Skip to main content
IoT Internet of Threats

IoT Internet of Threats

| Simona Venuti | Cybersecurity

Articolo letto 864 volte

I dispositivi intelligenti e iperconnessi si moltiplicano, e con loro i rischi informatici a cui siamo esposti. Ecco qualche idea per difendersi

Uno dei più grandi rischi di sicurezza emergenti è la gestione dei dispositivi IoT (Internet of Things). Secondo uno studio di Juniper Research i dispositivi connessi potrebbero raggiungere i 36,8 miliardi entro il 2025. Una legione di oggetti “intelligenti” che farà di tutto, dal puro intrattenimento ai sistemi critici. Proprio questa eterogeneità rende la loro messa in sicurezza un problema molto complesso. Ecco alcune indicazioni di massima per capire a che punto siamo.

La prima considerazione da fare è che nessun dispositivo IoT nasce per Internet, ma per connettersi localmente ai propri sistemi di controllo. Fino a pochi anni fa, nessuno sviluppatore IoT avrebbe mai immaginato che il proprio sistema potesse essere acceduto da tutto il pianeta. Ad esempio pensiamo ai sistemi di sorveglianza, non a caso una volta chiamati “a circuito chiuso”: le telecamere sono in rete, tra loro e verso il collettore/registratore, ma la rete era pensata come completamente isolata dal resto delle possibili reti (in un circuito chiuso appunto). Il fatto che per comunicare fra sé oggi utilizzino delle librerie software già fatte e protocolli internet, non significa che chi li ha programmati avesse previsto un utilizzo sulla rete globale. Siamo insomma agli antipodi della “security-by-design” e gli unici provvedimenti che possiamo prendere saranno a valle del dispositivo stesso.

È per questo che gli incidenti di sicurezza che coinvolgono strumenti IoT sono sempre più numerosi e spesso gravi. Un report del 2021 di PaloAlto Networks rileva l’aumento del 78% di incidenti di questo tipo rispetto al 2020. Un altro dato: su 135.000 telecamere analizzate, il 54% ha presentato almeno una vulnerabilità. Dallo stesso report si evince che l’IoT è l’incubo che più tiene sveglia la leadership di una organizzazione, in relazione alle telecamere di videosorveglianza. Probabilmente il sondaggio di Palo Alto non era rivolto a fornitori di servizi critici, come quelli sanitari o di approvvigionamento idrico o energetico, altrimenti la leadership non dormirebbe più.

Ma come è fatto un dispositivo IoT e perché non è così semplice metterlo in sicurezza?

Un dispositivo IoT è un oggetto composto da un firmware (un sistema operativo scritto su chip) e del software di gestione e comunicazione dei dati al proprio macchinario di riferimento. A volte il software è direttamente inserito in hardware. Questi dispositivi hanno capacità molto limitate e svolgono il loro mestiere col minimo consumo di risorse, trasferendo i dati raccolti altrove. Le parti di raccolta dei dati e comunicazione sono scritte dai programmatori del dispositivo, che solitamente non seguono nessuno standard o buona pratica: utilizzano al massimo cose già fatte nei decenni passati, o re-implementano da zero protocolli standard. Per esempio esiste un IoT in cui è stato riscritto da zero l’FTP server, ma usando una versione del protocollo così superata che su internet oggi verrebbe trovato e violato nel giro di pochi minuti. Non solo: per garantire la retrocompatibilità, gli sviluppatori programmano in linguaggi ormai desueti ed obsoleti; loro stessi iniziano ad avere una certa età e non sanno neanche cosa siano l’autenticazione sullo strumento, l’hardening, il controllo dell’input... Anche le personalizzazioni del sistema non aiutano: ad esempio si può intervenire sulla configurazione per migliorare funzionalità e feature del prodotto, ma sono completamente inibite modifiche ai parametri che potrebbero aumentare la sicurezza. Vi sono sistemi che non supportano la criptazione dei dati, o lo fanno con algoritmi di cifratura scritti al momento, invece di quelli testati da almeno 40 anni; oppure sistemi che supportano l’autenticazione, ma nei primi 5 minuti dopo il boot la eliminano “nel caso qualcuno dovesse collegarsi con urgenza” - non considerando che 5 minuti, su internet, sono quasi un’eternità.

