di Eddy Willems, Security Evangelist, G DATA
Smartwatch, frigoriferi connessi a Internet, automobili “connected” – secondo l’osservatorio IoT della School of Management del Politecnico di Milano sono 8 milioni gli oggetti interconnessi in Italia (+33% rispetto al 2013) e il loro valore di mercato tocca 1,15 miliardi di euro (+28% rispetto al 2013). A livello internazionale gli analisti pronosticano una crescita esponenziale del settore che si prevede totalizzare entro il 2019 un volume di 1,7 trilioni di Dollari. Per quanto tecnologicamente stimolante, G DATA ritiene questo sviluppo allarmante: i recenti avvenimenti nel settore automotive e dell’elettronica di consumo dimostrano che molte aziende si sono avventurate nell’IoT troppo avventatamente, senza prendere in considerazione la sicurezza. E’ ora di occuparsi del sottile equilibrio tra usabilità e sicurezza.
Sono passati appena 20 anni dalla prima volta in cui, durante una presentazione, ho mostrato una slide che affrontava la tematica dell’invio di spam attraverso un frigorifero. La maggior parte dei presenti lo trovò ridicolo. Lo scorso anno, però, tutto questo si è trasformato in realtà. I frigoriferi, nel frattempo, sono diventati “smart” e possono fare molto di più che semplicemente refrigerare.
Grazie all’Internet delle cose (in inglese: Internet of Things, abbreviato: IoT) ogni oggetto possiede un indirizzo IP e può comunicare con quasi tutto e tutti. I vantaggi e le possibilità sono pressoché illimitate. Ma queste evoluzioni in campo tecnologico non possono anche cagionare seri problemi? Smart TV, console per i videogiochi, tablet, smartphone e auto – tutti possono essere intercettati. Le fotocamere di computer portatili, smartphone o smart TV possono filmarci senza il nostro consenso. Samsung ha modificato la regolamentazione inerente la tutela della privacy, per tranquillizzare il consumatore riguardo i comandi vocali della sua smart TV. BMW ha rilasciato sul mercato un aggiornamento del software del sistema ConnectedDrive per impedire agli hacker di aprire gli sportelli dei veicoli, operazione altrimenti molto semplice per loro. Sono stati coinvolti 2,2 milioni di veicoli. Questi sono i primi segnali che dimostrano che ci siamo tuffati troppo avventatamente nella novità, senza pensare prima a quelle che sarebbero potute essere le possibili conseguenze.
L’internet delle cose è davvero sicuro?
Indubbiamente il fascino delle nuove tecnologie ha fatto irruzione nella nostra quotidianità, ben prima che si disponesse di una risposta adeguata a questa domanda. Basti solo pensare al boom degli smartwatch, al di là del disturbo che può arrecare una semplice vibrazione di avviso di chiamata in un momento inopportuno, questi device permettono di leggere e-mail, cercare contatti in rubrica, visualizzare gli appuntamenti nel calendario e, con la tecnologia contactless, anche pagare il caffè. Ma la cosa più importante è che lo smartwatch conta i tuoi passi, misura la tua frequenza cardiaca e valuta addirittura il ritmo del tuo sonno. Tutti questi dati vengono inoltrati a un server nel cloud. La maggior parte dei dispositivi intelligenti, dunque, raccoglie in modi diversi molte informazioni personali.
A cosa servono questi dati? Il rischio che queste informazioni sullo stile di vita vengano impiegate per bombardare gli utenti di pubblicità mirata è molto elevato. Molto spesso, dando l’autorizzazione al trattamento dei dati, che nessuno legge mai veramente, si esprime il proprio consenso a tale utilizzo. Proprio qui risiede il conflitto tra i Big Data e la correttezza etica della loro lavorazione. In che modo il produttore rispetta la privacy degli utenti?
Internet of Things
Un altro punto di attenzione è la protezione dei dati: nell’ambito dell’IoT non vengono quasi mai utilizzate password sicure, né è possibile integrare una seconda istanza di identificazione, sebbene sia permessa la gestione remota dei device e la visualizzazione dei dati che contengono tramite Internet. Forse non dovremmo addossare ai produttori di questi dispositivi tutta la colpa, poiché loro si interessano soprattutto delle funzioni e dell’usabilità degli apparecchi e sono meno consapevoli dei temi inerenti la sicurezza rispetto a chi lavora da tanti anni nel settore, come me. Nel frattempo però è ormai chiaro che questo squilibrio va corretto.
Problematiche molto serie
Un’analisi condotta da HP ha mostrato serie falle di sicurezza molti dispositivi intelligenti. Ulteriori test hanno dimostrato chiaramente che i sistemi di aggiornamento del software di alcuni di questi dispositivi presenta gravi carenze. Il processo di autenticazione sul server da cui scaricare tali software è alquanto debole e in alcuni casi risultava persino possibile modificare il software presente nel server.
Un sogno ad occhi aperti per i cybercriminali che, anche solo leggendo questo resoconto, sanno benissimo come ricattare gli utenti, minacciandoli ad esempio di appiccare un incendio nella loro abitazione “smart” portando all’ebollizione il riscaldamento, una volta manomesso il software del termostato.
Grazie ad alcune ricerche è stato inoltre dimostrato che è molto facile attaccare con “forza bruta” le interfacce cloud della maggior parte dei sistemi. Con questi mezzi i criminali possono spacciarsi per utenti legittimi e scoprire se siete a casa o meno. Accedere alla vostra videocamera di sorveglianza rappresenta un comodo extra per gli intrusi.
Un ulteriore problema è la carente cifratura dei dati che vengono trasmessi trai dispositivi intelligenti. In questo modo le password e i dati personali vengono servite su un piatto d’argento a hacker con strumenti e know-how necessari. Ciò implica altresì che anche le informazioni business possono essere facilmente intercettate. E’ sufficiente leggere le e-mail di lavoro sul vostro smartwatch.
Non si parte da zero
Dar luogo ad una stretta cooperazione con il settore della sicurezza è il mio primo consiglio ai produttori di dispositivi intelligenti. Porre rimedio ad alcune delle debolezze di cui sopra non è complicato, i produttori di sicurezza dispongono di una grande esperienza in materia: non si parte da zero. Nel contempo però, anche gli utenti devono prestare maggiore attenzione ai potenziali rischi per la sicurezza quando acquistano questi dispositivi. L’uso di password più forti è comunque uno dei presupposti fondamentali per l’impiego sicuro di tali device. In ambito aziendale invece sarebbe sensato installare filtri tra i dispositivi IoT e la rete aziendale.
Una cosa che fortunatamente frena ancora gli sviluppatori di malware è l’assenza di un sistema operativo standard per i dispositivi intelligenti (per quale sistema operativo dovrebbero decidersi?), il risvolto della medaglia però è che non esiste ancora un software di sicurezza per la maggior parte di essi.
L’internet delle cose ha portato con sé tanti elementi positivi di cui non possiamo più fare a meno, considerate le innumerevoli facilitazioni introdotte. Bisogna però intraprendere importanti misure di sicurezza prima che si possa consigliare a cuor leggero un uso illimitato di tali dispositivi.
