Che cos'è la IoT Security?

La IoT security, definisce i sistemi di difesa a protezione dei dispositivi IoT collegati in cloud, come: quelli per la domotica, le interfacce SCADA, le telecamere di sorveglianza e ogni altra tecnologia collegata direttamente al cloud. La tecnologia IoT è distinta da quella dei dispositivi mobili (come smartphone e tablet) per la sua connettività al cloud automatica integrata nei gadget.

La sicurezza IoT (Internet of Things) prevede la messa in sicurezza dei dispositivi tradizionalmente progettati con scarsa attenzione alla protezione dei dati. I recenti data breach hanno evidenziato come la IoT security dovrebbe diventare una priorità per la maggior parte delle aziende e organizzazioni.

I dispositivi IoT non fanno altro che collegarsi al cloud e raccogliere dati. Ci riferiamo a dispositivi come: serrature, telecomandi per l’apertura del garage, termostati (come il Google Nest), frigoriferi, telecamere di sorveglianza, forni, televisori o qualsiasi altro tipo di gadget che si connetta al cloud. In aggiunta, anche la maggior parte dei più moderni macchinari aziendali si collegano al cloud.

Uno dei motivi principali è che tutti questi dispositivi non sono considerati dispositivi mobili, questi ultimi possono contare invece su sistemi operativi standard e sono regolati da precisi standard di sicurezza. I dispositivi IoT utilizzano un proprio sistema operativo, solitamente Linux, ma in una versione modificata rispetto all’originale.

Funzionando in maniera differente rispetto ai dispositivi mobili, i dispositivi IoT richiedono regole di web security specifiche in base al modo in cui operano. Purtroppo non hanno il vantaggio di ereditare gli standard di sicurezza forniti nei dispositivi mobili dai sistemi Android o iOS. Quando iniziarono a diventare popolari, diversi data breach e attacchi disastrosi furono lanciati contro i dispositivi IoT. Tuttora la sicurezza dei dispositivi IoT rappresenta una grossa sfida per gli sviluppatori e i costruttori.

Sicurezza dei dispositivi IoT

La IoT security, oltre a proteggere il dispositivo stesso da possibili compromissioni, implica la protezione dei dati che vengono trasferiti sul cloud. La pessima abitudine di non cambiare la password di default dei dispositivi IoT, rende malware come il Mirai molto pericolosi. Tali malware infatti prendono di mira proprio quei dispositivi protetti da password di default che girano su Linux, rendendoli parte della propria botnet utilizzata per lanciare attacchi DDoS contro obiettivi specifici. Cambiare la password di default e bloccare i servizi Telnet permette di proteggere i dispositivi IoT contro gli attacchi brute-force del malware Mirai.

Essendo collegati al cloud, la sicurezza dei dispositivi IoT implica anche la protezione dei dati trasferiti e dei luoghi in cui sono conservati. Nel cloud è memorizzata una miriade di dati personali che potrebbero essere utilizzati nei furti di identità o nella violazione della privacy degli utenti, nel caso in cui i cybercriminali riuscissero a violare l’account cloud. Anche se la maggior parte dei siti web utilizzano il protocollo SSL/TLS per il trasferimento dei dati, molti costruttori di dispositivi IoT trasmettono i dati in cloud senza alcuna crittografia.

Problematiche relative alla sicurezza IoT

Tra le varie problematiche relativa alla sicurezza IoT va considerata anche l’autenticazione. È stato scoperto ad esempio, come spesso sia difettoso o manchi del tutto un meccanismo di autenticazione nei giochi per bambini. I data breach che colpiscono i giochi per i bimbi forniscono informazioni sull’attività del giocattolo e le informazioni personali del bimbo. Rafforzare i meccanismi di autenticazione e protezione dagli attacchi brute-force alle password, permette di fermare i cybercriminali.

Non esiste uno standard per la sicurezza dei dispositivi IoT, infatti uno degli obiettivi degli esperti in cybersecurity è quello di educare sviluppatori e costruttori sulle buone pratiche da seguire nello sviluppo dei software che controllano questi dispositivi, proteggendo allo stesso tempo l’attività sul cloud. Compito della IoT security è anche quello di crittografare i dati in transito sul cloud, implementare controlli sulla sicurezza delle password e sviluppare difese in grado di proteggere i dispositivi dagli strumenti di scansione e monitoraggio dei cybercriminali. Senza uno standard definito, la sicurezza IoT è lasciata in mano agli utenti che li utilizzano e agli sviluppatori e costruttori che li mettono sul mercato.

I costruttori di dispositivi IoT devono adoperarsi per mettere in sicurezza i propri prodotti, ma, allo stesso tempo, molte delle sfide della IoT security riguardano anche la formazione e l’interazione dell’utente finale. Gli utenti devono sempre cambiare la password di default quando installano un nuovo dispositivo. Su questo punto i costruttori non possono fare granché, se non educare l’utente finale sull’importanza di effettuare questa operazione.

