L’Internet of Things alla ricerca di più sicurezza

Secondo le stime di Gartner Research, nel 2020 i dispositivi IoT connessi in rete saranno 50 miliardi. Per Forbes, nel 2025 saranno addirittura più di 80 miliardi. Dal braccialetto fitness al monitor per la pressione degli pneumatici, dalla pompa per infusione al sensore industriale, dal contatore del gas alla serratura Wi-Fi, nessuno di questi prodotti è esente da problematiche legate a sicurezza e privacy. E più aumentano numerosità e diffusione, più aumentano le sfide. L’avvento sul mercato di attori quali Google e Amazon delinea un futuro di oggetti totalmente interconnessi e pervasivamente presenti nelle più marginali attività quotidiane. Già oggi, alcune stime ritengono che nei paesi più evoluti nel 40% delle case siano presenti oggetti IoT potenzialmente esposti a problemi che vanno dal vero e proprio attacco al più subdolo spionaggio. Le minacce spaziano dall’appropriazione di dati sensibili alla manomissione di funzioni fondamentali o addirittura vitali. Non c’è scampo: la densità di dispositivi attaccabili mette a disposizione dei malintenzionati tantissime opportunità in più ed espone gli sprovveduti al rischio concreto di diventare inconsapevolmente degli agenti infettanti. La casistica che vede gli oggetti IoT in veste di anello debole della catena di sicurezza è piuttosto nutrita. Nel mese di ottobre 2016, il più grande attacco DDoS (Distributed Denial of Service) di sempre è stato lanciato sul fornitore di servizi Dyn utilizzando una botnet IoT. Ciò ha causato il crollo di enormi porzioni di Internet, tra cui Twitter, Guardian, Netflix, Reddit e Cnn. Il botnet dell’IoT è creato da un malware chiamato Mirai. Una volta infettati da Mirai, i computer eseguono continuamente ricerche su Internet di dispositivi IoT vulnerabili utilizzando nomi utente e password predefiniti per accedere e propagare l’infezione. I dispositivi interessati erano oggetti quali fotocamere digitali e lettori Dvr. All’inizio di quest’anno, la Fda ha confermato che nei dispositivi cardiaci impiantabili utilizzati in un ospedale statunitense, il St. Jude Medical, erano presenti elementi di vulnerabilità che potevano consentire a un hacker di accedere per compromettere la batteria o somministrare stimolazioni errate. Lo stesso problema è stato scoperto per un monitor cardiaco Wi-Fi per neonati prodotto dalla società Owlet. Qui, l’elemento trasmettitore utilizzato per condividere a distanza i dati con i medici presentava una falla di sicurezza che esponeva l’hardware ad attacchi che avrebbero potuto portare al controllo del dispositivo. In tema di telecamere, nella webcam TrendNet è stato scoperto un bug che permetteva a chiunque di ottenere l’indirizzo IP del dispositivo e di conseguenza di vedere senza autorizzazione le immagini in chiaro. Sempre in tema di webcam, vi sarebbero oltre 175.000 telecamere di sicurezza connesse a Internet che presentano vulnerabilità di sicurezza tali da renderle accessibili tramite il web, collegabili a una botnet dannosa o persino sfruttabili per “dirottare” altri dispositivi sulla loro stessa rete. In rappresentanza delle webcam Internet of Things esposte ai cyberattacchi vengono segnalate due videocamere della gamma NeoCoolCam del produttore cinese Shenzhen Neo Electronics, diffuse in tutto il mondo in virtù del loro bassissimo costo. Esempi di vulnerabilità segnalati in rete riguardano addirittura gli elettrodomestici, in particolare, lavatrici e frigoriferi smart di ultima generazione, particolarmente esposti agli attacchi DDos. Infine un caso segnalato dal sito web Ibm SecurityIntelligence, il quale ha riportato che un team di ricercatori è stato in grado di assumere il controllo totale di un veicolo Jeep utilizzando il bus Can di bordo. Sfruttando le falle di un aggiornamento firmware, gli hacker hanno dirottato l’auto sulla rete cellulare Sprint e hanno scoperto che potevano accelerarlo, rallentarlo e persino deviarlo dalla sua traiettoria. Questi eventi sono la dimostrazione del fatto che spesso le aziende ignorano i principi base di sicurezza dei dispositivi periferici o delle reti, con conseguenze che possono essere disastrose. Il punto debole fondamentale per la sicurezza IoT è l’aumento del numero di dispositivi dietro il firewall di rete. Fino a dieci anni fa l’unica preoccupazione era proteggere i computer. Cinque anni fa si sono aggiunti smartphone e tablet. Ora dobbiamo preoccuparci di proteggere auto, elettrodomestici, prodotti indossabili e molti altri elementi IoT. Gli hacker potrebbero utilizzare dispositivi apparentemente insignificanti coma il termostato domestico o il contatore del gas per rilevare informazioni private o condizionare determinati processi. Ovviamente, più sono i dispositivi, maggiori sono i rischi di violazione. La sicurezza assoluta non esiste, quindi l’approccio più corretto è pensare a cosa un hacker potrebbe fare con un dispositivo qualora riuscisse a superare le barriere di protezione e agire di conseguenza.

