L’industria IoT deve diventare sicura

Uno studio su dispositivi già connessi ha rivelato vulnerabilità e accesso a dati sensibili. Per Orange Business Services si tratta di agire adesso.

I dispositivi connessi via Internet raccolgono dati allo scopo di migliorare comodità ed efficienza, ma una parte di questi dati è molto sensibile: quanto sono al sicuro?
Secondo Bernardo Centrone, ad per l’Italia e Head of South Central Europe di Orange Business Services non un granché.
Perlomeno, non ancora.

La divisione Fortify di Hp, per esempio, ha recentemente testato un campione di soluzioni di Internet delle Cose in una serie di categorie molto comuni, tra cui: Tv, webcam, termostati, prese di corrente, serrature delle porte e centraline per il controllo della casa.

Ogni soluzione è stata messa in comunicazione con un servizio cloud e con applicazioni mobili. I test hanno identificato un totale di 250 vulnerabilità.
Il che significa che questa nuova industria di diventare più sicura.

Tra i device che forniscono interfaccia utente, sei su 10 erano a rischio per problemi come persistenti vulnerabilità di cross-site scripting e credenziali deboli; il 90% dei dispositivi raccoglieva informazioni personali e il 60% aveva un’interfaccia utente non sicura.

Lo studio ha anche rivelato che il 76% dei dispositivi utilizza servizi di rete non criptati, lasciando i dispositivi vulnerabili agli attacchi di tipo man-in-the-middle; l’80% non utilizza password “forti”.
Alcuni impiegano codici di accesso di default semplici come 1234 o 123456 sia per proteggere il dispositivo sia per controllarlo tramite applicazioni cloud o mobili; il 60% non protegge i download del firmware con la crittografia di trasporto o la protezione dei file, rendendo possibile agli hacker manomettere i programmi originali del dispositivo.

Un utente malintenzionato può utilizzare vulnerabilità come password deboli, meccanismi di recupero password non sicuri, credenziali scarsamente protette, per ottenere accesso a un dispositivo.
Il punto è che ogni soluzione connessa comunica con altri dispositivi nelle vicinanze, condivide informazioni con i servizi cloud, e condivide questi dati con altri servizi.

Ogni device siede sulla rete, inviando e ricevendo, e interagendo alla pari all’interno di questo oceano di dati in movimento.
Una soluzione vulnerabile all’interno di questa catena diventa un valido punto di attacco per attività criminali.

L’interesse a sfruttare le vulnerabilità dell’Internet delle Cose si sta già spostando dall’ambito accademico allo stato di minaccia reale: quest’anno sono già stati segnalati un numero significativo di attacchi contro router domestici e altri sistemi connessi, tra cui i Dvr.

Questi problemi di sicurezza si amplificano quando si prendono in considerazioni anche tecnologie indossabili come i dispositivi per la salute e il fitness.

Accedere a questi dati senza permesso non è solo una violazione della privacy, ma potrebbe anche essere incredibilmente redditizio.
Poiché le imprese raccolgono sempre più dati più personali da auto, case e altri sistemi connessi, la portata e il valore delle informazioni raccolte per le analisi di big data diventa immenso.

Sistemi già sotto attacco

L’anno scorso dei malintenzionatisono riusciti ad accedere ai sistemi Pos di un grande rivenditore statunitense e a rubare dati delle carte di credito dei clienti accedendo alla rete del distributore tramite un sistema Hvac non protetto collegato al condizionamento d’aria.
Secondo Qualys, la maggior parte dei circa 55.000 sistemi Hvac connessi a Internet nel corso degli ultimi due anni hanno difetti che possono essere facilmente sfruttati dagli hacker.

Con un mercato così grande in cui competere, cosa devono fare i fornitori di soluzioni IoT?
Un passo, secondo Centrone, potrebbe essere quello di accettare che il rischio esiste e implementare sistemi per la segnalazione e l’applicazione di patch contro le vulnerabilità via via che si scoprono.

È stata già redatta la lista Open Web Application Security Project dei primi 10 problemi di sicurezza che i dispositivi connessi attualmente si trovano ad affrontare.

Ma esistono implicazioni anche per gli utenti finali.
Se si sceglie di attivare questi dispositivi in casa è importante capire come proteggere la rete e come attivare correttamente la protezione presente su ciascuno di essi.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome