Quindi
cosa ho imparato dall “IPEXPO di quest” anno?
Innanzitutto,
che Excel è a chilometri di distanza da Paddington. In effetti, ero così lontano che stavo cercando di
trovare una cabina letto sulla linea Jubilee! Ma parlando seriamente, i contenuti
più coinvolgenti dello show per me erano tutti legati alla sicurezza e, più in particolare, a come
l’IoT sta influenzando la sicurezza.
L’IoT – Internet delle
cose.
Per prima cosa vorrei chiarire cosa sia questa nuova parola d’ordine, visto che ormai tutti i fornitori sembrano
avere un qualche tenue legame con una “strategia IoT”. Al momento è ovunque,
e i tentativi di propaganda dell’IoT sono stati ancora più evidenti dei ridicoli sforzi
dei team di marketing di alcuni fornitori per imporre un allineamento con una strategia SDN.
In poche parole, IoT significa tanti dispositivi
connessi a Internet.
Non
così rivoluzionaria come ci hanno fatto credere, ma si tratta di TANTI
dispositivi… miliardi… infatti Gartner stima che alla fine dello scorso anno,
c’erano 3,8 miliardi di cose connesse in circolazione. E per dispositivi non intendiamo solo computer,
telefoni, tablet e così via. Si tratta di lavatrici, tostapane, bollitori, milioni di
sensori ambientali che misurano la temperatura, il monossido di carbonio e
persino i sex toys! E sì, dovremmo continuare a chiederci quale sia il reale valore per l’utente finale
dell’avere un tostapane connesso a internet. I detrattori diranno che è totalmente inutile
e potrebbero anche avere ragione, ma non dimentichiamo che molti dubbiosi dicevano la stessa cosa di
Internet agli inizi.
La
continua popolarità dell “IoT implica inevitabilmente la nascita di migliaia di nuovi venditori
che costruiscono un dispositivo connesso a Internet insieme a un” applicazione per
fare qualcosa di bello (o meno bello) e utile (o meno utile).
Quindi
dove entra in gioco la sicurezza?
Pensa a uno scenario quotidiano di utilizzo di uno di questi nuovi gadget. Eccitati
dalla prospettiva di mettere alla prova il nostro ultimo giocattolo, apriamo la scatola e in
fretta di metterlo in rete, ci connettiamo via Bluetooth (probabilmente
utilizzando 0000 o 1234 come pin), inseriamo la password wireless e
presto possiamo parlare con lui. (Ovviamente dopo aver registrato tutti i nostri dati con il venditore
online). La
grafica accattivante dell “applicazione e l” incredibile marchio ci daranno la certezza che si tratta di un
prodotto di qualità.
Nella realtà di
, però, abbiamo appena distrutto il nostro modello di sicurezza della rete domestica. Perché? Beh
se dovessi parlare di sicurezza probabilmente penseresti che avere un router
/ firewall ti renda sicuro. (Supponendo
ovviamente che la tua password non sia il nome del tuo animale domestico/fidanzato/fidanzata
o, peggio ancora, che sia lasciata come predefinita).
Facciamo
un’ipotesi semi-ragionevole: le aziende che si occupano di sicurezza ne sanno di più
rispetto ai produttori di “giocattoli”. Quindi, se qualcuno volesse hackerare la tua rete domestica
forse attaccare i tostapane e altri giocattoli/dispositivi IoT sarebbe più facile che
il firewall.
L’hacker etico
Ken Munro di
Pen Test Partners ha pubblicato un ottimo esempio
di questo tipo di vulnerabilità.
ha violato una bambola per bambini che memorizzava la chiave Wi-Fi in chiaro. È riuscito a estrarre
la chiave e ad accedere alla rete wireless. Una volta che un hacker è entrato nella rete
, può fare praticamente quello che vuole.
Potresti essere
seduto a leggere questo articolo sentendoti abbastanza sicuro perché non hai molti
dispositivi connessi a Internet, ma non è così. Munro ha anche scoperto delle vulnerabilità
nei dispositivi più comuni, tra cui il telecomando vocale di una TV Samsung che
registra le tue conversazioni. Se questo non è abbastanza scioccante, che ne dici di inviare
quella conversazione vocale attraverso la rete in modo non criptato?
Quindi
qual è la risposta?
In primo luogo
si tratta di educazione. I consumatori devono capire che ogni dispositivo
che collegano alla loro rete, per quanto piccolo, rappresenta un potenziale
rischio per la sicurezza. Devono cercare una garanzia che il dispositivo sia “sicuro” (idealmente
testato in modo indipendente) o almeno dimostrare che la sicurezza è stata presa in
seria considerazione nella progettazione e nell’architettura.
I venditori
devono prendere più seriamente la sicurezza, soprattutto nel settore domestico
dei consumatori. I dispositivi e le applicazioni devono essere basati su progetti in cui un modello di
sicurezza e privacy decente sia intrinseco, non un ripensamento.
Mentre
stiamo parlando, vale la pena ricordare che non è difficile. Non ci si aspetta che i fornitori di IoT
inventino nuovi protocolli di sicurezza rivoluzionari!
iniziamo con alcune nozioni di base.
- Tutte le comunicazioni dovrebbero essere sicure: perché non usare semplicemente l’SSL?
- I dati memorizzati localmente devono essere crittografati
- Le password predefinite dovrebbero essere sempre cambiate (niente di nuovo)
- Assicurati che il codice locale sia offuscato
- Non raccogliere/salvare i dati a meno che non siano essenziali per il funzionamento del dispositivo
.
L “IoT è estremamente eccitante e ha il potere di migliorare
positivamente il modo in cui viviamo la nostra vita, dalle piccole efficienze domestiche fino alle
grandiose soluzioni che cambiano l” industria. È certamente facile farsi
avvolgere dal clamore del “tutto è possibile”, ma per poter trarre con sicurezza i
benefici di queste tecnologie intelligenti, dobbiamo tornare alle basi e fondare
la nostra innovazione sulla sicurezza.
