Come afferma Armis, azienda attiva nel campo della cybersecurity, in un’epoca in cui la tecnologia governa quasi ogni aspetto della nostra vita, le vulnerabilità possono rappresentare una seria minaccia, soprattutto nei settori in cui ci si aspetta sicurezza e privacy: il recente annuncio di una significativa vulnerabilità che ha colpito le serrature elettroniche RFID Saflok ha scosso l’intero settore dell’hospitality, portando alla luce il fatto che qualsiasi elemento connesso può essere un bersaglio per i criminali informatici.
Questa vulnerabilità – sottolinea Armis – avrebbe potuto colpire qualsiasi vendor visto che consiste nell’esposizione di una serie di falle di sicurezza nelle serrature elettroniche tipicamente utilizzate negli hotel. Questo genere di vulnerabilità consente agli hacker di falsificare le keycard, garantendo loro accesso illimitato alle camere d’albergo. Ciò che rende la situazione particolarmente preoccupante è l’ampia diffusione di questo sistema di chiusura, che interessa milioni di porte in migliaia di proprietà in 131 Paesi del mondo.
A febbraio 2024 Armis Labs ha rilevato per la prima volta un’attività nei forum di lock-picking in cui si discuteva delle vulnerabilità delle serrature elettroniche RFID di Saflok per scoprire che la Key Derivation Function (KDF) di alcuni lucchetti Saflok MIFARE Classic si basa esclusivamente sull’Unique IDentifier (UID) della carta per generare le chiavi di accesso. Ciò comporta rischi intrinseci nell’uso di chiavi crittografiche che sono prevedibili o codificate, classificate sotto la voce CWE-321.
L’affidamento all’UID come unico input per la generazione di chiavi compromette in modo significativo la sicurezza di milioni di queste serrature, permettendo un accesso non autorizzato alle stanze sfruttando la natura prevedibile dell’UID. Questa rivelazione frutto del diligente monitoraggio di Armis Labs mette in evidenza la necessità cruciale di pratiche di sicurezza solide, come avere un inventory completo delle risorse e delle informazioni sulle minacce in grado di identificare e mitigare tali vulnerabilità in modo proattivo.
Perché serve un Asset Inventory completo
Un asset inventory accurato consente alle organizzazioni di identificare e valutare le potenziali vulnerabilità della loro infrastruttura, non a caso è considerata la chiave di volta di una strategia di sicurezza efficace. Per scongiurare casi come Saflok, gli hotel e le altre strutture ricettive devono acquisire una conoscenza completa dei loro sistemi di chiusura, compresi i modelli specifici e le versioni software in uso.
L’inventario delle risorse, tuttavia, non si esaurisce con le serrature delle porte, ma si estende a tutti i dispositivi e i sistemi che si possono trovare, compresi computer, i programmi di intrattenimento, i sistemi di prenotazione e persino i sistemi HVAC. Sarebbe assurdo pensare che si tratti di un “attacco unico nella storia”: altri incidenti come quello di MGM Resorts sono uno dei tanti casi di recente memoria che hanno colpito il settore dell’hospitality. Si tratta di una sfida più ampia che riguarda i dispositivi di tecnologia operativa (OT).
Mantenere un asset inventory aggiornato di tutte le risorse consente alle organizzazioni di identificare tempestivamente i sistemi vulnerabili e di adottare le misure appropriate per ridurre i rischi. Nel contesto specifico, gli hotel che dispongono di un inventario degli asset accurato possono determinare rapidamente se le loro proprietà sono state colpite e implementare le misure di rimedio appropriate.
L’importanza di prioritizzare le vulnerabilità
Non tutte le vulnerabilità sono uguali, mette in evidenza Armis. La vulnerabilità Saflok evidenzia la necessità di un’efficace definizione di priorità delle vulnerabilità, soprattutto in settori come l’alberghiero e la ristorazione, dove la sicurezza degli ospiti e del personale è strategica.
Attribuendo priorità ai luoghi o alle risorse più importanti in termini di criticità, danni potenziali ed esposizione, le organizzazioni possono distribuire le risorse di bonifica in modo più efficiente, concentrandosi sui rischi più elevati. Nel caso della vulnerabilità Saflok, gli hotel devono dare priorità all’aggiornamento e alla sostituzione delle serrature interessate in base a fattori quali il numero di porte interessate, l’elemento che proteggono e la probabilità di sfruttamento.
L’imperativo dell’Actionable Threat Intelligence
Rilevare e rispondere alle minacce alla sicurezza in tempo reale è fondamentale per ridurre al minimo l’impatto di un attacco informatico e prevenire potenziali violazioni. L’Actionable Threat Intelligence può consentire alle organizzazioni di identificare attività sospette e anomalie prima che un attacco si diffonda, consentendo così un intervento e una mitigazione tempestivi.
L’Actionable threat intelligence prevede lo sfruttamento dell’intelligenza artificiale per apprendere le tattiche, le tecniche e le procedure (TTP) degli hacker e formare una risposta proattiva. L’intelligenza artificiale può incontrare gli hacker nella fase di formulazione e osservare tramite honeypot dinamici, attività sul dark web e HUMINT. Ognuna di queste aree è preziosa di per sé. Combinandole tutte e tre con l’intelligenza artificiale avanzata è possibile prevedere e sventare attacchi con incredibile precisione, spesso mesi prima della loro attivazione, afferma Armis.
La vulnerabilità di Saflok – lancia l’allarme Armis – ci ricorda i notevoli rischi per la sicurezza insiti nel mondo interconnesso di oggi. Per il settore dell’ospitalità, in cui la sicurezza e la protezione degli ospiti sono fondamentali, affrontare in modo proattivo la superficie di attacco è di estrema importanza. Il settore sta ancora cercando una rinascita dal devastante colpo finanziario inferto dalla pandemia, e ulteriori danni alla reputazione e ai profitti potrebbero portare molte strutture ricettive al punto di rottura. Mantenendo un inventario accurato delle risorse, dando priorità agli sforzi di rimedio alle vulnerabilità e implementando meccanismi di intelligence sulle minacce, gli hotel possono migliorare la loro sicurezza e mitigare i rischi, suggerisce Armis.
Poiché le superfici e i modelli di attacco continuano a evolversi, le misure di sicurezza proattive sono essenziali per salvaguardare l’integrità e la credibilità dei sistemi rivolti agli ospiti, nonché l’infrastruttura che supporta il settore.
