Meta-navigazione

IoT-Security

IoT-Security

Poca protezione per l’internet delle cose


La sicurezza dei dispositivi in rete non va bene. Alcuni sono completamente sprotetti. Gli sviluppatori devono integrare correzioni nei prodotti. Anche gli utenti devono pretendere soluzioni IoT sicure.


Testo: Urs Binder,




In Gran Bretagna migliaia di tostapane collegati in rete sono stati hackerati: improvvisamente accettavano soltanto più pane integrale, informando i loro proprietari dei pericoli per la salute del pane bianco. Si trattava di un pesce d’aprile dello specialista di sicurezza Bitdefender. Tuttavia, altri incidenti legati all’Internet of Things (IoT) non sono scherzi, come si evince dal titolo del white paper Gartner «Musings from Def Con 23»: «I rischi nel campo dell’IoT sono gravi e sono destinati a peggiorare». Quattro esempi:

 

  • Come riportato dall’Ufficio federale per la sicurezza informatica tedesco nel 2014, mediante tecniche di spear phishing e social engineering (ossia lo sfruttamento delle debolezze umane del personale) gli hacker sono riusciti ad accedere alla rete degli uffici di un’acciaieria tedesca e da lì agli impianti di produzione, riuscendo a paralizzare diversi componenti di comando e impianti: non si riusciva più a spegnere un altoforno in modo regolato, il quale restava in uno stato indefinito. L’impianto ha riportato danni ingenti.

  • Agendo da remoto, tramite il sistema di automazione degli edifici, gli hacker sono riusciti a penetrare nella rete della catena statunitense Target, installando malware nei terminali delle carte di credito dei 1800 supermercati. In questo modo gli hacker sono riusciti a sottrarre i dati delle carte di credito di 40 milioni di clienti. Target ha dichiarato di aver dovuto sborsare 290 milioni di dollari per i risarcimenti, per non parlare dei danni a livello di immagine.

  • Un venerdì pomeriggio di fine novembre 2016, sui display delle biglietterie automatiche dell’azienda di trasporti di San Francisco SF Muni si leggeva soltanto più «Sei stato hackerato, tutti i dati sono stati crittografati». L’azienda SF Muni si è vista obbligata a lasciare aperte le barriere d’accesso ai binari: trasporti pubblici gratis per un giorno e mezzo. Non si è trattato di un attacco mirato, ha successivamente reso noto l’hacker «Cryptom27»: la rete di SF Muni era completamente aperta.

  • Verso la fine di ottobre 2016 un massiccio attacco di tipo denial of service ai danni del service provider Dyn ha bloccato diversi siti web famosi, tra cui Twitter, Amazon, Spotify e Netflix. Il responsabile è stato chiaramente una botnet di dispositivi IoT. Anche il blog di Brian Krebs, che esegue ricerche sulla sicurezza, è stato attaccato. Nelle cause il ricercatore ha individuato soprattutto le telecamere IP e i videoregistratori in rete.  

Minaccia reale, fiducia poca

La minaccia rappresentata dall’internet delle cose è reale, soprattutto in considerazione del fatto che il numero di «connected things» sta davvero esplodendo. Le ultime previsioni di Gartner indicavano 6,4 miliardi di dispositivi IoT per la fine del 2016, pari a una crescita del 30% rispetto al 2015. Un numero destinato a diventare circa 21 miliardi entro la fine del 2020. Secondo Gartner, circa il 65% dei dispositivi IoT è integrato in ambienti Consumer quali l’Home Automation, mentre il 35% è legato ad applicazioni industriali.





Per un internet delle cose sicuro


Consigli per gli utenti e gli sviluppatori di soluzioni IoT.


Al Listical



Per un internet delle cose sicuro

Consigli per gli utenti e gli sviluppatori di soluzioni IoT.


