APPROFONDIMENTO

Sicurezza ed IoT

Sicurezza ed IoT
 

Il 20 Settembre 2016 un attacco di inusuale portata ha colpito un sito specializzato in …Sicurezza (KrebsOnSecurity.com). L’attacco, di tipo “distributed Denial of Service” ha inondato il sito con un traffico di oltre 600 Gbps. Successive indagini, condotte da Akamai, hanno evidenziato che, a differenza di precedenti casi, l’attacco è partito da un numero estremamente alto (centinaia di migliaia) di dispositivi distribuiti geograficamente, con tecniche non particolarmente sofisticate e riconducibili a semplici query (flussi SYNC, GET, POST) verso il sito attaccato oppure a protocolli di comunicazione come il GRE (Generic Routing Encapsulation) di norma usati nelle comunicazioni peer to peer. Tutto questo suggerisce che nell’attacco siano stati impiegati dispositivi IoT come routers privati, fotocamere IP, DVR ed altri dispositivi connessi ad Internet con password deboli o cablate, di facile forzature tramite  programmi di browsing degli indirizzi IP. Un evento con caratteristiche similari, ancora allo studio,  ha messo fuori servizio per ore, ad Ottobre 2016, i server di Dyn, una società che fornisce il servizio di DNS  a svariati OTT,  bloccando l’accesso a gran parte dei siti dell’intera costa Est degli Stati Uniti ed un produttore cinese (HangZhou) ha richiamato dal mercato dei modelli di WEB CAM riconosciuti coinvolti. Un sito specializzato in IoT (www.shodan.io) a titolo dimostrativo ha raccolto immagini da WEB CAM private non protette, collezionando immagini di campi agricoli, uffici bancari, culle, giardini, scuole, campi di sci, piscine, laboratori, negozi al dettaglio, magazzini…
Questi recenti episodi paiono evidenziare una delle debolezza ancora irrisolte dell’IoT, associato alla Sicurezza. Il costo ridotto dei dispositivi, la loro produzione globale e spesso da parte di aziende non certificate,  e la conseguente scarsa cura sugli aspetti di sicurezza associati ad una ancora scarsa percezione da parte dei consumer sul valore della sicurezza amplificano il problema. Da oggetto di attacchi, il dispositivo può diventare un problema per la sicurezza della Rete a cui è connesso. La FTC (Federal Trade Commission) a Gennaio 2015 ha pubblicato una guida sulle “Security Best Practices for IoT manufacturers” ma con ridotti risultati, non avendo sul tema (ancora) potere sanzionatorio, mentre da parte di altri, per evitare eccessiva regolamentazione, si sta ipotizzando di dotare i dispositivi IoT con un “rating” di qualità come quello disponibile per categorizzare la sicurezza dei veicoli.  Il tema non ha probabilmente un’unica soluzione e potrebbe richiedere sia modalità di sicurezza by default, in particolare sulle password, sia tecniche di sicurezza nativa tramite l’impiego di Secure Elements e TPM (Trusted Protection Modules) per proteggere il firmware a partire dalla fase di produzione dell’oggetto, sia tecniche di cifratura e autenticazione nel dialogo con la Rete per i dispositivi IoT critici. Queste ultime funzionalità sono, nella architettura TIM, parte della piattaforma di Rete e possono essere coordinate ed esposte al mondo applicativo dalla piattaforma  di ICON (IoT Connectivity). Le principali funzionalità da indirizzare riguardano:

  • La presenza di Punti multipli di vulnerabilità, dal dispositivo, all’aggregatore alla rete, all’applicativo
  • La gestione sicura dell’accesso al dispositivo
  • Il tradeoff tra sicurezza (che richiede capacità computazionale) e l’efficienza energetica dei dispositivo
  • La gestione di patches ed aggiornamenti

La Release 2 di ONEM2M indirizza estensivamente le problematiche di sicurezza e definisce un completo framework per la sicurezza dei servizi IoT e delle connessioni. Con circa 25 Billion di devices IoT stimati nel 2020, difficile pensare che il tema della sicurezza non sarà al centro dell’attenzione nei prossimi anni.

 

Torna all'articolo