skip to main | skip to sidebar
25 commenti

Ransomware per termostato, nuova tappa dell’Internet delle Cose

Non è la prima volta che metto in guardia contro la superficialità con la quale troppi produttori di elettrodomestici e altri apparati collegano a Internet qualunque cosa senza pensare alle implicazioni di sicurezza informatica: stavolta è il turno degli impianti di riscaldamento.

Dalla DEF CON di Las Vegas arriva infatti una dimostrazione dei ricercatori di sicurezza Andrew Tierney e Ken Munro, che hanno spiegato non solo come prendere il controllo di un termostato connesso a Internet ma anche come usarlo per chiedere un riscatto con la minaccia di far salire o scendere la temperatura di casa a livelli insopportabili: una forma di attacco molto simile a quella mostrata, guarda caso, poche settimane fa in una puntata di Mr. Robot.

I due ricercatori non hanno reso pubblico il nome del produttore del termostato vulnerabile, che hanno contattato privatamente in modo da consentirgli di preparare un aggiornamento correttivo, ma hanno spiegato la tecnica usata: il termostato, che usa Linux, non effettua alcun controllo sui file che gli vengono forniti tramite una scheda SD per consentire agli utenti di caricare impostazioni e sfondi. Non è difficile, quindi, convincere una vittima a caricare un file ostile, camuffandolo come un’immagine o un aggiornamento di sicurezza, prendendo così il controllo del dispositivo.

