Come i dispositivi periferici diventano un gateway per i sistemi critici

Una videoconferenza riservata presso un operatore di infrastrutture critiche è ben protetta dagli attacchi degli hacker: la rete, il server e il laptop sono aggiornati con gli ultimi standard di sicurezza e la connessione è crittografata end-to-end. Tuttavia, un attacco è ancora possibile: utilizzando un'antenna nel parcheggio vicino, un aggressore intercetta il traffico radio del microfono da tavolo wireless, non adeguatamente protetto. In pochi secondi può ascoltare la conversazione riservata. Questo scenario non è fittizio, ma dimostra come le misure di protezione esistenti possano essere aggirate attraverso un dispositivo periferico non sicuro.

In un'analisi tecnica completa, il National Cybersecurity Test Centre (NTC) ha esaminato circa 30 tastiere, cuffie, webcam e sistemi di conferenza di produttori affermati e ampiamente utilizzati in Svizzera - dispositivi che si trovano su ogni scrivania svizzera. Il risultato: l'NTC ha individuato oltre 60 vulnerabilità, di cui 13 gravi e 3 critiche.

Interfaccia critica per le informazioni sensibili

I dispositivi periferici costituiscono l'interfaccia critica attraverso cui scorrono le informazioni sensibili. Ad esempio, le password vengono inserite tramite tastiere e le conversazioni riservate vengono trasmesse tramite microfoni e webcam. Esiste una pericolosa asimmetria: il costo delle analisi di sicurezza professionali spesso supera di molte volte il prezzo di acquisto di tali dispositivi.

«Nella pratica, i dispositivi periferici sono spesso considerati come semplici accessori e quindi non vengono testati sistematicamente o integrati in modo coerente nei concetti di sicurezza esistenti», afferma Tobias Castagna, responsabile degli esperti di test dell'NTC.

L'analisi sistematica della sicurezza scopre modelli di rischio

Per valutare sistematicamente il livello di sicurezza delle periferiche più diffuse in Svizzera, l'NTC ha sottoposto nel corso di un anno circa 30 dispositivi cablati e wireless a un'analisi tecnica completa della sicurezza. La selezione comprendeva prodotti di produttori affermati, tra cui dispositivi di Logitech, Yealink, Jabra, HP, Eizo e Cherry, utilizzati in particolare nelle infrastrutture critiche.

L'analisi mostra che le periferiche moderne possono raggiungere un livello di sicurezza accettabile con una configurazione sicura e un firmware aggiornato. Tuttavia, i rischi aumentano con l'aumentare della complessità del dispositivo, ad esempio nei sistemi di conferenza o in altri dispositivi IoT, nonché quando si utilizzano tecnologie wireless obsolete.

Le vulnerabilità individuate sono state segnalate ai produttori interessati e nella maggior parte dei casi sono state rapidamente corrette. In un singolo caso, tuttavia, un produttore non ha reagito: nel caso di un sistema di presentazione wireless, l'NTC ha segnalato il caso all'Ufficio federale per la sicurezza informatica (BACS), che ha poi pubblicato un avviso pubblico.

Cinque raccomandazioni per ridurre al minimo i rischi

Il rapporto pubblico evita deliberatamente i dettagli tecnici e le vulnerabilità relative ai prodotti. Al contrario, identifica modelli di rischio generali, tra cui impostazioni predefinite non sicure, debolezze nell'accoppiamento dei dispositivi, comunicazioni wireless non adeguatamente protette e carenze nel firmware e nella gestione del ciclo di vita. Lo studio chiarisce che la sicurezza dei dispositivi periferici non è solo una caratteristica del prodotto, ma dipende in larga misura dalla configurazione, dal funzionamento e da chiare linee guida organizzative.

Sulla base dei risultati, l'NTC ha formulato cinque raccomandazioni generali per ridurre i rischi associati all'uso di dispositivi periferici, in particolare per gli operatori di infrastrutture critiche e le organizzazioni con maggiori requisiti di sicurezza:

• Standardizzazione e approvvigionamento sicuro attraverso canali affidabili,
• Inclusione dei dispositivi periferici nel ciclo di vita e nella gestione degli asset IT,
• Segmentazione della rete per i dispositivi compatibili con la rete, come i sistemi di conferenza,
• Preferenza per le soluzioni cablate nelle aree con requisiti di protezione più elevati e per le soluzioni con cavi.
• Sensibilizzare i dipendenti sui rischi fisici e organizzativi.

L'indagine è stata condotta nell'ambito di un'iniziativa congiunta dell'Istituto nazionale per i test di sicurezza informatica (NTC) con il sostegno di autorità federali e cantonali e di organizzazioni del settore finanziario. Per garantire l'indipendenza dei risultati, i produttori dei dispositivi testati non sono stati coinvolti né nella selezione né nell'esecuzione dei test e sono stati contattati solo nell'ambito della notifica confidenziale per correggere le vulnerabilità.

Ulteriori informazioni: www.ntc.swiss