IoT e sicurezza? Si può fare!

IoT e sicurezza? Si può fare!
  • 4
  •  
  • 37
  •  
  •  
  •  
  •  
    41
    Shares

Gli oggetti intelligenti hanno conquistato un posto stabile nella vita di ciascuno di noi, ma saranno anche in grado di non invadere la nostra privacy e di non essere una facile porta di accesso alle minacce informatiche più temute? In Europa mancano in questo momento vincoli stringenti per i produttori di oggetti IoT. Siamo solo agli inizi di un cammino verso la standardizzazione all’interno di un framework condiviso

Un attacco DDoS manda knock-out KrebsOnSecurity, un sito specializzato in sicurezza, inondandolo di oltre 600 Gbps di traffico generato da centinaia di migliaia di dispositivi (router privati, fotocamere IP, DVR e altri dispositivi) connessi a Internet con password deboli. Un attacco portato a termine, secondo Akamai, facendo leva su tecniche tutt’altro che sofisticate. Semplici query (flussi SYNC, GET, POST) verso il sito attaccato; exploit di vulnerabilità note di protocolli di comunicazione come il GRE (generic routing encapsulation) utilizzato nelle comunicazioni peer-to-peer. Nemmeno un mese dopo, si replica. Questa volta l’attacco manda a gambe all’aria i server di Dyn, la società che fornisce il servizio di DNS a svariati OTT, bloccando l’accesso a gran parte dei siti della East Coast. Anche questa volta, il meccanismo è di canalizzare le debolezze di migliaia di webcam connesse a Internet, vulnerabilità che costringono il produttore cinese HangZhou a richiamare in fretta e furia dal mercato i modelli bucati. Secondo le stime degli analisti, (più volte riviste al rialzo) gli oggetti connessi nel 2017 sarebbero più di 8,4 miliardi. La cifra supererà i 20 miliardi entro il 2020 (fonte Gartner). Ma siamo solo all’inizio del fenomeno IoT. In un futuro non troppo lontano, qualsiasi oggetto munito di sensore sarà collegabile a Internet. Che cosa questo possa significare in termini di sicurezza per ora solo la fantascienza e qualche temerario sono in grado di descrivercelo.

LE DEBOLEZZE IRRISOLTE DELL’IOT

Sulla rete sono esposti una marea di oggetti insicuri sino al midollo. Il sito www.shodan.io è un motore di ricerca che raccoglie immagini da webcam private non protette, installate presso uffici, parchi, terreni coltivati, piste da sci, laboratori, negozi al dettaglio, grandi magazzini. Persino scuole, piscine e culle. Basta un account per constatarlo con i propri occhi. Le webcam non sono gli unici oggetti attestati in rete. Ci sono sensori installati su orologi e braccialetti intelligenti, contatori elettronici e termostati, soluzioni per la gestione delle flotte aziendali, la tracciabilità dei prodotti, il monitoraggio del traffico cittadino. Una pletora di device connessi, moltiplicatisi per effetto degli ormai ridotti costi di produzione, fabbricati da aziende con una cura costruttiva verso la sicurezza a dire poco scarsa. Oggetti che di smart non hanno quasi nulla. Le responsabilità non sono solo ovviamente dei produttori. Dalle vulnerabilità connesse al modo in cui questi oggetti si collegano a Internet all’integrazione di questi progetti IoT all’interno delle aziende, le responsabilità sono molto ampie e la consapevolezza dei rischi, ancora troppo bassa. Senza dimenticare tutto il filone relativo alle responsabilità di chi utilizza questi oggetti, ancora poco propensi a considerare le conseguenze a cascata di una violazione. «L’adozione di soluzioni IoT porta con sé innumerevoli opportunità, ma nasconde anche diversi fattori di rischio che, se non considerati, possono facilmente trasformare un driver competitivo in un’ulteriore complessità da dover gestire» – osserva Antonio Bosio, product and solutions director di Samsung Electronics Italia.

Ma è un fatto che molti dispositivi collegati dispongono di limitati controlli di sicurezza e sono pronti per connettersi alla rete semplicemente lasciando loro in pancia le credenziali di default fornite dal costruttore. A quel punto basta trovarne uno online non sicuro, per provocare danni. «Secondo i nostri ricercatori abbiamo superato il numero di settemila campioni di malware che prendono di mira i dispositivi smart e oltre la metà di questi è emersa nel 2017» – mette in guardia Morten Lehn, general manager Italy di Kaspersky Lab. «Oggi, assistiamo alla proliferazione di attacchi su apparati molto differenti rispetto ai pc. Tutti i dispositivi connessi possono essere compromessi e fino a oggi sono stati prodotti molti strumenti, software o dispositivi, che non includono una security by design» – avverte Gastone Nencini, country manager di Trend Micro Italia. Alla scarsa qualità realizzativa, si deve poi aggiungere il fatto che spesso questi dispositivi si basano su Linux. «Fattore che semplifica il lavoro dei criminali, che possono scrivere codici nocivi generici per colpire un numero elevato di dispositivi» – osserva Lehn di Kaspersky Lab. Dal punto di vista legislativo, mancano in questo momento nell’Unione europea vincoli stringenti per i produttori. Dopo il parere ufficiale su privacy e sicurezza in ambito IoT – contenente linee guida che produttori di IoT, sviluppatori e terze parti devono applicare nel rispetto della normativa vigente – espresso dal Gruppo di lavoro Articolo 29 (Article 29 Working Party), nel già lontano settembre 2014, non sono stati compiuti sostanziali passi avanti. Neppure oltreoceano, le cose vanno meglio.

