Sicurezza e Internet delle cose
Transcript
Sicurezza e Internet delle cose
Sicurezza e Internet delle cose UNA STERMINATA PRATERIA DI POSSIBILI ATTACCHI? Marco R. A. Bozzetti, OAI founder Internet delle Cose (IoT, Internet of Things) è il termine comunemente usato per indicare una rete di oggetti (o di loro parti) che grazie alle loro capacità elaborative e di connettività sono in grado di interoperare tra loro e con i sistemi informatici, abilitando nuove soluzioni e nuove integrazioni in moltissimi settori. Una chiara e universalmente accettata definizione di IoT non esiste, ma è significativo, a mio parere, l’elemento discriminante ‘Internet’. Da anni esistono sistemi ‘embedded’, ossia con ICT al loro interno, sistemi di controllo industriali (DCS, distributed control system), sistemi automatizzati, sistemi robotizzati. Ma erano tutte soluzioni proprietarie che comunicavano tra loro con protocolli proprietari ad hoc. Con Internet tutti questi sistemi hanno adottato la pila standard di protocolli Internet (TCP/IP), il che ha facilitato la comunicazione e l’interoperabilità tra loro e con altri sistemi informatici, ad esempio quelli dell’azienda/ente di appartenenza, delle pubbliche amministrazioni, dei fornitori, ecc. L’anno di riferimento 86 aprile 2015 considerato dalla maggior parte degli esperti per questo cambio è il 2000. Secondo Cisco fin dal 20072008 a livello mondiale il numero di oggetti connessi ha superato il numero delle persone connesse ad Internet, e prevede che nel 2015 il numero di oggetti connessi sarà di 25 miliardi, rispetto ai 3,47 miliardi di persone conne, e nel 2020 di 50 miliardi di cose e 6,58 miliardi di persone. Altri studi, tra cui quello di Gartner Group, riducono le previsioni da 50 a 26-30 miliardi, ma il trend è chiaramente questo. Ma dove e come sono questi oggetti? Sono dappertutto nella nostra vita quotidiana, lavorativa e non. Sono nella domotica, negli elettrodomestici, nei controlli dei mezzi di trasporto, nei giochi, nei sistemi di pagamento mobili con una molteplicità di dispositivi, nella logistica avanzata, nei magazzini sempre più robotizzati, nell’automazione industriale e nei controlli delle infrastrutture critiche, in sanità, nei contatori smart delle utility, nelle smart city, nella stampa 3D, nella telemetria, nelle armi intelligenti e così via. Come sono realizzati? Con le tecniche e le modalità più diverse e spesso più avanzate, ma sempre facenti riferimento alla pila dei protocolli Internet: circuiti integrati sviluppati ad hoc (ad esempio Asic, application specific integrated circuit) o comuni CPU ‘general purpose’, sistemi operativi tradizionali o per ambienti mobili, SOA e web services per l’interoperabilità applicativa, tecniche Rfid, NFC e codici QR, protocolli standard Internet per LAN, Wlan e WAN, protocolli specifici per reti personali (PAN, personal area network) quali IETF 6LoWPAN, RPL, CoAP. Questi elenchi non sono esaustivi ma servono a dare un’idea dell’ampiezza del fenomeno. Quale sicurezza? Un sistema IoT ha tutti i tipici problemi di sicurezza ICT, ma in più si deve considerare il problema della sua autenticazione (è un oggetto con software, non una persona capace di interagire con il dispositivo, immettendo userid e password) e il fatto che, in molti casi, gli oggetti non sono presidiati e/o presidiabili. In molti casi gli oggetti IoT sono destinati al mercato consumer, e quindi con prezzi bassi, che spesso celano una minor qualità del prodotto. Inoltre sono sovente non presidiaticustoditi, e con accesso fisico difficile tale da impedire o scoraggiare aggiornamenti e riparazioni in loco. Tali sistemi richiederebbero un efficace monitoraggio e controllo da remoto, spesso disatteso per motivi di