Lo avevamo visto anche in un nostro precedente approfondimento: quello dell’Internet delle Cose è un mercato ancora immaturo nel quale abbondano device progettati con standard di sicurezza inefficaci e facilmente aggirabili dagli esperti. Le ingenuità dei vendor sono molteplici e vanno, per ricordarne solo alcune, dall’utilizzo di connessioni non protette da crittografia per il rilascio di nuovi aggiornamenti (il che lascia la porta aperta alle classiche azione del “man in the middle”, coloro che si inseriscono nel canale di comunicazione e possono anche “ritoccare” i file di aggiornamento inserendo backdoor e quant’altro) fino ai sistemi di autenticazione che permettono l’impiego di password deboli senza avvisare l’utente (123456 e simili).
Lo scorso ottobre 2016 un attacco DDoS record, si ipotizza un flusso dati compreso tra i 700Gbps ed 1.2Tbps, colpì il provider statunitense DYN causando numerosi disagi alla navigazione degli utenti e rendendo irraggiungibili noti siti quali Amazon, Twitter, Reddit etc. Come è stato accertato successivamente dagli esperti, l’attacco fu possibile anche grazie alla “partecipazione” di centinaia di migliaia di telecamere di sorveglianza che, dopo esser state bucate dal malware Mirai, iniziarono ad inviare dati al provider DNS DYN saturandone rapidamente le risorse.
La questione della sicurezza dei dispositivi intelligenti, categoria nella quale rientrano tutte le apparecchiature in grado di connettersi ad Internet per fornire funzionalità aggiuntive (es: controllo da remoto etc.), sebbene sia tutt’altro che marginale nel dibattito IT, ad oggi ha compiuto ben pochi passi in avanti. E gli unici soggetti in grado di imprimere una svolta, produttori e governi, non hanno dedicato ancora la dovuta attenzione al problema.
Decisione dall’alto
La proposta di legge avanzata da un gruppo bipartisan di senatori statunitensi rappresenta finalmente un primo e concreto passo avanti: i “piani alti” non solo sembrano aver preso coscienza del grave problema dei device IoT ma hanno anche iniziato a muoversi per scongiurare scenari difficilmente gestibili – come i miliardi di apparrecchi connessi previsti entro il 2020 e potenzialmente pronti ad essere hackerati.
Ma cosa prevede esattamente la legge? In sintesi l’obbligo per i vendor che forniscono device al governo statunitense di costruire prodotti che siano aggiornabili e conformi agli attuali standard di sicurezza. Dispositivi con vulnerabilità note o sistemi di protezione inadeguati (es: impossibilità di cambiare password) saranno banditi in modo permanente dall’amministrazione causando gravi perdite agli utili dei vendor – oltre che danni d’immagine incalcolabili. Non vengono poi dimenticati coloro che si occupano di individuare vulnerabilità nei device IoT (per lavoro ed in buona fede), i ricercatori di sicurezza, e dei quali si è voluto tutelare l’operato con alcune normative ad hoc.
“Nonostante sia entusiasta dell’innovazione e dell’incremento di produttività che i device IoT apporteranno, mi preoccupa da diverso tempo il fatto che molti dispositivi connessi ad Internet siano venduti senza appropriate misure di sicurezza e protezioni. Questa normativa stabilirà esaustive, ma flessibili, linee guida per l’acquisto di dispositivi connessi [da parte del Governo Federale].
La mia speranza è che questa normativa ponga rimedio alle evidenti mancanze del mercato [IoT] ed incoraggi [i vendor a competere anche per quanto riguarda le misure di sicurezza]” ha dichiarato il senatore democratico Mark Warner.
Definire le priorità: la sicurezza è una di queste
L’impiego di device IoT nel settore pubblico statunitense è ancora in fase embrionale ma l’esercito e le forze dell’ordine sono tra i più importanti clienti dell’industria: negli ultimi sei anni il budget destinato a strumentazione e/o servizi IoT è infatti triplicato. Come sottolineato da un analista, l’influenza che il settore pubblico può avere sui vendor e sull’industria IoT in generale è enorme ed andrebbe sfruttata a dovere per risolvere le problematiche di sicurezza più spinose:
“Grazie al loro potere d’acquisto, i governi possono guidare l’attenzione verso/ ed accelerare l’adozione di / tecnologie IoT ed altre soluzioni. Nel complesso i governi rappresentano un enorme mercato globale. […] Le loro priorità, quel che decideranno di acquistare e quali problemi [sottoporranno all’attenzione dei produttori] guideranno le roadmap della tecnologia IoT e dei solution provider.
Le commesse militari, ad esempio, hanno accelerato lo sviluppo tecnologico e l’adozione di droni, wearable (es: smartwatch), sensori (es: bio sensori), ed altre tecnologie di communicazione IoT]” ha affermato Maciej Kranz (Cisco Corporate Technology Group vice president).
Fonte: 1