nei dispositivi per portare attacchi DDoS di massa di fronte ai quali anche il sistema più potente può soccombere.
Il problema è che una cosa che ha successo, e in questo caso i media hanno di certo dato il loro contributo amplificando la cosa, si autoalimenta e solleva l'interesse di altri hacker che a loro volta danno origine a varianti ancor più pericolose.
La disponibilità di strumenti "DDoS as a Service" è poi un ulteriore invito per i malintenzionati, che non devono nemmeno investire tempo e denaro per lo sviluppo partendo da un green field di soluzioni Botnet ma se le trovano già in buona parte preconfezionate e fruibili con l'approccio tipico del Cloud e un investimento di poche migliaia o decine di migliaia di euro..
L'ampiezza che può assumere un attacco è stupefacente. Quello portato a Deutsche Telekom ha avuto come target e obiettivo il prendere il controllo di circa 900.000 router, il tutto con del codice semplice che sfruttava una vulnerabilità SOAP, un protocollo di comunicazione applicativo, dei modem DSL.
Vari sono poi i possibili vettori usati per gli attacchi: UDP, VSE, DNS, SYN, http.
Cosa attendersi e come reagire
I dispositivi IoT saranno sempre più oggetto di tentativi di attacco, e questo non solo per ricatti economici ma, evidenzia Radware, anche per motivi politici. La protezione può essere attuata a diversi livelli e con diverse modalità. Tra queste, suggerisce l'azienda focalizzata sulla sicurezza:
- Hybrid DDoS Protection: sono soluzioni per la protezione in real time di tipo on-premise o basate sul cloud atte a proteggere da attacchi ad alto volume di traffico e che prevengono la saturazione delle pipe.
- Behavioral-Based Detection: identificano e bloccano rapidamente e accuratamente le anomalie nel traffico e nel comportamento mentre allo stesso tempo lasciano fluire normalmente il traffico usuale.
- Real-Time Signature Creation: sono soluzioni che proteggono da minacce sconosciute o da attacchi zero-day.
- Cyber-Security Emergency Response Plan: sono soluzioni e servizi che includono il supporto di un team di emergenza di esperti.
Poiché ci si muove in un campo ancora non bene esplorato Radware suggerisce di intervenire in modo preventivo sulla propria rete e apportare quanto prima le modifiche atte a prevenire gli attacchi.
Per chi non dispone di un team in grado di analizzare la situazione nella dovuta profondità o si trova già sotto attacco Radware ha sviluppato un servizio per far fronte a situazioni di emergenza che stiano portando alla congestione o al blocco della propria rete.
Il servizio ha l'obiettivo di neutralizzare i rischi e salvaguardare le normali operazioni prima che l'attacco causi danni difficili da riparare.
"Contattateci con il codice Red Button", ha dichiarato Radware, e un suo team è pronto ad intervenire.