Internet delle cose: il problema della sicurezza

Verso la fine del 2011, un gruppo hacker cinese ha violato la network della Camera di Commercio statunitense attraverso una devastante catena di backdoor, ottenenendo l’accesso completo ai loro sistemi

Internte delle cose

Verso la fine del 2011, un gruppo hacker cinese ha violato la network della Camera di Commercio statunitense attraverso una devastante catena di backdoor, ottenenendo l’accesso completo ai loro sistemi e rubando così qualsiasi cosa – dalle e-mail ai documenti commerciali internazionali, fino agli appunti presi durante i meeting. Si tratta di un vero e proprio attacco in stile APT. L’unica ragione per cui sto menzionando questo attacco – tra molti altri simili – è che durante il processo che tentava di far luce sulla violazione, gli investigatori hanno trovato un termostato in un edificio nei pressi di Capitol Hill, in grado di comunicare con un indirizzo IP sperduto da qualche parte in Cina.

Internte delle cose

Se stai leggendo questo articolo, è probabile che tu possieda una di queste cose che si collegano a Internet – impensabile 5 anni fa. Questa è l’essenza di “Internet delle Cose”. Un tempo, Internet era solo quella tecnologia che collegava un computer e un server. Oggi, invece, la quantità degli oggetti capaci di collegarsi a Internet è tale, che non so più cosa possa essere considerato computer e cosa no. Praticamente tutto ha un indirizzo IP. Tutto si connette a Internet: auto, elettrodomestici, dispositivi medici, telefoni, videogiochi e console, occhiali (Google Glass) e ho persino sentito parlare di un boccale della birra che si collega a Facebook.

Ma spieghiamolo in un altro modo.  Pensiamo alla sicurezza di una rete come a un labirinto: quante più uscite e entrate ha il labirinto, tanto più facile sarà scappare. Allo stesso modo, quanti più dispositivi sono connessi ad una rete, maggiori saranno le opportunità  a disposizione dell’hacker per compromettere tale rete. I dispositivi rappresentano così la chiave d’accesso alla rete e – per estensione –  al computer.

Si tratta dell’incubo numero uno di tutti gli amministratori di sistema, scenario che può farsi molto serio dato che un numero sempre maggiore di aziende stanno abbracciando una politica BYOD – Bring Your Own Device. Permettere a orde di impiegati – con le loro disparate conoscenze in materia di tecnologia – di connettersi alla rete aziendale con ogni dispositivo possibile, non potrà far altro che portare terribili conseguenze, ne sono certo. Tuttavia, per molti è una minaccia intangibile, poco concreta.

Per quanto riguarda “Internet delle cose”, le minacce sono ben più palpabili. Gli esperti che disegnano i sistemi operativi e i software  – Apple, Google, Microsoft e tutti gli altri Giganti IT – tengono sempre in considerazione la sicurezza. Senza dubbio, stanno ricevendo numerose critiche per tutti gli exploit e le vulnerabilità che sono emerse ultimamente, ma nonostante ciò pensano alla sicurezza.

Invece, la persona che progetta il pannello di controllo industriale che regola le emissioni dei prodotti chimici della piscina del quartiere, dubito che tenga in considerazione  la sicurezza quando fa in modo che il dispositivo regolatore si connetta a Internet, permettendo all’operatore della piscina di regolare le emissioni in modalità remota. La stessa logica si può applicare a un lista infinita di dispositivi hackerabili: è stato dimostrato che il concetto di exploit si può applicare a “Internet delle cose” e si sono registrati casi di attacchi via wireless che hanno avuto come bersagli oggetti piccoli, come dispositivi medici (pacemaker e microinfusori di insulina), o oggetti grandi, come aerei di linea. Tutto, dalla televisione agli strumenti di misurazione intelligenti new age, è potenzialmente vulnerabile e nessuno sta sviluppando dei prodotti di sicurezza per questi oggetti. Molto spesso l’unico elemento che può interporsi tra il tuo computer e una infezione malware è una soluzione di sicurezza efficace. La maggior parte di questi nuovi apparecchi connessi a Internet non dispongono di nessuna protezione.

Purtroppo non si tratta di eccessivo allarmismo. Si veda per esempio quello che è successo con la botnet Carna, anche conosciuta come Internet Census of 2012. Un ricercatore non identificato riuscì a inserire dei codici benigni in 420.000 dispositivi embedded accedendovi online attraverso credenziali di default che non erano state cambiate dai rispettivi proprietari. In questo modo, è facile iniettare codici malware al loro interno.

Il punto della questione rispetto a tutti questi oggetti connessi a Internet è che ci sono di mezzo troppi ‘giocatori’ e troppi interessi: i dispositivi che vengono sviluppati sono svariati e spesso incompatibili e così anche gli agenti coinvolti. Questo rende difficile lo sviluppo di soluzioni di sicurezza. Per quanto riguarda gli Stati Uniti, un modo per proteggere questi oggetti potrebbe essere avviare a un piano normativo nazionale. Tuttavia, per via dell’impatto che potrebbe avere sulle grandi aziende, è quasi impossibile proporre una regolamentazione ed ancora più difficile fare in modo che passi, dato che la parola ‘regolamentare’ non è popolare tra i legislatori riluttanti di Washington D.C.

Un altro esempio è il seguente. La Food and Drug Administration e il centro Industrial Control System Computer Emergency Response Team (ISC-CERT) del Department of Homeland Security stanno collaborando per sensibilizzare le case produttrici di dispositivi medici intelligenti verso l’adozione di misure di sicurezza. Questa partnership risponde a una necessità precisa, in particolare in seguito al recente avvertimento di ISC-CERT, dopo che 400 dispositivi medici sono stati craccati con credenziali di login di default, facilmente desumibili online e capaci di dare accesso alle impostazioni e alla gestione dei dispositivi. Ma, a quanto pare, raccomandazioni, linee guida e avvertimenti sembrano servire ben poco. Per il momento, non possiamo fare altro che vivere nell’insicurezza. La cosa migliore è rimanere informati sulla questione e prestare sempre molta attenzione.

Consigli