Al Listical

Dopo aver analizzato dieci dispositivi di Home Automation come termostati di riscaldamento, serrature di porte o segnalatori di fumo per rilevarne i problemi di sicurezza, HP è giunta a una conclusione che ha cancellato qualsiasi illusione: in totale sono emersi 250 punti deboli, quindi 25 per ciascun dispositivo. Non c’è quindi da meravigliarsi se da uno studio effettuato dal Ponemon Institute, sempre su incarico di HP, è emerso che nemmeno la metà dei consumatori ritiene che IoT porti più vantaggi che svantaggi. Questo per via dei dubbi in termini di sicurezza e privacy. Ma non sono solo i consumatori a vedere che l’IoT non comporta soltanto vantaggi. Secondo un’inchiesta dell’operatore statunitense AT&T, il 58% delle aziende intervistate non si fida della sicurezza dei suoi dispositivi IoT.


I punti deboli delle soluzioni IoT

La realtà dimostra che molti dispositivi IoT non prevedono alcuna misura di sicurezza. Un motivo può essere di natura storica: in origine i sistemi embedded nell’industria non erano collegati in rete, oppure erano inseriti all’interno di una singola azienda, e quindi erano separati da internet. Spesso ancora oggi i dispositivi Consumer sono basati su piattaforme senza sicurezza intrinseca; le relative soluzioni, comprendenti software e servizi nel cloud, non prevedono un’adeguata sicurezza dei dati e una protezione contro gli attacchi.


In alcuni dispositivi manca la possibilità di aggiornare il firmware. In questi casi la gestione delle patch rimane un concetto ignoto. La situazione appare ancora più grave se si pensa che la durata delle soluzioni IoT (anche oltre dieci anni) è nettamente superiore a quella dei PC e dei dispositivi mobili, sia per quanto riguarda i prodotti Consumer sia in relazione all’Industria 4.0.


Generalmente la comunicazione di sensori e attuatori con hub, gateway e servizi nel cloud è protetta, anche nel caso dei protocolli wireless come Zigbee, LoRaWAN, Bluetooth o WLAN. Tuttavia, spesso vengono utilizzate chiavi statiche alle quali è relativamente facile accedere. Ciò che spaventa è che spesso gli utenti non cambiano le password e le altre caratteristiche di sicurezza, lasciando quelle impostate in fabbrica.


È quindi importante che la sicurezza sia integrata non soltanto nel protocollo di trasmissione dei dati, ma ad ogni livello. Comunque a oggi mancano standard uniformi per la sicurezza end-to-end nei sistemi IoT. Il mercato IoT non è regolato, a differenza di altri settori quali quello bancario, medico o dell’auto: una base debole per soluzioni che siano degne di fiducia.


La sicurezza IoT nel futuro

Diverse organizzazioni stanno lavorando a framework e best practice per la sicurezza IoT, tra cui la IoT Security Foundation e la fondazione no-profit OWASP con «Internet of Things Project». I fornitori di servizi nel cloud offrono sempre più piattaforme per una comunicazione sicura tra i dispositivi IoT e i servizi nel cloud, con caratteristiche studiate su misura per l’Internet of Things.


Questi standard e queste piattaforme devono garantire un ampio fronte di difesa contro i cyber attacchi. La sicurezza IoT deve rilevare gli attacchi e difendere contro di essi, registrare i tentativi di accesso non autorizzati, proteggere i dati sia durante la trasmissione sia in fase di salvataggio ed elaborazione e impedire, tramite un boot sicuro dei dispositivi, che vengano caricati firmware contraffatti.


Tutto questo è possibile soltanto combinando misure di sicurezza a tutti i livelli, dall’autenticazione e comunicazione dei dati alla gestione delle regole di sicurezza, passando per la Intrusion Detection/Prevention. Idealmente queste misure devono essere supportate dall’hardware dei dispositivi IoT. I moderni processori e le piattaforme SoC offrono supporto hardware per una sicurezza aggiuntiva, aiutando gli sviluppatori di soluzioni IoT a rendere sicuri i loro prodotti.




Maggiori informazioni


Machine to Machine

Neue Geschäftsmodelle und mehr Effizienz dank M2M: Mit dem Internet der Dinge kommuniziert alles mit allem – nutzen Sie die neuen Möglichkeiten der vernetzten Welt.