L’importanza degli aggiornamenti

I dispositivi Internet of Things sono una realtà e spesso le aziende tecnologiche che realizzano questi nuovi prodotti sottovalutano i rischi. Un sintomo di questo atteggiamento è la bassa frequenza di aggiornamento (in taluni casi la totale mancanza di aggiornamento) del firmware. Un dispositivo IoT che era sicuro al momento dell’acquisto può diventare pericoloso non appena gli hacker scoprono nuove vulnerabilità. Anche i computer presentavano questa problematica, ma gli aggiornamenti automatici e la semplificazione del processo hanno contribuito ad alleviarla. Spesso, la pressione sul time-to-market costringe le aziende a lanciare sul mercato i propri dispositivi in tempi brevissimi, finendo per comprometterne la sicurezza. Altrettanto spesso, gli aggiornamenti del firmware si susseguono per un certo periodo, arrestandosi improvvisamente quando le risorse del produttore si concentrano sulla costruzione del dispositivo successivo. Questo lascia nelle mani dei clienti un hardware obsoleto che può diventare un rischio per la sicurezza non solo per il prodotto in questione ma anche per i prodotti collegati alla stessa rete.

La protezione dei dati

Gli hacker non sono l’unica minaccia che incombe sull’Internet delle Cose. In effetti, le società che creano e distribuiscono dispositivi interconnessi potrebbero anche utilizzarli per ottenere dati personali e informazioni sensibili, una eventualità pericolosa in quanto può portare a trasferimenti di denaro impropri o profilazioni commerciali inopportune. È noto il caso di alcune aziende che distribuiscono dei braccialetti Fitbit ai propri dipendenti per monitorare le condizioni di salute e ottenere premi dell’assicurazione sanitaria più bassi. Oltre all’idea opinabile che la salute dei lavoratori possa essere monitorata dai datori di lavoro, ciò che preoccupa è cosa possono fare le società con i dati raccolti. È frequente la condizione in cui talune aziende, sfruttando le pieghe della normativa e le scarse tutele a livello internazionale, inviino o addirittura vendano i dati di dipendenti e clienti ad altre aziende. Un caso è quello della bambola Hello Barbie: il Norwegian Consumer Council ha scoperto che questo giocattolo è in grado di registrare e ritrasmettere al produttore tutto ciò che viene pronunciato nei dintorni. Non solo: la bambola conterrebbe anche un bug che può essere sfruttato dagli hacker per interloquire direttamente con gli astanti, tipicamente dei bambini. A queste problematiche si aggiunge anche il fatto che spesso i software installati nei prodotti non sono venduti all’utente bensì concessi in licenza. I termini di licensing sono di solito molto flessibili e possono essere aggiornati unilateralmente dal produttore, portando a condizioni di utilizzo differenti da quelle iniziali. Alla luce di quanto detto, è particolarmente impostante conoscere anche quali sono le politiche del produttore in merito alla sicurezza dei dati e alla condivisione delle informazioni acquisite. Ciò potrebbe comportare il rifiuto di determinati dispositivi IoT, soprattutto quando potrebbe non valere la pena di scendere a compromessi in termini di privacy. Ma non sempre è così semplice. Molti prodotti IoT sono ibridi complessi di software, hardware e servizi, spesso originati da più produttori. Quali siano i diritti quando le cose vanno male e a chi rivolgersi può essere difficile da capire. Una recente indagine su un sistema di building automation ha rivelato che se un consumatore volesse comprendere tutti i diritti e gli obblighi insiti nella catena di approvvigionamento dovrebbe leggere almeno 13 diversi documenti contrattuali. Un compito improbo.

I rischi per la sicurezza

I computer dispongono di aggiornamenti automatici perché molti utenti non sono in grado o sono troppo pigri per eseguire i passaggi necessari per proteggere il proprio sistema. Tutelare e aggiornare le caratteristiche di sicurezza della miriade di dispositivi IoT che dominano il nostro ambiente è ancora più difficile e questo problema peggiorerà ancora. Benché le aziende e le organizzazioni pubbliche stiano prendendo sempre più sul serio le minacce alla sicurezza provenienti dal mondo IoT, la prima linea di difesa è sempre l’utente. Ciò significa che occorre dedicare tempo a pensare a come i dispositivi IoT potrebbero cadere in situazioni di scarsa sicurezza ed essere utilizzati in modo illegale. Ad esempio, un dispositivo IoT di un’azienda piccola e poco consolidata potrebbe essere inizialmente più economico o avere funzionalità interessanti. Ma se l’azienda scomparisse, nessuno tutelerebbe più l’invulnerabilità del prodotto, compromettendo la sua sicurezza e quella dei dispositivi ad esso riconducibili.E questo è solo un esempio: le situazioni sono talmente variegate e insolite che richiedono da parte degli utenti, delle aziende, dei gestori di servizi e dagli enti normativi un grosso sforzo di immaginazione e un livello di attenzione inedito.

Pubblica i tuoi commenti