Gli esperti di Kaspersky Lab stanno studiando l'infrastruttura cloud sperimentale per protesi bioniche avanzate e hanno identificato diversi problemi di sicurezza prima sconosciuti che potrebbero consentire a terzi di accedere, manipolare, rubare o addirittura cancellare i dati privati degli utenti dei dispositivi e molto altro. I risultati sono stati condivisi con il produttore Motorica, una start-up russa che si occupa di alta tecnologia e che sviluppa protesi bioniche degli arti superiori per assistere le persone con disabilità, permettendo loro di far fronte ad eventuali problemi di sicurezza. Questo il tema centrale della conferenza stampa di Kaspersky Lab al Mobile World Congress di Barcellona, con la partecipazione di Vladimir Dashchenko, Head of the Vulnerabilities Research Group del Kaspersky Lab ICS CERT; Ilya Chekh, CEO di Motorica, e il Brand Ambassador Dmitry Koshechkin; Sergey Kravchenko, Senior Business Development Manager, Future Technologies di Kaspersky Lab.
L'Internet of Things non riguarda più soltanto gli smart watch connessi o i dispositivi per la “smart home”, ma anche ecosistemi avanzati, complessi e sempre più automatizzati. Tra questi vi sono le cybertecnologie connesse del settore healthcare. In futuro, queste tecnologie potrebbero passare da dispositivi di supporto a oggetti “mainstream”, utilizzati da consumatori desiderosi di estendere le capacità del proprio corpo attraverso un processo che potrebbe essere definito di “cibernetizzazione”. È quindi importante che qualsiasi rischio per la sicurezza che potrebbe essere potenzialmente sfruttato dai cybercriminali sia ridotto al minimo fin da subito, indagando e risolvendo i problemi di cybersecurity nei prodotti di oggi e nelle loro infrastrutture di supporto.
I ricercatori del Kaspersky Lab ICS CERT, in collaborazione con Motorica, hanno intrapreso una valutazione sulla sicurezza informatica di un software di prova per la protesi digitale di una mano sviluppata dalla start-up russa. La soluzione stessa si basa su un sistema di cloud remoto, un'interfaccia per il monitoraggio dello stato di tutti i dispositivi biomeccanici registrati. Fornisce, inoltre, ad altri sviluppatori un set di tool per l'analisi delle condizioni tecniche di dispositivi come sedie a rotelle intelligenti, mani e piedi artificiali.
La ricerca iniziale ha identificato diversi problemi di sicurezza. Tra questi: una connessione http non sicura, operazioni non corrette di autenticazione e una convalida degli input insufficiente. Quando è in uso, la mano bionica trasmette dati al sistema in cloud. A causa dei gap a livello di sicurezza un cybercriminale potrebbe riuscire a:
• Ottenere accesso alle informazioni contenute nel cloud di tutti gli account collegati (compresi login e password “in chiaro” per quanto riguarda tutti i dispositivi protesici e i loro amministratori).
• Manipolare, aggiungere o cancellare questo tipo di informazioni.
• Aggiungere o cancellare i profili degli utenti regolari e “privilegiati” (quindi con diritti di amministratore).
"Motorica è un'azienda altamente tecnologica, affidabile e socialmente responsabile, focalizzata nel far fronte alle sfide che le persone con disabilità fisiche devono affrontare. L’azienda è in una fase di crescita e il nostro obiettivo era quello di aiutarla a garantire l'adozione delle giuste misure di sicurezza. I risultati della nostra analisi ci ricordano che la sicurezza deve essere integrata nelle nuove tecnologie fin dalla loro progettazione. Ci auguriamo che altri sviluppatori di dispositivi connessi avanzati collaborino con l'industria della cybersecurity perchè comprendano e affrontino i problemi di sicurezza dei propri dispositivi e sistemi e trattino la sicurezza dei dispositivi come parte integrante ed essenziale del loro stesso sviluppo", ha dichiarato Vladimir Dashchenko, security researcher del Kaspersky Lab ICS CERT.
"Le nuove tecnologie ci stanno portando verso nuovi orizzonti in termini di dispositivi di assistenza bionica. Questo è un momento di cruciale importanza per gli sviluppatori di questo tipo di tecnologie per l’avvio di una collaborazione con i vendor di soluzioni di sicurezza informatica. Questa collaborazione permetterà di rendere impossibili anche casi, al momento solo ipotizzabili, di cyberattacchi al corpo umano", ha osservato Ilya Chekh, CEO di Motorica.
Per mantenere al sicuro questo tipo di dispositivi, Kaspersky Lab consiglia alle aziende di:
- Tenere sotto controllo i principali modelli di minaccia e le classificazioni di vulnerabilità per le tecnologie web-based e IoT pertinenti, fornite da esperti del settore, come l’OWASP IoT Project.
- Introdurre pratiche di sviluppo dei software sicure, basate su un ciclo di vita corretto. Per valutare le pratiche di sicurezza di software già esistenti è sempre meglio utilizzare un approccio sistematico - ad esempio, quello di OWASP OpenSAMMMM.
- Istituire una procedura per ottenere informazioni sulle minacce rilevanti e sulle vulnerabilità in modo da garantire risposte adeguate e tempestive nel caso di incidenti.
- Procedere con il regolare aggiornamento dei sistemi operativi, dei software delle applicazioni, dei dispositivi e delle soluzioni di sicurezza.
- Implementare soluzioni di sicurezza informatica progettate per l’analisi del traffico di rete, per il rilevamento e la prevenzione di attacchi alla rete stessa, ai margini della rete aziendale e a quelli della rete OT.
- Utilizzare una soluzione di protezione dotata di tecnologia MLAD (Machine Learning Anomaly Detection) per scoprire eventuali anomalie nel comportamento dei dispositivi dell'Internet of Things e per il rilevamento precoce di eventuali attacchi, guasti o danni ai dispositivi stessi.
La versione completa del report dedicato all’analisi dei dispositivi bionici connessi è disponibile in un blogpost dedicato di Securelist.com.
In questo momento storico le tecnologie bioniche si stanno sviluppando; è quindi importante cercare di capire quali possano essere i problemi di sicurezza di questo tipo di dispositivi per risolverli in maniera corretta. Per capire meglio cosa può portare il futuro da questo e altri punti di vista, Kaspersky Lab promuove l’iniziativa dedicata alla tecnologia del futuro e alle possibili previsioni su ciò che accadrà, chiamata “Earth 2050”.
Informazioni su Kaspersky Lab
Kaspersky Lab è un’azienda di sicurezza informatica a livello globale che opera nel mercato da oltre 21 anni. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi di nuova generazione per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it
Informazioni su ICS CERT di Kaspersky Lab
Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team (Kaspersky Lab ICS CERT) è un progetto globale lanciato da Kaspersky Lab nel 2016 con l’obiettivo di coordinare gli sforzi dei fornitori di sistemi di automazione, i proprietari di infrastrutture industriali, gli operatori e i ricercatori nell’ambito della sicurezza IT nella protezione delle industrie dai cyberattacchi. ICS CERT di Kaspersky Lab si impegna soprattutto nell’identificare minacce potenziali ed esistenti che mirano ai sistemi di automazione e all’Internet of Things in ambito industriale. Nel corso del primo anno di attività, il team ha rilevato oltre 110 vulnerabilità critiche nei prodotti dei più importanti fornitori ICS a livello globale. ICS CERT di Kaspersky Lab è membro attivo e partner delle maggiori istituzioni internazionali che si occupano di elaborare misure per la protezione di imprese industriali dagli attacchi informatici. ics-cert.kaspersky.com
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
.jpg)
