Quasi sei mesi fa Eddy Willems, Security Evangelist di G DATA aveva trattato i problemi che potrebbero sorgere con l‘Internet delle cose. Quasi tutto ciò che aveva pronosticato ha già avuto luogo, superando addirittura qualsiasi aspettativa… non è una bella cosa.
Industria automobilistica
Le notizie relative ad auto hackerate sono apparsi su giornali ed emittenti di tutto il mondo. In seguito ad un attacco cibernetico andato a buon fine, il gruppo Fiat Chrysler ha dovuto richiamare 1,4 milioni di veicoli Jeep. Un altro episodio riportato dai media riguarda invece cybercriminali che sono riusciti a craccare i freni delle Corvette. Questi esempi confermano i problemi che riguardano indistintamente l’intera industria automobilistica e che avevamo già affrontato in precedenza, trattando, fra l’altro, anche i problemi della BMW.
Settore fitness
Di tutt’altro genere ma facenti anch‘essi parte dell’Internet delle cose sono i nuovi e gettonati wearables: braccialetti per il fitness, misuratori di passi, dispositivi mobili per lo sport ed i rispettivi dati che vengono raccolti nel Cloud, sui dispositivi stessi o sugli smartphone. Significativa è stata in questo caso l’analisi condotta da AV-TEST, un’organizzazione indipendente e nota a livello mondiale per i propri test di soluzioni per la sicurezza IT.
In particolare è stato analizzato il modo in cui i dati personali riguardanti l’attività sportiva vengono trasmessi dai vari dispositivi allo smartphone o al Cloud e testata la sicurezza delle app fitness tracker. AV-TEST ha rilevato un fatto importante: i risultati di tutte le attività sportive vengono registrati e analizzati tramite un’apposita app sullo smartphone. Le prestazioni sono quindi rese subito disponibili dall’app. Un quesito resta però aperto: questi dati vengono trasmessi in modo cifrato dal braccialetto allo smartphone o è possibile che estranei possano intercettare i dati per poi copiarli o manipolarli? Potrebbe addirittura essere manipolata la app stessa? I tester si sono occupati di questi ed altri quesiti ed hanno analizzato braccialetti e tracker unitamente al funzionamento delle corrispondenti app per Android. Quali sono stati i risultati ottenuti da questi tracker in merito alla sicurezza? Esiste la possibilità che la trasmissione dei dati venga intercettata?
Testare l‘impossibile?
I fitness tracker rivestiranno in futuro un ruolo sempre più importante per il servizio sanitario. E‘ perciò fondamentale un consistente miglioramento della sicurezza da parte dei produttori di questi dispositivi e applicazioni per evitare l’abuso dei dati. Cosa succederebbe se la gente utilizzasse i dati del vicino pressoché coetaneo ma più sportivo? Negli USA ed in altri Stati i contributi per il servizio sanitario sono molto elevati. La manipolazione dei dati rappresenta quindi un’opzione “interessante” per poter ridurre i costi dell’assicurazione sanitaria. D’altro canto i criminali potrebbero utilizzare i dati rubati per esplorare le abitudini sportive dell’utente e scoprire, ad esempio, gli orari in cui si trova fuori casa. Sarebbe così possibile pianificare un‘irruzione nella sua abitazione.
Ai test sui fitness tracker hanno fatto seguito una serie di nuove indagini volte a dare una risposta alle domande in merito al livello di protezione garantito dalle App. Tutti questi test, estesi anche ad altri settori di mercato, seguono per lo più una linea comune: dati, criptaggio e autenticazione. La cifratura è tuttavia solo un aspetto della tutela dell’integrità dei dati e della loro riservatezza. Valutare solo questo punto significa ignorare che la sicurezza comprende molti altri aspetti che andrebbero considerati nei test futuri. Perché non sviluppare, ad esempio, dei test che permettano di scoprire se nell’elettronica delle automobili sia stato trascurato il fattore sicurezza?
Di recente abbiamo appreso che alcuni hacker etici offrono i propri servizi ad aziende appartenenti all’industria automobilistica e che quest’ultima voglia fargli condurre dei penetration test al fine di rilevare eventuali falle. Questo andrà tuttavia a risolvere solo alcuni dei problemi relativi alla sicurezza. Non riesco proprio ad approvare questo metodo, in quanto l’Internet delle cose è troppo diversificato e le aziende impiegano già nuove tecnologie non sufficientemente sicure nei propri prodotti. Una soluzione potrebbe essere la costituzione di un’organizzazione o di un’istituzione che fissi le linee guida per i vari settori dell‘ IoT in modo da poter controllare la sicurezza e testarne i vari aspetti, seguendo standard validi a livello globale.
