IoT: la sicurezza dimenticata

Pubblicato il da grutigLascia un commento

Il recente caso del presentatore televisivo che si è ritrovato online i video privati delle proprie telecamere di sorveglianza è un campanello d’allarme di una realtà ben nota ai professionisti del settore, ma ancora largamente sottovalutata dal grande pubblico e, purtroppo, anche da molte aziende.

Il problema non riguarda solo le telecamere, ma l’intero mondo dell’IoT – l’acronimo di Internet of Things, ovvero l’universo di oggetti connessi a Internet – che presenta vulnerabilità significative e diffuse.

Alla radice c’è il modello di business: questi prodotti devono arrivare sul mercato nel minor tempo possibile (il cosiddetto time-to-market). Per questo, invece di sviluppare firmware sicuri, da zero, i produttori utilizzano e “abbelliscono” il firmware di riferimento fornito insieme al chipset – il cosiddetto SDK.

Se un chip è molto diffuso (come gli HiSilicon nelle telecamere di fascia economica o gli ESP32 nell’IoT consumer e DIY), decine di marchi diversi basano i propri dispositivi sullo stesso firmware. Risultato: migliaia di prodotti differenti condividono la stessa base software… e quindi le stesse vulnerabilità. Vulnerabilità che, in troppi casi, non vengono mai corrette, anche se note da anni.

A questo si aggiunge un altro problema strutturale: si tratta di dispositivi con risorse hardware minimali, quindi senza capacità di calcolo sufficiente per implementare sistemi di sicurezza robusti.

In Europa si sta tentando di correre ai ripari con iniziative come il Cyber Resilience Act, che imporrà ai produttori di garantire aggiornamenti di sicurezza per un certo numero di anni. Tuttavia, la disponibilità di un aggiornamento non equivale al suo effettivo utilizzo: serve comunque l’intervento dell’utente, che spesso non sa come procedere o non ne percepisce l’urgenza.

Parallelamente, la Direttiva RED (2014/53/EU) – pensata per garantire la conformità della componente radio – rischia di avere effetti collaterali indesiderati, come la limitazione nell’uso legittimo di firmware alternativi più sicuri.

Ma c’è un fattore ancora più critico: la cultura della sicurezza. E password deboli, banali, immutate per anni rappresentano solo la punta dell’iceberg.

Troppo spesso gli utenti (e, ahimè, anche i professionisti) vedono gli aggiornamenti come un fastidio, trascurando il fatto che sono un importante strumento di difesa. Non mi soffermo su questo annoso aspetto, ma lancio una provocazione: chi non si è mai lamentato del tempo perso per un aggiornamento del PC o dello smartphone?

Cosa fare, concretamente?

La soluzione non è certo rinunciare all’IoT, ma gestirlo come un punto di vulnerabilità:

  • non inserirlo mai nella stessa rete locale dei dispositivi principali, ma isolarlo in una VLAN separata;
  • limitare o bloccare del tutto le comunicazioni verso l’esterno (il “phone home” della quasi totalità dei gadget domestici), preferendo sempre un controller locale al posto del cloud, che non è la panacea di tutti i mali;
  • razionalizzare l’uso delle funzioni “smart”, valutando costi e benefici anche in termini di rischio;
  • prendere coscienza che alcuni dispositivi – come le serrature intelligenti – sono elementi ancora più critici delle telecamere.

Il rovescio della medaglia è che questo approccio richiede il supporto di personale realmente competente, nonché di hardware scelto con oculatezza, ma in gioco c’è la sicurezza delle nostre case, così come delle aziende.

L’IoT sicuramente rende la vita più comoda, certo, ma potrebbe fare lo stesso per dei malintenzionati che sappiano come sfruttarne le debolezze, che sono al momento strutturali.

Non dimentichiamolo.

Related posts:

  1. Disabilitare le condivisioni amministrative
  2. Porte seriali e virtualizzazione
  3. Voto & Internet
  4. Verso una realtà più a misura d’uomo

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *