Dal punto di vista della cyber security, le periferiche wireless hanno un significato olistico. Non sono semplice gingilli tech: mouse, tastiere, strumenti audio quali microfoni, auricolari e cuffie hanno certamente dei pregi ma, come ribadisce uno studio dell’Istituto di test per la sicurezza NTC di Zugo, in Svizzera, possono involontariamente rappresentare superfici d’attacco.
Non è un tema nuovo, tant’è che l’Ue – nel 2021- ha imposto ai produttori di dispositivi wireless una maggiore attenzione alla sicurezza.
Infatti, segnali non crittografati o configurazioni insicure permettono ai criminal hacker di intercettare conversazioni o assumere il controllo dei computer da remoto.
Eventualità queste che sono proprie del protocollo Bluetooth, anche in quei dispositivi popolari prodotti da aziende dal nome altisonante.
Per contestualizzare sia l’argomento sia la ricerca elvetica, abbiamo chiesto il parere di Carolina Pesce, Team leader Brand Abuse – Cyber Threat Intelligence – Yarix (Var Group).
Periferiche wireless e vulnerabilità di sistema
I dispositivi wireless sono comodi ma la connettività radio può trasformarli in punti di ingresso per attacchi mirati.
Redatto anche in lingua italiana, lo studio evidenzia un’asimmetria tra la protezione di server, client e dispositivi mobili e le periferiche wireless che, spesso, integrano processori propri, oltre a interfacce radio.
La valutazione tecnica compiuta dall’ Istituto nazionale di test per la cibersicurezza NTC è durata un anno e ha coinvolto circa trenta dispositivi periferici comuni, tra cui tastiere, cuffie e sistemi di conferenza ampiamente diffusi nelle infrastrutture critiche svizzere.
Attraverso analisi hardware, reverse engineering del firmware e intercettazione del traffico radio, sono stati individuati oltre sessanta allarmi per la sicurezza, di cui tredici classificati come gravi e tre con il massimo livello di criticità.
Le vulnerabilità più allarmanti
Tra i risultati più allarmanti figura il caso del sistema di presentazione wireless EZCast Pro II, che presentava chiavi crittografiche codificate e password derivabili pubblicamente, permettendo a un attaccante di assumere il controllo del dispositivo e intercettare i contenuti dello schermo.
Altre vulnerabilità riguardano la possibilità di trasformare le cuffie wireless in strumenti di intercettazione ambientale sfruttando funzioni di associazione simultanea o di utilizzare tastiere fantasma per iniettare comandi malevoli da remoto fino a cento metri di distanza.
È stata anche evidenziata la possibilità di manipolare il firmware di alcuni dispositivi per stabilire una persistenza a livello hardware, rendendo la compromissione invisibile anche dopo una reinstallazione del sistema operativo del computer collegato.
Molti produttori privilegiano la facilità d’uso rispetto alla sicurezza, implementando funzioni di accoppiamento che non richiedono PIN o password, esponendo i dispositivi a intercettazioni banali. Questo fenomeno è visibile anche in contesti pubblici, dove telecomandi universali o strumenti moderni quali Flipper Zero possono prendere il controllo di monitor pubblicitari e schermi televisivi che mancano di crittografia e pairing selettivo.
La mitigazione
Per mitigare questi rischi, i ricercatori suggeriscono di aggiornare costantemente il firmware delle periferiche wireless, monitorare attentamente la catena di approvvigionamento e limitare l’uso di periferiche personali in contesti sensibili.
Il rapporto propone, inoltre, una strategia basata sulla standardizzazione dell’approvvigionamento, limitando la scelta a un catalogo vincolante di dispositivi testati acquistati esclusivamente tramite canali autorizzati.
Le periferiche non devono più essere considerate semplici accessori, ma componenti IT a pieno titolo da inserire nei sistemi di gestione degli asset per garantire l’installazione tempestiva degli aggiornamenti firmware e una dismissione sicura al termine del ciclo di vita.
Per i dispositivi più complessi dotati di connettività di rete, come i sistemi di videoconferenza IoT, viene raccomandata la segmentazione della rete in aree isolate per evitare che diventino un punto di accesso alla rete aziendale interna.
Un ulteriore livello di protezione riguarda la configurazione sicura e la riduzione della superficie di attacco attraverso la disattivazione di interfacce e servizi non necessari, come gli accessi di manutenzione remota o le funzioni plug-and-play non indispensabili.
NTC consiglia inoltre di limitare l’installazione dei software di gestione dei produttori sui computer degli utenti finali, preferendo l’uso di driver di base e stazioni di aggiornamento dedicate gestite dal supporto IT.
Le organizzazioni dovrebbero già oggi integrare questi criteri nei propri processi di acquisto e sensibilizzare il personale sui rischi legati ai dispositivi lasciati incustoditi in luoghi pubblici.