Il produttore del dispositivo preparerà l’aggiornamento, ma il vero problema sarà farlo arrivare a tutti gli utenti, che non sempre registrano il proprio dispositivo negli archivi del fabbricante e se lo fanno sono molto pigri nell’effettuare aggiornamenti, anche perché l’idea di dover aggiornare il software di un frigorifero, di un televisore o di un termostato non è ancora entrata nel sentire comune.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (25)
senza considerare che l'ondata di aggiornamenti potrebbe essere usata per convincere l'utente ad auto-infettarsi ;)
E riflettiamo sul fatto che, per l'utente comune, sapere che potresti avere in casa un dispositivo iot collegato che presenta questo tipo di bug, ti può esporre ad un attacco indiretto.
Ad esempio uno legge che i termostati sono vulnerabili, ne ha uno ma il produttore non ha rilasciato nulla, dopo qualche giorno arriva una mail (a lui come a milioni di altri) in cui è scritto "siamo il servizio tecnico di $grossa_ditta_di_termostati, in quanto possiede uno dei nostri apparecchi saprà che è vulnerabile (e magari un bel link ad un articolo come il tuo)
Per risolvere scarichi subito la patch (a questo link FARLOCCO) ed esegua il programma sul suo pc per creare la chiavetta usb o la scheda sd.
A questo punto uno scarica un virus o un troian o chissà che altro...
Ma cosa serve un termostato connesso ad Internet?
Questa mania della connessione a tutti i costi mi fa un po' paura
Paolo, mi stai facendo venire voglia di abbonarmi a Premium solo per vedere Mr. Robot. Sai per caso se è possibile vederla in altro modo?
Tipo con un altro fornitore tipo Netflix che offre un mese di prova gratis (anche 7 giorni vanno bene)
condivido subito sulla mia pagina facebook
A me non sembra una falla facilmente sfruttabile, richiede una precisa azione dell'utente, il quale deve inserire una scheda infetta, con un programma che sicuramente non è stato scaricato dal sito del produttore.
In questo modo qualsiasi dispositivo è vulnerabile, non solo un termostato.
Inoltre questi aggeggini hanno di solito un tastino di reset.
@ferdinando traversa
Infinity ha la prima stagione di Mr Robot e mi sembra che l'abbonamento sia gratuito per i primi 3 mesi. Puoi vederlo sulla Smart TV, sul dispositivo mobile e sul PC. La serie ha degli spunti interessanti, soprattutto le prima due puntate sono forti. Finalmente qualcosa di sceneggiato per un pubblico più informatizzato. Poi, un po' come tutte le serie, allungano il brodo per farlo durare di più.
Mi sembra una tecnica molto poco efficace: se convinco il proprietario a inserire una scheda SD nel termostato sono troppo vicino al bersaglio. Insomma buona come proof of concept e basta
@Lupo
sicuro? Basta che ti dica che c'e' un aggiornamento di sicurezza importantissimo e ti fornisco il link dove scaricarlo e dove ti spiego tutte le istruzioni passo passo. Non c'e' bisogno che sia li'. Basta un'email...
@Andrea F Grazie mille
@Lupo della Luna ma non lo devi fare tu fisicamente. Basta mandare una mail (come quelle di Windows Update Online che hanno infettato molte persone)
---
Buongiorno,
il suo termostato smart della Temperature Company (nome inventato sul momento) deve essere aggiornato all'ultima versione.
Segua queste istruzioni per aggiornare il suo termostato.
1. Si procuri una scheda SD da minimo 1 GB
2. Apra il sito TemperatureUpdateOnline.(omiss)download (Sito non esistente, ma non garantisco)
3. Prenda il file appena scaricato e lo porti sulla scheda SD
4. Inserisca la Scheda SD nel suo termostato dalla porta SD e clicchi nella sezione Sfondi personali e poi Aggiorna ora
5. Attenda la fine dell'aggiornamento. Vedrà la scritta Aggiornamento in Corso.
6. Fine! Ha protetto il suo dispositivo Temperature correttamente.
Le ricordiamo il sito che deve cliccare TemperatureUpdateOnline.(omiss)download
Nel caso non riesca, clicchi il tasto Help ed apra Aiutoaggiornamento.Exe. Vedrà la guida che le spiegherà passo passo come utilizzare il file che viene scaricato all'apertura del sito.
Le auguriamo una buona giornata,
Megan Max,
Supporto Temperature Company
supportonline.tempartaturecompany@gmail.com
----
Al 100% sono sicuro che se verrà mandata questa mail sostituendo Temperature Company al nome di una nota marca di termostati smart, ci sarà l'infezione del termostato (e magari del computer) di qualcuno.
Quindi, ultimo commento di seguito, Paolo mi scusi, la minaccia, secondo me, è concreta.
@rico, quarto e (spero) ultimo commento (chiedo ancora scusa, mi rendo conto che sto intasando),e quelli che scaricano gli "aggiornamenti della Microsoft" direttamente da MicrosoftOnlineUpdateSecure.wkz o quelli che scaricano gli "aggiornamenti dell'antivirus" su McafeeFreeUpdate.DownloadAllSoftwareFree.pwh? Sono veramente sprovveduti, ma c'è chi lo fa.
Come l'impiegato che scarica Fattura.Js o Fattura.Exe sul computer aziendale infettando tutta la rete.
Per quanto riguarda la chiavetta sono sicuro al 100% che c'è chi la preparerà per poter "difendere il proprio termostato dalle minacce recenti" scaricando l'aggiornamento dal sito ufficialissimo AggiorniamoIlTermostatoUltimaVersione.pwz
Ci saranno i termostati senza tasto di reset in nome dell'estetica.
Purtroppo gli sprovveduti ci sono (anche nelle aziende produttrici) e sempre ci saranno
Ferdinando traversa, anche a me l'idea successiva viene... subito dopo aver pubblicato un commento, non c'è bisogno di scusarsi ;)
Comunque ti scrivo ora da windows 8.1 con gli "update" disabilitati da tre anni, nessun problema (ad es. antivirus, browser e altri non sono Micro$oft, li aggiorno a parte).
Sono della vecchia scuola: "Se non è rotto, non aggiustarlo". Ergo, prima di aggiornare vedi 1)SE ti serve, e 2)da CHI scarichi l'aggiornamento.
@rico Purtroppo come te ce ne sono molto pochi (ma veramente pochi). Ci sono quelli che scaricano l'aggiornamento di Windows dal sito, violato, comunitamontanasila.gov.it, figurati :D
E poi, c'è sempre il caro vecchio, aggiornamentidiwindows.freesoftware2016.com. Affidabilissimo certificato partner Microsoft Gold Service.
Ma se Microsoft ha dovuto rendere non disattivabili gli aggiornamenti perché la gente non li faceva... Pensate davvero che un "non nerd" faccia una procedura del genere? ;-)
@Lupo, però i malware gli scaricavano lo stesso.
Una persona che si vede arrivare una mail del genere, pur di prendere la prima Scheda SD che gli capita a tiro, farà la procedura.
Basta aggiungere un: Se non esegui l'aggiornamento, il tuo termostato si brucerà (o si spegnerà definitivamente o non funzionerà più) e ne dovrai comprare uno nuovo. Poi vedrai i risultati ;D
Ripeto, chiedilo a chi apre, scarica, installa Fattura.js
Chi sa cos'è una scheda SD tende anche a sapere che non bisogna installare software di dubbia provenienza.
Forse.
@Turz Chiamiamola anche piccolo oggettini quadrato con scritto SD sopra che metti nella fotocamera.
@Turs, P.S. Non perdiamoci d'animo, perchè quando faranno i Termostati con app di terze parti e/o Browser integrato basterà visitare il sito AggiornaTermostatoOnline.kzh per potersi infettare
@ferdinando
Non perdiamoci d'animo, perchè quando faranno i Termostati con app di terze parti e/o Browser integrato basterà visitare il sito AggiornaTermostatoOnline.kzh per potersi infettare
non ti bastano gia' i dispositivi "smart" con libero accesso ad internet e password impostata di fabbrica e non modificabile?
Prima ancora di Mr. Robot la stessa cosa è stata fatta in una puntata della fantastica serie CSI Cyber, a mio parere molto più bella di Mr. Robot che è una storia paranoica e noiosa con soltanto alcuni sporadici spunti di interessante riflessione. Tra l'altro in questa serie vengono di volta in volta spiegate varie tecniche di hacking e di psicologia del comportamento.