IoT alla base del cyberattacco negli Usa: la risposta di Check Point


Un enorme cyberattacco ha colpito poco dopo le sette di venerdì 21 ottobre la East Coast degli Stati Uniti, bloccando per quasi tre ore centinaia di siti Web, tra cui quelli di molti big dei media e di Internet: dal Financial Times al New York Times, da Twitter ad Amazon, passando per Spotify e Netflix. Colpiti anche alcuni dei circuiti più diffusi per i pagamenti online, come Visa e Paypal. Le ondate di attacchi sarebbero state nel complesso tre: del secondo e del terzo assalto non è stata quantificata l’ampiezza, ma si sarebbero verificati nelle ore successive al primo. Secondo quanto emerso, l’attacco di tipo DDos (Distributed Denial-of-Service) sarebbe partito da migliaia di oggetti “smart”.

Check Point fa un'analisi della situazione. La notizia del cyber attacco contro Internet negli Usa, partito dalle case “intelligenti”, ha posto nuovamente l’accento sulla sicurezza degli dispositivi connessi. Per i cyber criminali il mondo Internet of Things rappresenta un ambiente ricco di dispositivi scarsamente protetti, attraverso cui possono muoversi abbastanza agilmente per effettuare furti d’identità, infiltrazioni nei sistemi IT e addirittura attacchi Ddos - come abbiamo visto venerdì. Gli esperti IT hanno già da tempo identificato i rischi della sicurezza associati alla rapida proliferazione dell’Internet of Things e questo nuovo attacco conferma come gli elettrodomestici e i dispositivi ‘smart’ possano essere utilizzati efficacemente per veicolare attacchi informatici.

“Cloud, mobile, IoT e data center ibridi hanno reso il mondo in cui viviamo un modo senza confini definiti, per questo motivo gli strumenti di sicurezza informatica devono fornire un controllo granulare e multi strato su tutti i segmenti e gli ambienti della rete. Le parole chiave della protezione contro gli attacchi moderni sono velocità, prevenzione e integrazione. Idealmente, infatti, la sicurezza per l’IoT dovrebbe essere integrata all’interno di un’architettura di sicurezza unificata e gestita tramite la stessa console. È necessario che le aziende considerino qualunque dispositivo ‘smart’ alla stregua dei PC, e pensino alla loro protezione, così come viene fatto per tutta la rete tradizionale”, spiega David Gubiani, Security Engineering Manager di Check Point Italia.


Un controller centrale tra tutti i dispositivi dovrebbe garantire la sicurezza. “Un aspetto molto delicato sono infatti i dispositivi mobili dei dipendenti, che si collegano alle reti aziendali: devono essere sempre controllati e protetti, perché questi dispositivi vengono utilizzati da diversi utenti, che ne usufruiscono anche quando non sono in ufficio, quindi possono accedere a siti e link infetti, e connettersi a reti non protette, trasferendo poi l’infezione alla rete aziendale. Occorre quindi partire da un discorso educativo e culturale per tutti gli utenti. Se è vero che non è possibile implementare sistemi di sicurezza su ogni dispositivo connesso, è altrettanto vero che questa può e deve essere implementata nel punto in cui i dispositivi IoT comunicano”, aggiunge Gubiani. 

Per questo motivo, i dispositivi “smart” non dovrebbero mai comunicare tra di loro direttamente, ma passare sempre attraverso un controller centrale. Un altro accorgimento da usare è quello di preferire dispositivi che supportino protocolli specifici per la sicurezza. Il Dipartimento per la sicurezza nazionale ha comunque avviato un’inchiesta e sta indagando insieme agli agenti Fbi e alle agenzie di intelligence. Il blocco è durato quasi tre ore. Ad essere presa di mira la Dynamic Nework Sevices, conosciuta come Dyn, società che ha la sua sede in New Hampshire e specializzata in servizi DNS. Dyn Inc. ha riportato attacchi Ddos multipli sulla sua pagina di stato, confermati da diverse aziende di sicurezza che hanno accusato  “Mirai”, una botnet che sfrutta le vulnerabilità dei dispositivi IoT.

Durante un DDoS che utilizza il protocollo DNS può essere difficile distinguere il traffico legittimo dal traffico d’attacco. Ad esempio, l’impatto dell’attacco ha generato una tempesta di tentativi legittimi appena i server hanno provato ad aggiornare la loro cache, creando un volume di traffico 10-20 volte più grande del normale attraverso un gran numero di indirizzi IP. Quando si verifica la congestione del traffico DNS, tentativi legittimi possono contribuire ulteriormente al volume di traffico. Sembra che gli attacchi maligni siano stati acquistati da almeno una botnet. Dyn Inc. sta ancora lavorando sull’analisi dei dati, ma la stima al momento è di almeno 100.000 endpoint dannosi. La società può confermare che un volume significativo di traffico d’attacco sia stato originato dalla rete di bot Mirai.





Nessun commento:

Posta un commento