Internet of Things: prodotti utili, ma con problemi di sicurezza

La diffusione dell'Internet of Things o IoT, cioè di quei prodotti che sono connessi al web e che permettono di monitorare e registrare differenti tipologie di dati e informazioni, sta conoscendo una diffusione sempre più elevata. Siamo soliti dire che viviamo in un mondo sempre più connesso e questo è legato anche alla presenza di un numero sempre più elevato di prodotti dell'Internet of Things a disposizione dei consumatori.

La proliferazione di prodotti di questo tipo ha semplificato l'installazione di alcune tipologie di soluzioni domestiche, quali ad esempio i sistemi di videosorveglianza, riducendone in modo considerevole anche i costi di implementazione. Questo si è tuttavia accompagnato ad una crescente complessità in termini di sicurezza di funzionamento, caratteristica che con i modelli pre-IOT non ha mai rappresentato un limite evidente.

Una ricerca condotta da HP, basata sull'utilizzo di Hp Fortify On Demand su 10 sistemi di sicurezza per la casa di tipo IoT, ha evidenziato come tutti i prodotti monitorati abbiano un qualche problema legato alla sicurezza. Nessuno richiede l'utilizzo di una password complessa, e tutti hanno limiti di sicurezza inadeguata nell'autenticazione a due fattori. In dettaglio questo è quanto ha evidenziato HP nel corso dell'analisi:

• Autorizzazione insufficiente: tutti i sistemi che includono interfacce web personalizzate basate su cloud e mobile non richiedono una password con livello di complessità e lunghezza sufficienti. La maggior parte richiede una password alfanumerica di sei caratteri. Nessuno dei sistemi è in grado di bloccare gli account dopo un determinato numero di tentativi non riusciti.
• Interfacce non sicure: tutte le interfacce web basate su cloud testate presentavano problemi di sicurezza che permettono a un potenziale aggressore di ottenere accesso all'account mediante una tecnica di harvesting degli account che sfrutta tre carenze applicative, ovvero enumerazione degli account, policy di password inefficaci e mancanza di funzionalità di blocco degli account. Analogamente, cinque dei dieci sistemi testati presentavano problemi di harvesting degli account riguardanti l'interfaccia dell'applicazione mobile, che espone i consumatori a rischi analoghi.
• Problemi di privacy: tutti i sistemi raccolgono alcune informazioni personali, quali nome, indirizzo, data di nascita, numero di telefono e persino numero di carta di credito. L'esposizione di tali informazioni personali è preoccupante, dati i problemi di harvesting degli account rilevati in tutti i sistemi. Occorre inoltre sottolineare che l'uso del video costituisce una caratteristica essenziale di molti sistemi di sicurezza per la casa, con possibilità di visualizzazione tramite applicazioni mobile e interfacce web basate su cloud. La privacy delle immagini video dell'interno della casa costituisce un'ulteriore fonte di preoccupazione.
• Mancanza di crittografia delle trasmissioni: anche se tutti i sistemi implementano la crittografia del traffico, ad esempio SSL/TLS, molte connessioni al cloud restano vulnerabili agli attacchi (ad esempio, gli attacchi POODLE). Una crittografia delle trasmissioni correttamente configurata è importante soprattutto perché la sicurezza costituisce la funzione principale di questi sistemi.

Le stime Gartner prevedono per il 2015 l'utilizzo di circa 4,9 miliardi di dispositivi connessi su base globale, con una stima di 25 miliardi che verranno raggiunti nel corso del 2020. Dati di questo tipo lasciano facilmente intendere come sia necessario da parte dei produttori di dispositivi dell'IoT prestare maggiore attenzione alla sicurezza dei propri prodotti, facendo in modo che gli accessi siano solo quelli autorizzati e gli strumenti IoT non possano diventare un veicolo che metta a rischio la sicurezza delle proprie infrastrutture, tanto in azienda come in ambiente domestico.