I proprietari di sistemi di sicurezza per la casa connessi a Internet non sono gli unici a monitorare le proprie abitazioni. I sistemi di monitoraggio, come videocamere e dispositivi di allarme ora connessi ad internet ed utilizzabili da remoto, sono infatti alla mercè dei cyber criminali. A rivelarlo un recente studio condotto da HP e realizzato con lo scopo di stabilire se questi strumenti di protezione accrescono la sicurezza delle nostre case o se invece le espongono ad un rischio maggiore.
Dallo studio, che ha valutato 10 sistemi di sicurezza per la casa IoT (con i relativi componenti applicativi mobile e cloud) è emerso che nessuno dei sistemi richiede l’uso di una password complessa e il 100% presenta sicurezza inadeguata nell’autenticazione a due fattori.
Tra i problemi di sicurezza più comuni e di facile risoluzione è stato riconosciuto:
- Autorizzazione insufficiente: tutti i sistemi che includono interfacce web personalizzate basate su cloud e mobile non richiedono una password con livello di complessità e lunghezza sufficienti. La maggior parte richiede una password alfanumerica di sei caratteri. Nessuno dei sistemi è in grado di bloccare gli account dopo un determinato numero di tentativi non riusciti.
- Interfacce non sicure: tutte le interfacce web basate su cloud testate presentavano problemi di sicurezza che permettono a un potenziale aggressore di ottenere accesso all’account mediante una tecnica di harvesting degli account che sfrutta tre carenze applicative, ovvero enumerazione degli account, policy di password inefficaci e mancanza di funzionalità di blocco degli account. Analogamente, cinque dei dieci sistemi testati presentavano problemi di harvesting degli account riguardanti l’interfaccia dell’applicazione mobile, che espone i consumatori a rischi analoghi.
- Problemi di privacy: tutti i sistemi raccolgono alcune informazioni personali, quali nome, indirizzo, data di nascita, numero di telefono e persino numero di carta di credito. L’esposizione di tali informazioni personali è preoccupante, dati i problemi di harvesting degli account rilevati in tutti i sistemi. Occorre inoltre sottolineare che l’uso del video costituisce una caratteristica essenziale di molti sistemi di sicurezza per la casa, con possibilità di visualizzazione tramite applicazioni mobile e interfacce web basate su cloud. La privacy delle immagini video dell’interno della casa costituisce un’ulteriore fonte di preoccupazione.
- Mancanza di crittografia delle trasmissioni: anche se tutti i sistemi implementano la crittografia del traffico, ad esempio SSL/TLS, molte connessioni al cloud restano vulnerabili agli attacchi (ad esempio, gli attacchi POODLE). Una crittografia delle trasmissioni correttamente configurata è importante soprattutto perché la sicurezza costituisce la funzione principale di questi sistemi.
“Scegliendo di adottare dispositivi da remoto, per la loro praticità e accessibilità, dobbiamo anche valutare il livello di rischio per le nostre case e le nostre famiglie”, ha affermato Jason Schmitt, Vice President e General Manager, Fortify, Enterprise Security Products, HP. “Poiché dieci dei sistemi di protezione più diffusi non includono le funzionalità fondamentali di sicurezza, i consumatori dovrebbero adottare alcune semplici e pratiche misure se i produttori dovessero assumersi la responsabilità di integrare le funzioni di sicurezza nei propri prodotti ed evitare di esporre inconsapevolmente i clienti a seri pericoli.”
Quindi se da un lato i fornitori di prodotti IoT stanno lavorando per introdurre le misure di sicurezza essenziali, i consumatori devono prestare la massima attenzione alla sicurezza nella scelta di un sistema di monitoraggio per la propria casa. L’implementazione di una rete domestica sicura prima dell’aggiunta di dispositivi IoT non sicuri, la scelta di funzionalità di sicurezza supplementari quali password complesse, il blocco degli account e l’autenticazione a due fattori sono solo alcune delle misure che i consumatori possono adottare per accrescere la sicurezza della propria esperienza IoT.