Negli USA, la Federal Trade Commission (FTC) aggiorna con cadenza annuale la propria guida “Security Best Practices for IoT manufacturers”, ma non avendo in materia alcun potere sanzionatorio, i risultati sono ancora deludenti. Un vuoto legislativo nel quale i costruttori si sono inseriti stabilmente. Come dimostra la scarsa sensibilità ai temi della sicurezza. Almeno fino a questo momento e solo in parte mascherata da proposte risibili come quella di assegnare ai dispositivi IoT un “rating di qualità simile a quello impiegato per assegnare un punteggio di sicurezza agli autoveicoli. Inutile dirlo, i timori di una eccessiva regolamentazione dominano la scena presso i costruttori IoT, che preferiscono di gran lunga continuare a operare entro l’attuale mancanza di regolamentazione. «I produttori non hanno nessun vincolo da questo punto di vista. Se non di natura tecnica. Infatti, è sufficiente che il prodotto sia interoperabile con i protocolli più comuni» – conferma Mauro Cicognini, membro del comitato direttivo di CLUSIT, l’associazione italiana per la sicurezza informatica. Una situazione che consente ai produttori tutta la discrezionalità sul rilascio delle informazioni circa le modalità di conservazione e finalità dei dati raccolti. Una situazione che il nuovo regolamento GDPR impatterà sicuramente, ma con effetti ancora tutti da valutare. A nulla vale l’obiezione che il trattamento svolto dai dispostivi connessi non rientri nel campo di applicazione del GDPR che invece vede come soggetti attivi le persone fisiche e quelle giuridiche. Le parti del regolamento che riguardano però la disciplina della “privacy by design” e della “privacy by default”, insieme alla valutazione di rischio privacy e all’obbligo di notifica in caso di data breach, rappresenteranno anche dei paletti per le dinamiche in atto nel mondo dell’IoT.

IOT, LE PRINCIPALI SFIDE DI SICUREZZA CHE CI ATTENDONO

L’IoT richiede modalità di sicurezza “by default”, in particolare sulle password. Sicurezza nativa a protezione del firmware a partire dalla fase di progettazione dell’oggetto. Tecniche di cifratura e autenticazione estese non solo ai dispositivi IoT cosiddetti critici. Entriamo un po’ più nel dettaglio di questi aspetti.

Crittografia – A Berkeley, California, un pool di ricercatori ha messo a punto dei sensori wireless grandi quanto un embrione (tre millimetri), posizionabili all’interno del corpo umano per tenere traccia delle nostre attività fisiche, stimolare cervello e muscoli, monitorare il funzionamento di alcuni organi. Più di recente secondo quanto riporta la rivista specializzata ACS Sensors, un altro team di ingegneri ha sviluppato Earable, un sensore stampato in 3D, indossabile dall’orecchio umano per monitorare la temperatura corporea in tempo reale in modo non invasivo. Sensori di dimensioni maggiori, alimentati da batterie, sono già in commercio. Il loro limite maggiore in un’ottica di sicurezza è dato dalla quantità ridotta di RAM (meno di 64 byte). Una costrizione importante per riuscire ad applicare la crittografia. Da anni, per superare queste limitazioni sono allo studio algoritmi e tecnologie specifiche come la crittografia leggera (LWC). Con risultati però ancora discussi. Soprattutto, se considerati in vista dell’obiettivo di standardizzare il livello di sicurezza di questi “mattoncini” indispensabili per l’IoT. «La crittografia leggera ha fatto buoni progressi» – spiega Candid Wüest, threat researcher di Symantec (www.symantec.com/it). «Spesso però molto dipende dal campo specifico di applicazione. Per alcune applicazioni, velocità e bassa latenza sono più importanti del codice e del ristretto quantitativo di memoria a disposizione». Ambiti in cui più che la riservatezza conta la correttezza del dato. «Non penso ci sia bisogno di ipotizzare pesanti necessità di crittografia dovunque» – concorda Cicognini di CLUSIT. «Pensiamo al rilevamento della temperatura in una stazione turistica, informazione che deve passare attraverso controlli di integrità prima di essere trasmessa in broadcast. In questo caso, più che pensare a una crittografia integrale dei canali di trasmissione, si tratta al massimo di firmare digitalmente qualche decina di bit». L’utilizzo della crittografia può essere limitato anche all’interno di perimetri semichiusi come quelli di un impianto industriale. «Qui il sensore – che sia wireless, alimentato a batteria e con capacità di comunicazione e trasporto limitati – parla con dispositivi localizzati all’interno della struttura, tipicamente una linea di produzione oppure una macchina. Quindi si rientra in una categoria di connessioni, già all’interno di un perimetro controllato, che in qualche modo subiscono meno questa necessità» – spiega Fabio Massimo Marchetti, presidente WG Software Industriale di ANIE Automazione. 

