Sicurezza e Internet delle cose

Sicurezza e Internet
delle cose
UNA STERMINATA PRATERIA
DI POSSIBILI ATTACCHI?
Marco R. A. Bozzetti,
OAI founder
Internet delle Cose (IoT, Internet of
Things) è il termine comunemente
usato per indicare una rete di
oggetti (o di loro parti) che grazie
alle loro capacità elaborative e
di connettività sono in grado
di interoperare tra loro e con i
sistemi informatici, abilitando nuove
soluzioni e nuove integrazioni in
moltissimi settori. Una chiara e
universalmente accettata definizione
di IoT non esiste, ma è significativo, a
mio parere, l’elemento discriminante
‘Internet’. Da anni esistono sistemi
‘embedded’, ossia con ICT al
loro interno, sistemi di controllo
industriali (DCS, distributed control
system), sistemi automatizzati, sistemi
robotizzati. Ma erano tutte soluzioni
proprietarie che comunicavano tra
loro con protocolli proprietari ad
hoc. Con Internet tutti questi sistemi
hanno adottato la pila standard di
protocolli Internet (TCP/IP), il che
ha facilitato la comunicazione e
l’interoperabilità tra loro e con altri
sistemi informatici, ad esempio quelli
dell’azienda/ente di appartenenza,
delle pubbliche amministrazioni, dei
fornitori, ecc. L’anno di riferimento
86
aprile 2015
considerato dalla maggior parte
degli esperti per questo cambio è il
2000. Secondo Cisco fin dal 20072008 a livello mondiale il numero
di oggetti connessi ha superato il
numero delle persone connesse ad
Internet, e prevede che nel 2015 il
numero di oggetti connessi sarà di
25 miliardi, rispetto ai 3,47 miliardi
di persone conne, e nel 2020 di 50
miliardi di cose e 6,58 miliardi di
persone. Altri studi, tra cui quello
di Gartner Group, riducono le
previsioni da 50 a 26-30 miliardi, ma
il trend è chiaramente questo.
Ma dove e come sono questi
oggetti?
Sono dappertutto nella nostra
vita quotidiana, lavorativa e
non. Sono nella domotica, negli
elettrodomestici, nei controlli dei
mezzi di trasporto, nei giochi, nei
sistemi di pagamento mobili con
una molteplicità di dispositivi,
nella logistica avanzata, nei
magazzini sempre più robotizzati,
nell’automazione industriale e nei
controlli delle infrastrutture critiche,
in sanità, nei contatori smart delle
utility, nelle smart city, nella stampa
3D, nella telemetria, nelle armi
intelligenti e così via.
Come sono realizzati? Con
le tecniche e le modalità più
diverse e spesso più avanzate, ma
sempre facenti riferimento alla
pila dei protocolli Internet: circuiti
integrati sviluppati ad hoc (ad
esempio Asic, application specific
integrated circuit) o comuni
CPU ‘general purpose’, sistemi
operativi tradizionali o per ambienti
mobili, SOA e web services per
l’interoperabilità applicativa, tecniche
Rfid, NFC e codici QR, protocolli
standard Internet per LAN, Wlan
e WAN, protocolli specifici per
reti personali (PAN, personal area
network) quali IETF 6LoWPAN, RPL,
CoAP.
Questi elenchi non sono esaustivi
ma servono a dare un’idea
dell’ampiezza del fenomeno.
Quale sicurezza?
Un sistema IoT ha tutti i tipici
problemi di sicurezza ICT, ma in
più si deve considerare il problema
della sua autenticazione (è un
oggetto con software, non una
persona capace di interagire con
il dispositivo, immettendo userid e password) e il fatto che, in
molti casi, gli oggetti non sono
presidiati e/o presidiabili. In molti
casi gli oggetti IoT sono destinati
al mercato consumer, e quindi con
prezzi bassi, che spesso celano
una minor qualità del prodotto.
Inoltre sono sovente non presidiaticustoditi, e con accesso fisico difficile
tale da impedire o scoraggiare
aggiornamenti e riparazioni in loco.
