Sono entrati a far parte della normalità al punto da non fare quasi più notizia. I problemi di sicurezza dei dispositivi dell'Internet of Things rappresentano uno dei trend (in negativo, ovviamente) del settore della sicurezza informatica da diversi anni a questa parte. E, nonostante i tentativi di intervento da parte di organizzazioni di ogni genere, la situazione sembra peggiorare giorno dopo giorno: i potenti attacchi DDoS degli ultimi mesi del 2016 hanno visto il coinvolgimento attivo e determinante di telecamere di sicurezza hackerate e altri dispositivi dell'Internet of Things.
Il problema, però, sta alla radice: le peggiori carenze si riscontrano nella progettazione dell'hardware dei dispositivi IoT e del software che ne gestisce le funzionalità e le comunicazioni con gli altri device di rete (il router su tutti, ma non solo). Per questo motivo la Cloud Security Alliance (organizzazione senza scopo di lucro che riunisce le maggiori società al mondo interessate all'universo dei servizi cloud) ha rilasciato delle linee guida per la sicurezza dei dispositivi IoT. Ovviamente, sono indirizzate in maniera principale ai produttori hardware e sviluppatore software, ma non manca qualche "avviso ai naviganti": gli utenti finali svolgono, infatti, un ruolo di primo piano nel contesto globale della sicurezza informatica. Anche e soprattutto quella legata alla smart home.
Pericolo per i produttori
A rimetterci in prima istanza, però, sono soprattutto i produttori. Nel caso di una falla nel firmware o nell'app di gestione, infatti, sarà chi ha realizzato il dispositivo a dover rispondere, sia in termini economici sia in termini di fama e competitività sul mercato. Basta prendere l'esempio dell'attacco del 21 ottobre scorso, quando i dispositivi realizzati da XiongMai Technologies (società cinese tra i maggiori produttori al mondo di device IoT economici) sono stati facilmente "bucati" e utilizzati dalla botnet Mirai per un attacco DDoS da oltre 600 gigabit al secondo.
XiongMai, infatti, è stata costretta a correre immediatamente ai ripari, ritirando i prodotti incriminati dal commercio e offrendo adeguate "contropartite" ai clienti divenuti protagonisti, loro malgrado, di uno dei peggiori attacchi DDoS dell'anno (e della storia dell'informatica). A questo si aggiunge l'ovvio danno di immagine, dal quale XiongMai riuscirà a riprendersi solo con fatica.
Manna per gli attacchi DDoS
Come se non bastasse, la massiccia diffusione dei dispositivi IoT cui si è assistito negli ultimi anni ha finito con l'attirare ancora di più le attenzioni degli hacker. Basta trovare una sola falla nel sistema di sicurezza di un prodotto – magari grazie a Shodan – per riuscire a bucare decine di migliaia di dispositivi in un solo colpo. In questo modo creare dal nulla delle botnet formate da 50 mila o 60 mila dispositivi-zombie è molto più semplice di quanto si possa pensare. Ciò ha inevitabili ripercussioni anche sugli attacchi DDoS: gli hacker hanno gioco facile nel procurarsi tutte le armi necessarie per realizzarne di sempre più potenti.
I consigli della Cloud Security Alliance
Nel report citato in precedenza, la CSA snocciola tredici consigli utili sia alle aziende produttrici sia agli utenti per elevare i livelli di sicurezza in ambito IoT. Quelli di maggior rilievo, ovviamente, riguardano le aziende.
- Nuovi firmware e aggiornamenti periodici. Per evitare che i dispositivi connessi siano troppo esposti a tentativi di attacco hacker, gli esperti di Cloud Security Alliance suggeriscono alle aziende di rilasciare firmware già in grado di offrire risposte adeguate ai pericoli e rischi potenziali che si corrono in Rete. Necessario, inoltre, che si preveda lo sviluppo di aggiornamenti periodici utili non solo ad aggiungere nuove funzionalità, ma anche a chiudere eventuali falle e migliorare le condizioni di sicurezza generali dei device
- Sicuri sin dalla produzione. La sicurezza e la protezione delle informazioni archiviate o trasmesse dai vari oggetti connessi non deve essere, poi, un elemento secondario in fase di progettazione e produzione. Sin dal loro rilascio, i vari elettrodomestici della smart home devono essere in grado di assicurare connessioni protette e crittografate, accesso solo con autenticazione e altre misure di sicurezza di questo tenore
- App al sicuro. Le applicazioni e i software che permettono di gestire i dispositivi IoT sono uno dei punti deboli dell'intero ecosistema connesso. Per questo CSA suggerisce di sviluppare e rilasciare applicazioni che siano il più possibile sicure e prive di vulnerabilità. Ciò consentirà di immettere sul mercato telecamere di sicurezza, termostati, auto e tutti gli altri device connessi dotati di adeguate misure di protezione dei dati personali
Poca trasparenza
Già. E i dati? Come si muovono le aziende e i produttori del mondo IoT per garantire che le informazioni personali ottenute grazie ai loro dispositivi siano protetti in maniera adeguata? Anche in questo caso, si rileva nel report CSA, la situazione non è delle migliori: poche le aziende che comunicano agli utenti quali saranno i dati archiviati nei loro server, come saranno gestiti e quali informazioni saranno condivise con terze parti e quali invece saranno secretati. Mancano, inoltre, comunicazioni relative alle modalità di cancellazione dei dati stessi: se un utente volesse avvalersi del diritto all'oblio, non conoscerebbe con esattezza quali sono i passi da fare e come dovrebbe muoversi. Insomma, anche in questo caso sono molti i miglioramenti che è possibile, e auspicabile, apportare.