Aggiornamento dei dispositivi – In generale, l’aggiornamento affidabile del software sui sensori rimane un’operazione tutt’altro che automatica. Pur con alcuni distinguo, numerose tipologie di sensori non sono a oggi aggiornabili. Altri, come quelli a funzione singola, possono essere aggiornati solo dal vendor che li ha prodotti. Inoltre, per ora, soprattutto i dispositivi multifunzione montano onboard software sviluppato da fornitori terzi. «La presenza nei dispositivi IoT di un meccanismo built-in di aggiornamento che ricerchi e installi in modo sicuro gli aggiornamenti è molto importante» – afferma Wüest di Symantec. «Automatismo che se anche ci fosse, manterrebbe comunque inalterato il rischio di manomissione dell’aggiornamento da parte di un malware quando gli update non sono protetti da crittografia». Eppure, sulla carta, la gestione delle patch sembra sempre un problema risolto. «In realtà – afferma Cicognini – in tutte le organizzazioni di ogni dimensione, vedo la stessa difficoltà di tenersi in pari anche solo con le patch di sicurezza rilasciate dai vendor». Non solo. «L’esperienza dimostra che la soluzione pratica del problema è assai più complicata di quanto si potrebbe pensare». Soprattutto quando gli aggiornamenti interessano un parco macchine esteso. «In questo caso, sarebbe preferibile disporre di un sistema di aggiornamento (OTA – over the air). E questo perché agire manualmente su centinaia di oggetti comporta costi notevoli in termini di tempo e risorse» – concorda Wüest. Di certo la negligenza dei produttori nel rilascio di update e firmware moltiplica la presenza di dispositivi connessi potenzialmente vulnerabili. Che si aggiungono a quelli già compromessi. Con conseguenze che cominciamo solo adesso a valutare concretamente.

Raccolta dati – Un sensore che raccoglie dati sull’inquinamento dell’aria non pone particolari problemi per la privacy delle persone. Non sarà così per quelli che presto potranno essere inseriti nel corpo umano per monitorare la pressione arteriosa oppure il battito di un cuore meccanico. Su questi aspetti, l’opera di sensibilizzazione sulla necessità di limitare la quantità di informazioni destinate all’archiviazione – restringendo i tempi di conservazione e di cancellazione nel momento in cui non si presenta più alcuna utilità generale – è solo agli inizi. In realtà, fatichiamo ancora a convincere tutti che limitare la raccolta dei dati incide sulla diminuzione dei rischi legati alla privacy. Mentre al contrario, lo sviluppo di repository distribuiti zeppi di grandi quantità di informazioni rappresentano una preda irresistibile per i criminali. Attualmente, ci si scontra con la netta opposizione da parte delle aziende, in genere molto più propense a sostenere che eventuali limiti alla raccolta dei dati pregiudichino gli impieghi innovativi di un prodotto o un servizio. Ma finché mancherà un’autorità indipendente che si preoccupi di sanzionare la scarsa qualità costruttiva di questi oggetti, sarà difficile sperare in un’inversione di rotta.

