Combattere la Frankenbeast: come fermare i timori per la sicurezza che rallentano l’Internet delle cose

Il settore IT è sempre più entusiasta del potenziale dell’Internet of Things (IoT), ma dietro tale entusiasmo si nascondono pericoli nascosti, secondo un nuovo rapporto di HP.

HP non è l’unico a esprimere preoccupazioni: negli Stati Uniti la FTC sta esaminando più da vicino l’IoT e nel Regno Unito Ofcom sta studiando un framework per questa tecnologia in modo che possa evolversi in un modo a vantaggio dei consumatori.

Ciò che preoccupa HP è che, non appena l’industria IT risolve un problema di sicurezza, ne crea un altro.

Caratteristica speciale

Toccando M2M: l’Internet delle cose

L’aumento degli oggetti che si connettono a Internet, dalle automobili ai monitor cardiaci ai semafori, sta scatenando un’ondata di nuove possibilità per la raccolta dei dati, l’analisi predittiva e l’automazione IT. Discutiamo su come sfruttare queste soluzioni nascenti.

Per saperne di più

“Sembra che ogni volta che introduciamo un nuovo spazio nell’IT perdiamo 10 anni dalla nostra conoscenza collettiva della sicurezza”, ha affermato Daniel Miessler di HP in un recente articolo. Miessler è il leader del progetto OWASP Internet of Things Top 10 e dirige il team di ricerca di HP Fortify on Demand.

“Circa 10 anni fa abbiamo iniziato a parlare delle applicazioni come tecnologia all’orizzonte e abbiamo proceduto alla creazione di un portafoglio di applicazioni globale ignorando le lezioni di sicurezza apprese dal mondo della rete”, ha affermato.

“Poi, cinque anni fa, abbiamo deciso che il mobile era il vero posto dove stare. Così tutti hanno iniziato a creare app mobili ignorando tutto ciò che abbiamo imparato dalla protezione delle applicazioni web e thick client”.

La questione che lo preoccupa ora è: “Se continuassimo in questa tendenza avremmo un nuovo spazio che ignora le lezioni di sicurezza del mobile, ma in realtà è molto peggio di così.”

Quanto male? Bene, l’IoT non è solo un nuovo spazio insicuro, ha detto, “è una Frankenbeast della tecnologia che collega le tecnologie di rete, applicazioni, dispositivi mobili e cloud insieme in un unico ecosistema, e sfortunatamente sembra assumere le peggiori caratteristiche di sicurezza di ogni.”

In un recente rapporto sui problemi di sicurezza IoT, HP Fortify on Demand ha esaminato 10 dispositivi su più tipi di prodotto e ha scoperto che in media c’erano 20 vulnerabilità per sistema, tra TV, termostati, hub di automazione domestica e sistemi di allarme.

Per Miessler questo è stato un momento importante. Come ha detto, “Era come se tutto ciò che avevamo imparato negli ultimi 25 anni nella sicurezza fosse stato estratto dalla memoria”. Ha detto che durante i loro test, i ricercatori hanno visto le credenziali inviate tramite testo in chiaro e ogni comune vulnerabilità web e mobile “ti aspetteresti solo in un laboratorio di sicurezza web o mobile”.

“La protezione dell’IoT sarà la nostra più grande sfida come comunità di sicurezza delle informazioni”, ha affermato Miessler. “Questo è vero non solo perché stiamo ricominciando dal punto di partenza (come sembra che facciamo sempre), ma perché la superficie è – per definizione – molto più grande”.

In termini di aiuto pratico nell’affrontare questi problemi, Miessler ha indicato il lavoro dell’Open Web Application Security Project (OWASP) che l’anno scorso ha presentato un elenco di 10 questioni chiave relative all’IoT. Questi erano:

1. Interfacce web non sicure
2. Autorizzazione o autenticazione insufficienti
3. Servizi di rete non sicuri
4. Una mancanza di crittografia del trasporto
5. Preoccupazioni per la privacy
6. Interfacce cloud non sicure
7. Interfacce mobili non sicure
8. Indennità insufficiente per la configurazione dei sistemi di sicurezza
9. Software e firmware non sicuri
10. Scarsa sicurezza fisica

OWASP utilizza un semplice sistema di passaggi per rendere i sistemi più sicuri. Per prendere il primo problema, interfacce web non sicure, OWASP dice che prima dovresti guardare chiunque abbia accesso all’interfaccia web, all’interfaccia mobile o all’interfaccia cloud, inclusi gli utenti interni ed esterni.

È necessario essere consapevoli del fatto che gli aggressori utilizzano password deboli, meccanismi di recupero password non sicuri, credenziali scarsamente protette o mancanza di controllo di accesso granulare per accedere a una particolare interfaccia.

Niente di tutto questo è scienza missilistica ed è pratica comune quotidiana per i professionisti della sicurezza. Il problema per le organizzazioni è quanto di questo possono rendere pratica comune per tutti i loro utenti.

Dopo aver considerato tutte le possibili minacce esterne, il passo successivo sarebbe quello di esaminare i punti deboli interni: ad esempio, l’autenticazione di un’organizzazione potrebbe non essere sufficiente quando vengono utilizzate password deboli o sono scarsamente protette.

Come dice Miessler: “Allacciatevi, gente. Ci sono turbolenze in arrivo”.

Il rapporto completo di HP, intitolato Studio sulla sicurezza dell’Internet delle cose: rapporto sui sistemi di sicurezza domestica, può essere trovato qui.

Ulteriori letture:

Come l’IoT sta cambiando la sicurezza aziendale

FTC suggerisce le “best practice” dell’Internet of Things alle aziende

Internet of Things: i governi iniziano a dare un’occhiata più da vicino

Bilanciare i profitti e la privacy dei clienti durante la monetizzazione di big data e IoT

ARM acquista Offspark, una startup olandese che lavora su “SSL per le cose”

Dixons Carphone firma tre accordi, punta a Internet of Things