Cybersecurity: L’internet delle cose (malvagie) è un colabrodo. L’hacker Jayson Street te lo dimostra

L’internet delle cose (malvagie) è un colabrodo. L’hacker Jayson Street te lo dimostra

Ma quanto è facile controllare i tuoi dispositivi intelligenti? L’esempio dei malicious access points e il rischio dei BYOD (Bring your Own Device)

Arturo Di Corinto per Cybersecurity del 27 febbraio 2017

In un video divulgativo l’hacker Jayson Street ha dimostrato quanto sia facile bucare i network wi-fi cui colleghiamo, senza troppo pensarci, i nostri smart device.

Il video, creato per l’occasione e visibile sul sito di Pownie Express, azienda di cybersecurity, è utile a farci riflettere sul fatto che ogni dispositivo connesso che dovrebbe facilitarci la vita in realtà ce la può complicare e parecchio.
Ogni smart device costituisce infatti un punto di ingresso per un eventuale attaccante e le sue connessioni multiple aumentano in maniera esponenziale la cosiddetta superficie d’attacco. Dallo smartphone che usiamo mentre camminiamo in strada e saliamo in metro, dalla stampante che abbiamo nell’ufficio fino a frigoriferi e tv che abbiamo dentro casa questo mondo di oggetti connessi è il muovo Eldorado dei delinquenti.

Come funziona l’Evil Twin Attack

Uno dei modi più diffusi per hackerare le persone in strada è probabilmente l’installazione di un EvilAP (malicious access point) che è proprio quello che Jayson ha fatto, usando in questo caso una connessione Internet e un dispositivo di penetration testing per organizzare un ‘Evil Twin Attack‘. In questo tipo di attacco il cracker lascia credere all’utente di un network wifi di essere collegato a un provider legale e una volta connesso l’attaccante può monitorare i traffico dell’utente e rubargli le password o altri dati sensibili reindirizzando la connessione verso siti di phishing.

Le persone sono inconsapevoli dei rischi: il report di Pwnie Express

Sull’argomento Pwnie ha realizzato un report, scaricabile https://www.pwnieexpress.com, che avverte come nonostante il rischio dei BYOD (Bring your Own Device), cioè il fatto che le aziende permettono agli impiegati di usare lo stesso dispositivo per lavoro o divertimento, il 66% delle persone non sa quanti dispositivi connessi ognuno porta a lavoro nonostante l’84% degli intervistati dice di avere cambiato la propria percezione delle minacce dell’Iot dopo la diffusione del malware Mirai e che solo il 22% ha controllato se i propri dispositivi sono sicuri e non infetti.

I consigli per evitare che il nostro mondo di oggetti connessi generi incubi sono sempre gli stessi e prima di leggerli ricordiamoci che vale sempre la regola per cui quando un dispositivo non è in uso è bene spegnerlo oppure disabilitare le sue connessioni (aiuta anche a risparmiare energia).

10 cose da fare subito per mettere al sicuro casa, dati e ufficio

Fai un inventario di tutti i dispositivi casalinghi e dell’ufficio connessi a Internet o altre reti. Controlla lo stato dei router e disabilita TUTTI i dispositivi sconosciuti.
Contatta il tuo Internet Service Provider (ISP) per aggiornare router e modem agli standard di sicurezza attuali. Cambia il nome del tuo SSID in maniera che non identifichi te stesso o la tua famiglia.
Verifica le informazioni di contatto di ogni dispositivo inclusa una email dove ricevere aggiornamenti di sicurezza ed eventuali notifiche.
Assicurati che ciascun dispositivo e la relativa app ricevano aggiornamenti di protezione in maniera automatica e controlla i siti loro relativi per eventuali aggiornamenti di correzione del firmware.
Controlla tutte le password e gli account utente ed evita di usare la stessa password per dispositivi diversi. Cancella tutti i guest codes che non usi più. Dove possibile attiva la doppia autenticazione per ridurre il rischio che i tuoi account possano essere violati. Questo metodo permette solo a te di accedere l’account e non a qualcuno che conosce la tua password.
Rivedi le tue abitudini e le preferenze relative alla privacy e l’uso che fai dei tuoi dispositivi, compreso l’immagazzinamento di dati e la loro condivisione con altri. I tuoi settings possono essere cambiati inavvertitamente durante gli aggiornamenti. Resettali affinché rispettino le tue preferenze.
Controlla la garanzia di ogni dispositivo e le indicazioni sull’assistenza. Se un prodotto non viene più supportato per gli aggiornamenti smetti di usarlo o disconnetilo dalla rete.
Prima di smettere di usare un qualsiasi dispositivo, di mandarlo indietro o di rivenderlo, ricordati di cancellare ogni dato che ti riguarda e ristora i setting originali. Disabilitane l’account online e cancellane i dati.
Controlla i privacy settings del telefonino compresa la geolocalizzazione, i cookies, i contatti, il bluetooth, il microfono e tutte le altre impostazioni e preferenze. Imposta questi ultimi in maniera che ogni applicazione ti chieda cosa vuoi fare prima di avviarla e di condividere dei dati.
Fai un Back up di tutti i documenti personali e delle fotografie e memorizzali in dispositivi che non siano sempre connessi a Internet.Non c’è bisogno di fare tutto in una volta, ma l’importante è farlo asap (as soon as possible).

Cookie	Durata	Descrizione
connect.sid	1 hour	This cookie is used for authentication and for secure log-in. It registers the log-in information.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
nyt-a	1 year	This cookie is set by the provider New York Times. This cookie is used for saving the user preferences. It is used in context with video and audio content.
nyt-gdpr	6 hours	No description available.
nyt-purr	1 year	No description available.

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_5VXPW099ZB	2 years	This cookie is installed by Google Analytics.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.