IL RUOLO DEI PRODUTTORI IOT

Ci sono una serie di aspetti che le aziende dovrebbero tenere in considerazione nella progettazione degli “oggetti” connessi. Come la valutazione dei rischi relativi alla privacy e alla sicurezza. La riduzione allo stretto necessario dei dati raccolti dal dispositivo e trattenuti dalle aziende. La predisposizione di test specifici sulla sicurezza prima del rilascio dei prodotti, oppure il monitoraggio del prodotto lungo tutto il suo ciclo di vita, per mettere una “toppa” alle vulnerabilità che potrebbero emergere. Richieste in parte formalizzate nel nuovo regolamento europeo GDPR che ha introdotto i concetti di “privacy by default”, la necessità cioè di tutelare la vita privata dei cittadini come impostazione predefinita dell’organizzazione aziendale e di “privacy by design”, il principio secondo cui la protezione dei dati debba avvenire fin dalle fasi di disegno e progettazione di qualsiasi processo aziendale. In questo momento, però, la sensazione è che sia ancora bassa la consapevolezza dei rischi associati a questi oggetti. «Un produttore razionale credo dovrebbe cercare di sapere in anticipo se si sta andando verso un punto di rottura, e cercare di prevenirlo per evitare che il cliente perda fiducia nel suo prodotto» – afferma Cicognini. «Non sono certo che tutti i produttori lo siano – tuttavia – immagino che la maggior parte cercherà di introdurre più sicurezza nei loro prodotti». Il cammino verso la standardizzazione di prodotti e servizi entro un framework condiviso in grado di offrire le opportune garanzie è solo agli inizi. Ragione per cui – «invece di cercare di inseguire questo obiettivo a livello mondiale, sarebbe meglio creare un framework all’interno del quale formulare proposte a livello di architettura, per tutti i vari componenti, fino al livello dei sensori» – rileva Roberto Cazzetta, marketing director Switzerland & Italy di Equinix. «L’IoT come lo viviamo oggi non sarà lo stesso fra 5 o 10 anni, perché è un mercato in continua evoluzione in tutte le sue varie componenti. Un framework non troppo complesso potrà tenere il passo di questa evoluzione, rendendo più facile convincere la maggior parte degli attori coinvolti nello sviluppo di prodotti IoT a operare al suo interno». Detto questo, il legislatore europeo così come ha fatto in altri mercati, potrebbe e dovrebbe intervenire per disporre di obblighi di sicurezza cogenti. «Anche se questo comporterebbe maggiori spese per il cliente, e maggiore complessità per il produttore» – afferma Cicognini. «Sappiamo però che gli effetti nel medio periodo sono benefici perché accrescono la fiducia nei prodotti, portando a una maggiore espansione del mercato. Senza dimenticare che il rispetto della legge anche in un solo paese, potrebbe innescare fenomeni di traino virtuoso verso altri paesi e altri produttori».

CONCLUSIONI

Diciamolo chiaramente: sinora alle aziende che ci proponevano lo spazzolino smart o la padella intelligente che ci segue passo passo nel preparare la ricetta preferita, della sicurezza ha importato poco. Certo continuiamo a sentirci ripetere che l’Internet delle Cose è già una realtà e che ancora prima di accorgercene gli smart “qualcosa” entreranno in pianta stabile nelle nostre vite. Si tratta di un rumore di fondo che ha già reso più rarefatte le voci critiche nella partitura mainstream intonata dai cantori delle meraviglie dell’IoT. Le previsioni in tal senso sono chiare. IDC stima che lo scorso anno il fatturato complessivo del comparto ha superato gli undici miliardi di dollari (11,2 miliardi di dollari) e raggiungerà i ventuno (21,2 miliardi di dollari) entro il 2022, con un CAGR totale del 13,7% nel periodo considerato (2016-2021). Accantoniamo per un attimo la domanda che comunque dovranno porsi tutti coloro che hanno deciso di scommettere sull’IoT – capire cioè se e fino a che punto ci saranno delle persone disposte a pagare per assicurarsi servizi di questo tipo, perché questo dipenderà dall’utilità e dall’esperienza d’uso collegate. La vera scommessa sarà lato B2B. I sensori permetteranno di trasformare fabbriche, edifici, auto, città e case in scatole nere della conoscenza. Come e chi accederà a questo patrimonio di informazioni, su cui allenare gli algoritmi di machine learning e costruire nuove applicazioni di intelligenza artificiale? Non possiamo banalizzare l’IoT riducendolo a un insieme di gadget a cui abbiamo aggiunto il suffisso “smart” solo per far brillare gli occhi dei consumatori.

Oggi, forse c’è minor ottimismo al riguardo, perché si inizia a riconoscere che dovremo essere in grado di governare la rete estesa di questi oggetti. L’IoT accelera la fusione tra mondo fisico e virtuale. L’erosione della nostra sfera più intima da parte di sensori e dispositivi – più o meno invasivi – ci mette davanti a una serie di sfide impegnative e ineludibili. Per questo ci si augura che diventi continuo e costruttivo il dialogo tra legislatore e società civile, associazioni e università, produttori e system integrator, affinché si diffonda una cultura sempre più consapevole della sicurezza. Che non neghi le straordinarie potenzialità messe a disposizione dall’IoT, ma neppure sottovaluti la necessità di misure concrete a tutela della nostra sfera privata. La buona notizia è che con circa 20 miliardi di device IoT connessi entro il 2020, è difficile pensare che il tema della sicurezza non sarà al centro dell’attenzione nei prossimi anni.


  • 4
  •  
  • 37
  •  
  •  
  •  
  •  
    41
    Shares
Categorie: Sicurezza