Un altro problema è spesso la mancanza di aggiornamenti. Anche nel caso in cui, gli aggiornamenti fossero resi disponibili dai costruttori, sta all’utente finale installarli. Finché l’utente non aggiorna il firmware il dispositivo può rimanere vulnerabile agli attacchi. Gli utenti tipicamente non vanno alla ricerca di aggiornamenti. Spesso sono del tutto inconsapevoli che sia disponibile un aggiornamento per il proprio dispositivo.

Mancanza di standard di sicurezza per i dispositivi IoT

Se degli standard ben precisi sono stati definiti per regolare i dispositivi mobili, i desktop, le applicazioni web, la stessa cosa non vale per i dispositivi IoT. L’Internet of Things rappresenta il selvaggio west per la cybersecurity ed è lasciato totalmente a sviluppatori e costruttori l’implementare misure di sicurezza all’interno dei propri software e dispositivi. Questo ha lasciato un buco nella sicurezza dei dispositivi IoT. Ogni costruttore ha i propri standard, tuttavia, questi non sono sufficienti per proteggere i dispositivi dagli attacchi avanzati.

La maggior parte degli utenti e degli sviluppatori non vede i dispositivi IoT come un possibile obiettivo per attacchi da parte dei cybercriminali e questo porta spesso a non considerare le buone pratiche di sicurezza nello sviluppo dei dispositivi. Oltre alla scarsa sicurezza del codice, i costruttori spesso non mettono alla prova la sicurezza dei propri dispositivi tramite appositi penetration test contro eventuali exploit e vulnerabilità. Con i siti web e i dispositivi mobili, oltre che far eseguire appositi penetration test prima che i software vengano rilasciati, è prassi comune offrire programmi bug bounty a chiunque scovi e segnali eventuali vulnerabilità prima che queste vengano sfruttate dai cybercriminali.

Utenti e costruttori hanno a disposizione diversi modi per aumentare la sicurezza dei propri dispositivi. La cybersecurity fa affidamento in gran parte sulle azioni dell’utente, questo rappresenta spesso un punto debole. Infatti gli utenti spesso non ricevono la giusta formazione che li renderebbe consapevoli dell’importanza di fare la propria parte per un utilizzo sicuro dei dispositivi IoT. Tuttavia, anche i costruttori devono fare la loro parte per bloccare gli attacchi e rendere sicuri i propri dispositivi.

Metodi con cui la IoT security può aiutare a bloccare i cybercriminali

Ecco una lista di metodi con cui è possibile aumentare la sicurezza dei dispositivi IoT:

• Cambiare sempre la password di default del dispositivo durante la sua configurazione. Non utilizzare mai la stessa password su più siti web e dispositivi, in quanto gli hacker utilizzano liste di password per attacchi brute-force contro i dispositivi. Scegliere password sicure. Utilizzare il termine “password” come password rende la vita facile ai cybercriminali.
• Se il dispositivo IoT è dotato di una app, siate consapevoli di quali permessi richiede la app per l’installazione sul vostro smartphone. Sia Android che iOS richiedono alle app di chiedere il permesso per accedere e utilizzare le risorse di sistema. Ad esempio se la app richiede l’accesso ai contatti in rubrica, è probabile che venga fatta una copia della vostra rubrica. Negate tale accesso se non necessario.
• Utilizzare una VPN per collegarsi al dispositivo da remoto. I dispositivi IoT forniscono spesso una app da installare sullo smartphone, che permette agli utenti di accedere ai dispositivi dalla rete Internet. La trasmissione dei dati dal dispositivo al cloud potrebbe non essere crittografata. Utilizzando una VPN, i dati saranno sempre trasferiti in forma crittografata e protetti da attacchi di tipo man-in-the-middle.
• Le app di alcuni dispositivi IoT richiedono l’accesso ai Social Media. I vostri dati potrebbero essere condivisi inconsapevolmente con le piattaforme social. Negate questo tipo di accesso se non necessario.
• Bloccare porte non necessarie all’interno della vostra rete. I cybercriminali si servono di strumenti di scansione per scovare porte aperte, e nel caso trovassero aperta una porta come Telnet, potrebbero essere in grado di lanciare attacchi proprio tramite il protocollo Telnet. Se il dispositivo consente di bloccare determinati protocolli, bloccate quelli non necessari.
• Controllare regolarmente il sito web del produttore, per verificare se siano stati rilasciati aggiornamenti del firmware, come patch di sicurezza e risoluzione di bug. Gli aggiornamenti vanno installati il prima possibile, perché non appena i cybercriminali notano che viene rilasciata una patch per risanare una vulnerabilità, si mettono all’opera per sviluppare malware in grado di sfruttarla sui dispositivi non ancora aggiornati.