Contestualizzare per non cedere al panico
Caterina Pesce introduce variabili di cui tenere conto, a cominciare dalla sua valutazione del lavoro svolto dall’Istituto di test per la sicurezza NTC: “Lo studio dell’Istituto nazionale di test per la Cybersicurezza ha riportato conclusioni valide rispetto all’argomento trattato fornendo prove concrete di eventuali rischi che possono derivare dall’utilizzo di periferiche wireless – considerando che il rapporto in questione è una sintesi dello studio completo svolto dagli esperti, dove i dettagli tecnici non sono stati pubblicati dal team, e non è dunque replicabile e/o verificabile pubblicamente al 100%”.
C’è però altro su cui riflettere. “Ad ogni modo – continua l’esperta – la questione su cui secondo me è necessario porre l’attenzione al giorno d’oggi, è quanto il mondo degli e-commerce consenta di vendere e comprare questo tipo di dispositivi a basso costo e non conosciuti, potenzialmente con backdoor o affetti da altro tipo di vulnerabilità di supply chain e che vengono poi utilizzati dai dipendenti delle aziende di tutto il mondo, rischiando di diventare potenziale parte integrante della superficie di attacco di un’organizzazione. Nonostante lo studio non sia stato giustamente applicato a determinati dispositivi, lo smart working e la dotazione comprata dagli utenti singoli rischia di diventare una potenziale problematica, seppur non prevalente.
In conclusione, non serve farsi prendere dal panico, tuttavia va chiaramente differenziato il contesto in cui li si utilizza e da chi vengono comprati e/o venduti. Per un utente comune il rischio resta contenuto – richiede un attaccante nel raggio fisico, spesso con competenze tecniche; mentre per chi lavora in contesti sensibili (infrastrutture critiche, ruoli dirigenziali, giornalismo, diplomazia), il rischio è concreto e va gestito attivamente. Non a caso i ricercatori stessi consigliano a bersagli di alto valore come giornalisti, diplomatici e politici di considerare il passaggio a cuffie cablate per eliminare i vettori di attacco basati su Bluetooth”.
Diventa interessante comprendere se (e perché) le imprese valutano o meno i rischi cyber correlati alle periferiche wireless.
“Sebbene non si tratti di situazioni sconosciute (per esempio, l’azienda Bastille Networks che nel 2016 ha scoperto le vulnerabilità MouseJack), una delle problematiche più grandi credo rimangano le molte aziende che spesso non considerano questi dispositivi come asset critici IT – ossia come strumenti che elaborano e trasmettono dati, quali possono invece essere server, firewall, sistemi cloud, eccetera – bensì come accessori a sé stanti, al di fuori dalle policy aziendali.
La problematica si è probabilmente accentuata da quando il lavoro da remoto è diventato così comune e i dipendenti utilizzano dispositivi comprati da vendor non conosciuti e ufficiali, che rischiano di essere oggetto di attacchi supply chain o altre vulnerabilità, come il recente caso dei pagers e walkie-talkie compromessi in Libano.
A questo aggiungerei un ulteriore fattore, emerso chiaramente anche dal caso Airoha: la frammentazione della supply chain degli aggiornamenti. Quando un produttore di chip rilascia una patch, ogni brand deve integrarla, testarla e distribuirla, un processo lento e non omogeneo. I ricercatori hanno riscontrato che a distanza di sei mesi dalla scoperta molti dispositivi restavano non patchati, perché gli aggiornamenti vengono erogati tipicamente attraverso app mobile che gli utenti aprono raramente. Per un reparto IT aziendale, questo significa che, anche volendo fare la cosa giusta, spesso manca un canale di aggiornamento centralizzato e affidabile: è un problema di governance del fornitore, non solo dell’azienda cliente”, spiega Carolina Pesce.
Infine, una riflessione sull’eventualità di ricorrere alle connessioni cablate a discapito del wireless.
“Quando si tratta di ambienti in cui vengono gestite informazioni sensibili e riservate (per esempio, infrastrutture critiche, apparati governativi, difesa, eccetera) che possono essere di interesse per attaccanti più determinati ed esperti, quali state-sponsored o APT (Advanced Persistence Threat), l’utilizzo di connessioni cablate può limitare la superficie di attacco e ridurre il rischio in quanto non hanno protocolli di connessione e non possono essere soggette a interferenza/jamming (non lavorano tramite onde radio) da chiunque abbia un’antenna nel raggio d’azione; con i dispositivi cablati è necessario l’accesso fisico da parte dell’attaccante al dispositivo.
Tuttavia, il cablato non rappresenta di per sé una bacchetta magica: va accompagnato da miglioramenti nella gestione del firmware dei device (per esempio implementando una firma digitale obbligatoria), segmentazione di rete per i sistemi di conferenza/IoT e sensibilizzazione del personale. Questo perché molte delle vulnerabilità gravi diventano sfruttabili non per un difetto tecnico grave, ma per configurazioni permissive o disattenzione (dongle non protetti da riassociazione, dispositivi lasciati incustoditi).
Per le aree a sicurezza massima, vale sempre il suggerimento di sottoporre regolarmente i dispositivi, wireless o cablati che siano, ad analisi di sicurezza indipendenti, perché “cablato” riduce la superficie d’attacco ma non la azzera (restano comunque interfacce USB, firmware, supply chain)”, conclude Carolina Pesce.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Redazione Cybersecurity360.it
Source link