Online Trust Alliance, forse una risposta?
Un’iniziativa che segue questo tipo di approccio, a mio avviso risolutivo, è l’Online Trust Alliance, che ha sviluppato un progetto chiamato “Internet of Trust Framework“ (https://otalliance.org/initiatives/internet-things-iot#resource). Scopo del progetto è quello di fornire agli sviluppatori linee guida per ridurre vulnerabilità e punti deboli e per promuovere l‘attuazione di misure per la sicurezza e la protezione dei dati. L’iniziativa mira infatti a favorire la messa in atto di “best practice” in merito a sicurezza, protezione dei dati e sostenibilità. Questi concetti dovrebbero valere come modello per lo sviluppo di un codice di comportamento applicabile su scala generalizzata, sebbene su base volontaria.
Prospettive
L’iniziativa citata rappresenta senza dubbio un passo importante nella giusta direzione ma non siamo ancora arrivati alla meta finale. Sono fermamente convinto che l’Internet delle cose sia un settore talmente vasto che sarà difficile trovare un equilibrio stabile tra sicurezza, protezione dei dati e corretta realizzazione in ogni prodotto dell’IoT.
E‘ inoltre indubbio il fatto che gli esperti di sicurezza possano supportare la totalità delle aziende in ambito IoT, data la crescita esponenziale di questo mercato. Gli esperti di IT-Security hanno già molto lavoro da svolgere: lavorano senza sosta per rendere sicuri Internet, i sistemi operativi ed i dispositivi che noi utilizziamo. Il miglior metodo per rapportarsi con i pericoli dell’IoT è dunque seguire un concetto olistico e sistemico.
Il vero pericolo e una possibile soluzione: repetita non juvant!
Le previsioni per l‘Internet delle cose sono impressionanti: entro il 2020 IDC pronostica 212 miliardi di dispositivi IoT con oltre 30 miliardi di apparecchi ad essi automaticamente connessi e un flusso di dati superiore ai 3 milioni di petabyte: il rischio di abuso di questi dispositivi sarà quattro volte maggiore rispetto ai pericoli connessi ai computer. E’ questa la vera minaccia. Cosa succederebbe se la vostra automobile in corsa venisse craccata o se il vostro microinfusore di insulina venisse controllato dai cybercriminali? Il rischio di lesioni gravi diviene sempre più presente nella vita di tutti i giorni.
Gran parte dei problemi di sicurezza riscontrati nei dispositivi IoT possono essere risolti integrando la sicurezza sin dall’inizio, un approccio chiamato “Security by Design“, in parte già attuato e la cui importanza si riscontra specialmente a livello di firmware. Poterlo aggiornare in modo assolutamente semplice può ad esempio rivelarsi un vantaggio. Ciò potrebbe tuttavia trasformarsi in un vero e proprio incubo nel caso in cui i criminali riuscissero a manipolare questo processo, ecco perché nelle menti degli ingegneri dovrebbe sempre riecheggiare il messaggio del ”Security by Design”: i dispositivi devono essere progettati in modo sicuro fin dall’inizio, dopodiché ci si potrà occupare anche di altri aspetti.
Dal momento che i cybercriminali si lanciano sempre sulle prede più facili, le applicazioni IoT rappresentano un ambito particolarmente appetibile. Tra queste, le applicazioni per mobile o desktop che gestiscono dispositivi, firmware o app (ad es: Smartwach) sono già utilizzate in svariati settori di mercato e vanno assolutamente protette, dal momento che comunicano con i device e consentono a estranei l’accesso a dati riservati o a meccanismi di pagamento. Le misure di sicurezza delle app su questi dispositivi devono quindi essere perfezionate.
Tutti i settori ed i rami dell’industria che hanno a che fare con l‘Internet delle cose, come Smart Home, Smart City, Smart Car o automazione industriale (conosciuta anche come industria 4.0), non dovrebbero compiere lo stesso errore del passato e cioè quello di non considerare la sicurezza IT come uno dei problemi fondamentali. Occorrono implementazioni sicure e standard di sicurezza elevati. Il concetto “Security by Design“ riveste qui un ruolo decisivo. Non dimentichiamolo! Possiamo sempre chiudere le falle a posteriori, ma sarebbe indubbiamente preferibile che queste falle fossero escluse già in fase di produzione, in modo da non permettere alcuno sfruttamento o abuso.