Tali sistemi richiederebbero un
efficace monitoraggio e controllo da
remoto, spesso disatteso per motivi
di costo. Nelle moderne soluzioni la
raccolta di dati dagli oggetti avviene
poi su storage in cloud, aprendo
così il fronte della sicurezza in
questi ambienti, e richiedono una
interoperabilità sempre maggiore
con i sistemi informatici.
Da un mondo chiuso e limitato pre
anno 2000, si è ora in un mondo
aperto e interattivo, ma anche più
complesso.
Per la sicurezza IoT non si
dovrebbero considerare solo le
caratteristiche dell’oggetto e della
sua sicurezza intrinseca, ma anche
tutti gli altri aspetti che includono il
cloud, le applicazioni mobili (molti
oggetti sono basati su OS mobili),
le interfacce di rete, il software (è
programmato in modo sicuro?), l’uso
delle porte USB, la crittografia, le
modalità di autenticazione.
Il rapporto HP 2014 su IoT
indica che il 70% degli oggetti ha
attualmente gravi vulnerabilità, e
che l’80% ha password troppo
deboli. Tale report si basa sulla
recente analisi Owasp sui 10 più
usati dispositivi nel mondo IoT,
che ha individuato una media di
25 vulnerabilità per oggetto, che
includono privacy, autorizzazioni
deboli, mancanza crittografia
nelle comunicazioni, interfacce
web insicure, software insicuro,
insufficiente sicurezza fisica dei
dispositivi.
Un problema sottovalutato a
tutti i livelli
Il problema dell’autenticazione di
un dispositivo IoT è tipico, diffuso e
grave. In molti casi l’autenticazione
è data solo dall’indirizzo IP o dal
MAC della scheda di rete (o unità
che ne fa le veci), o addirittura
non è considerata. Oppure, più
sovente, è realizzata con banali
identificativi d’utente, quali admin,
iot, bob, ecc., e altrettanto troppo
deboli password, nel tempo mai
cambiate; il tutto poi scambiato in
rete in maniera non crittata. Facile
carpire identificativi e password,
o con una serie di tentativi
(deep crack) o intercettando la
trasmissione in chiaro. Sarebbe
necessaria un’autenticazione con
una certificato digitale, ma questo
farebbe aumentare complessità e
costi realizzativi.
Oltre alle varie vulnerabilità, la
progettazione e la realizzazione del
dispositivo IoT sono determinanti
per la sicurezza ICT complessiva,
insieme agli aspetti organizzativi
ad essa correlati. Chi, ad esempio,
gestisce la sicurezza degli IoT e
come? Dipende dai casi e dagli
ambiti di utilizzo, ma sovente è
un controllo limitato, non sotto la
responsabilità del CISO o del CSO
e delle relative policy aziendali.
E da qui derivano la mancanza
o il non utilizzo delle procedure
organizzative, l’insufficiente o il
completo non utilizzo degli standard
e delle best practice, la mancanza di
sistematici controlli e monitoraggi,
la mancanza dell’analisi dei rischi, il
non efficace controllo dei fornitori,
in particolare per terziarizzazioni e
cloud.
Quali attacchi?
Il primo clamoroso attacco reso
pubblico fu StuxNet sui sistemi
Scada per il controllo delle centrali
nucleari, trattato in questa rubrica
nel 2010. Sempre in questa rubrica
fu considerato il tema degli attacchi
agli embedded system, soprattutto
in ambito automobili e sanità. Ma
alla data questi attacchi erano
prevalentemente dimostrativi e da
laboratorio. L’enorme crescita del
fenomeno IoT li ha resi molto più
probabili e concreti. Nel 2014 anche
in Italia sono stati rilevati attacchi,
ampiamente ripresi dalla stampa, con
‘thingbot’ in elettrodomestici quali
TV e frigoriferi ‘intelligenti’ e su droni
controllati da software con codici
maligni.
Ma questo è solo l’inizio, e tutte
le previsioni a livello mondiale per
il 2015 indicano l’IoT come una
delle aree più critiche ed attaccabili.
Con Expo 2015 alle porte e l’Italia
al centro dell’interesse mondiale,
un motivo in più per aumentare
l’attenzione alla sicurezza informatica
non solo al lavoro.
Marco R. A. Bozzetti, OAI founder
[email protected]
aprile 2015
87