costo. Nelle moderne soluzioni la raccolta di dati dagli oggetti avviene poi su storage in cloud, aprendo così il fronte della sicurezza in questi ambienti, e richiedono una interoperabilità sempre maggiore con i sistemi informatici. Da un mondo chiuso e limitato pre anno 2000, si è ora in un mondo aperto e interattivo, ma anche più complesso. Per la sicurezza IoT non si dovrebbero considerare solo le caratteristiche dell’oggetto e della sua sicurezza intrinseca, ma anche tutti gli altri aspetti che includono il cloud, le applicazioni mobili (molti oggetti sono basati su OS mobili), le interfacce di rete, il software (è programmato in modo sicuro?), l’uso delle porte USB, la crittografia, le modalità di autenticazione. Il rapporto HP 2014 su IoT indica che il 70% degli oggetti ha attualmente gravi vulnerabilità, e che l’80% ha password troppo deboli. Tale report si basa sulla recente analisi Owasp sui 10 più usati dispositivi nel mondo IoT, che ha individuato una media di 25 vulnerabilità per oggetto, che includono privacy, autorizzazioni deboli, mancanza crittografia nelle comunicazioni, interfacce web insicure, software insicuro, insufficiente sicurezza fisica dei dispositivi. Un problema sottovalutato a tutti i livelli Il problema dell’autenticazione di un dispositivo IoT è tipico, diffuso e grave. In molti casi l’autenticazione è data solo dall’indirizzo IP o dal MAC della scheda di rete (o unità che ne fa le veci), o addirittura non è considerata. Oppure, più sovente, è realizzata con banali identificativi d’utente, quali admin, iot, bob, ecc., e altrettanto troppo deboli password, nel tempo mai cambiate; il tutto poi scambiato in rete in maniera non crittata. Facile carpire identificativi e password, o con una serie di tentativi (deep crack) o intercettando la trasmissione in chiaro. Sarebbe necessaria un’autenticazione con una certificato digitale, ma questo farebbe aumentare complessità e costi realizzativi. Oltre alle varie vulnerabilità, la progettazione e la realizzazione del dispositivo IoT sono determinanti per la sicurezza ICT complessiva, insieme agli aspetti organizzativi ad essa correlati. Chi, ad esempio, gestisce la sicurezza degli IoT e come? Dipende dai casi e dagli ambiti di utilizzo, ma sovente è un controllo limitato, non sotto la responsabilità del CISO o del CSO e delle relative policy aziendali. E da qui derivano la mancanza o il non utilizzo delle procedure organizzative, l’insufficiente o il completo non utilizzo degli standard e delle best practice, la mancanza di sistematici controlli e monitoraggi, la mancanza dell’analisi dei rischi, il non efficace controllo dei fornitori, in particolare per terziarizzazioni e cloud. Quali attacchi? Il primo clamoroso attacco reso pubblico fu StuxNet sui sistemi Scada per il controllo delle centrali nucleari, trattato in questa rubrica nel 2010. Sempre in questa rubrica fu considerato il tema degli attacchi agli embedded system, soprattutto in ambito automobili e sanità. Ma alla data questi attacchi erano prevalentemente dimostrativi e da laboratorio. L’enorme crescita del fenomeno IoT li ha resi molto più probabili e concreti. Nel 2014 anche in Italia sono stati rilevati attacchi, ampiamente ripresi dalla stampa, con ‘thingbot’ in elettrodomestici quali TV e frigoriferi ‘intelligenti’ e su droni controllati da software con codici maligni. Ma questo è solo l’inizio, e tutte le previsioni a livello mondiale per il 2015 indicano l’IoT come una delle aree più critiche ed attaccabili. Con Expo 2015 alle porte e l’Italia al centro dell’interesse mondiale, un motivo in più per aumentare l’attenzione alla sicurezza informatica non solo al lavoro. Marco R. A. Bozzetti, OAI founder [email protected] aprile 2015 87