“Nell’acronimo IoT la lettera S si riferisce alla Sicurezza”: è forse una delle battute che più si fanno nel mondo della sicurezza informatica e rivela l’idea che il tema della sicurezza non è tenuto sufficientemente in considerazione nel settore dell’Internet delle Cose. Durante qualsiasi conferenza hacker si parla sempre di questi dispositivi smart che non sono così intelligenti e che sono stati hackerati nei modi più svariati. Ormai siamo così abituati a questa tendenza che ci si stupisce del contrario, ovvero quando su uno di questi dispositivi vengono adottate delle buone misure di sicurezza.
Di solito i ricercatori si concentrano sulle vulnerabilità di questi dispositivi e cercano di capire in che modo gli utenti potrebbero essere minacciati. Il rovescio della medaglia è che queste vulnerabilità possono essere pericolose anche per gli sviluppatori, perché possono portare a fughe di dati o a danni, malfunzionamento delle infrastrutture o addirittura che i dispositivi si rompano o diventino inutili.
Durante il Mobile World Congress di quest’anno, i nostri esperti dell’ICS CERT (Industrial Control Systems Cyber Emergency Response Team) hanno presentato un report riguardante gli arti artificiali “intelligenti” sviluppati dall’azienda Motorica.
Prima le buone notizie. Innanzitutto, i nostri esperti non hanno riscontrato vulnerabilità né all’interno del firmware, né all’interno delle protesi. In secondo luogo, nel sistema di Motorica,i dati si muovono in una sola direzione, dalla protesi passano su cloud; ciò vuol dire, per esempio, che non è possibile hackerare un arto intelligente rubato e prenderne il controllo in remoto.
Tuttavia, approfondendo lo studio sono stati individuati dei difetti importanti nello sviluppo della infrastruttura su cloud, che riguardano la raccolta e l’immagazzinamento dei dati ricevuti dagli arti protesici. Gli hacker potrebbero:
- Ottenere accesso ai dati di tutti gli account di sistema (utente e amministratore), compresi username e password non cifrati;
- Leggere, cancellare e modificare i dati telemetrici custoditi nel database, così come aggiungerne degli altri;
- Aggiungere nuovi account (anche da amministratore);
- Cancellare e modificare gli account esistenti (ad esempio, si può cancellare la password di amministratore);
- Lanciare un attacco DoS rivolto a un amministratore, per bloccare l’accesso al sistema.
Queste vulnerabilità potrebbero potenzialmente portare a fughe di dati degli utenti o danni al dispositivo. Inoltre, a causa dell’ultimo dei punti appena descritti, aumenterebbero in modo significativo i tempi di risposta a un attacco.
Ovviamente i nostri ricercatori hanno informato Motorica delle vulnerabilità riscontrate e sono già state risolte. Purtroppo, si tratta di una vittoria di una piccola battaglia, ma la guerra che abbiamo intrapreso con lo scopo di rendere più sicuro il mondo dell’Internet delle Cose è ancora lunga. Bisogna cambiare in tanti aspetti tra cui:
- Gli sviluppatori dovrebbero essere a conoscenza delle minacce più comuni e di come creare codici più sicuri. E parliamo di tutte le fasi di sviluppo: i nostri ricercatori dimostrano spesso che alcuni errori nella creazione di una parte del sistema possono portare a una reazione a catena di disastri;
- Le case produttrici dei dispositivi intelligenti dovrebbero proporre programmi di bug bounty, che sono molto efficaci per individuare vulnerabilità e risolverle;
- In un mondo ideale, i prodotti in fase di sviluppo dovrebbero essere sottoposti a valutazioni da parte di esperti in sicurezza informatica.