martedì 14 febbraio 2017

IoT: l'Internet degli oggetti

Oggi parliamo di IoT: l'internet degli oggetti, o meglio una serie (sempre crescente) di oggetti che si connettono in Internet per fornire funzionalità finora sconosciute o impossibili nel loro campo.

IoT e IT Security


Che rapporti intercorrono fra l'IoT e l'IT Security? Certamente, in quanto oggetti connessi in Internet, valgono tutte le considerazioni fatte per qualsiasi "host" che sia pubblicamente raggiungibile. Con qualche "piccola" osservazione ulteriore:

  • a differenza dei computer (e dei telefonini), un oggetto IoT (allo stato dell'arte) non prevede aggiornamenti software: ciò significa che, se ci sono vulnerabilità nel progetto originale, tali resteranno esposte in Internet finché l'oggetto sarà attivo

  • come è stato dimostrato da recenti fatti di cronaca, tali oggetti espongono spesso accessi "protetti" da password standard di fabbrica: non è difficile per chi voglia comprometterli procurarsi tali password e prendere possesso degli oggetti

  • molto spesso le comunicazioni "lecite" fra un oggetto e un device del suo proprietario (esempio: una app sul telefonino che controlla la centralina termica di casa) avvengono in maniera trasparente, senza nessuna protezione dei dati in transito, e senza alcuna autenticazione forte della controparte

Modifiche di progetto necessarie per la Sicurezze in rete


Alla luce di quanto esposto (e purtroppo di quanto si riscontra nella realtà), almeno le seguenti modifiche si rendono necessarie per assicurare un buon funzionamento degli oggetti IoT connessi in Internet:

  • prevedere meccanismi di aggiornamento periodico del software, analogamente a quanto avviene sui PC e sugli smartphone

  • eliminare ogni porta di accesso tipo "backdoor" o comunque "protetta" da password standard di fabbrica

  • proteggere e criptare le comunicazioni fra l'oggetto e i device con cui è messo in contatto (app per il controllo, eventuali server, altri oggetti simili, ecc.)

  • autenticare ogni accesso con meccanismi sicuri (certificati digitali, encryption)

Queste modifiche dovrebbero essere indotte anche da normative nazionali e internazionali sulla sicurezza degli oggetti in rete e sulla responsabilità dei relativi proprietari e fornitori in caso di problemi rilevanti causati dal malfunzionamento di tali oggetti.

Riferimenti:

Osservatorio IoT

Pagina Wikipedia

Possibili scenari (EN)

The 10 biggest security incidents of 2016 (EN)

Altro? Cerca con Google!

Etichette: , ,