I 5 punti deboli degli apparati IoT

  1. Difficoltà o impossibilità di aggiornamenti di sicurezza se si riscontra un bug
  2. Impossibilità di aggiornare applicazioni e sistemi operativi dei PC che gestiscono l’IoT
  3. Mancata criptazione del traffico o uso di algoritmi non standard o troppo deboli
  4. Utilizzo di sistemi operativi e librerie obsoleti e modificati
  5. Difficoltà o impossibilità per l’utente di modificare alcuni parametri o configurazioni del sistema

Già da questi esempi è chiaro come questi problemi strutturali dei dispositivi IoT non siano di facile soluzione. Si dovrebbero sensibilizzare a tappeto gli sviluppatori di sistemi IoT, impresa pressoché impossibile anche per la volatilità delle aziende produttrici: quante volte abbiamo comprato un device sperando in aggiornamenti, e il produttore ha chiuso i battenti poco dopo?

Un altro rischio di sicurezza tipico è legato non tanto all’apparato in sé, quanto ai PC o server a cui si connette per trasferire i dati. Si ritrova frequentemente negli apparati medicali, spesso macchine vecchie obbligate a parlare con PC altrettanto vecchi, perché il programma di gestione, a sua volta datato, è compatibile solo con versioni di un sistema operativo obsolete, non più supportate né aggiornate: ciò espone PC e macchinario, se connessi normalmente alla rete, a gravi rischi di sicurezza.

Per fortuna il tema è ben chiaro ai legislatori, sia a livello europeo che italiano. Proprio per ridurre queste minacce e migliorare la sicurezza intrinseca dei sistemi IoT, si è pensato di designare agenzie di certificazione (in Italia è l’Agenzia per la Cybersecurity) che si occupino di stabilire degli standard minimi di sicurezza. Come a suo tempo per la safety con le ISO/IECxxx e il marchio CE, le aziende che vogliano vendere i loro prodotti in Europa dovranno rispettare questi requisiti e ottenere la certificazione europea. Un aiuto fondamentale per aziende, organizzazioni pubbliche, enti e cittadini, che però purtroppo non arriverà in tempi brevi vista la complessità dell’argomento. Nell’attesa, è importante proteggerci già da oggi, industriandoci a far convivere oggetti così utili, eppure misteriosi e potenzialmente pericolosi, nella nostra infrastruttura di rete.
Ecco alcuni spunti da cui iniziare.

Chi ben comincia…

Se non abbiamo ancora acquisito i dispositivi, cerchiamo di scegliere sistemi e fornitori che garantiscano supporto e aggiornamenti continui. Non sempre sarà facile: ad esempio è probabile che accada per gli apparati medicali, ma non è prassi nei sistemi di largo consumo, come le telecamere.

Ma quanti ne abbiamo?

È importante avere visibilità di (tutti) gli oggetti nella propria struttura: il massimo sarebbe un inventario con modello, dislocazione fisica, funzione, persona responsabile e magari anche il mac-address, la versione del firmware e dei software.

Proteggiamoli/ci!

Dobbiamo ricordare che questi oggetti, salvo casi rarissimi, non sono fatti per internet. Il principio dovrebbe quindi essere non dare connettività internet agli oggetti che non ne necessitano. Possiamo invece creare delle isole, veri e propri circuiti chiusi, anche dove tutto passi per il cavo ethernet, ad esempio attraverso dei tunnel. Se ciò non è possibile, è raccomandato segmentare/micro-segmentare la rete, creando ad esempio reti per funzione o tipologia di accesso. In ogni caso va evitato che una rete possa comunicare con le altre, né tantomeno con i PC utente o il datacenter. In aggiunta, meglio dare il minimo di connettività a queste reti: per esempio ogni circuito potrebbe essere acceduto solo da una postazione, o da un utente, o da una particolare VPN, VLAN o porta dello switch.

Approcci nuovi

L’approccio che inizia a emergere tra gli addetti ai lavori è assumere che questi dispositivi siano insicuri “by design” e necessitino di protezioni aggiuntive. Una delle soluzioni più promettenti è un approccio ZeroTrust: per ogni dispositivo o classe di dispositivi prevederemo una specie di gateway o reverse-proxy che si affaccia “in prima persona” alla rete esponendo il servizio, anche su internet: in questo caso il gateway raccoglie in LAN tutti i dati dei dispositivi sottostanti, e si prende il compito di comunicarli ai server attraverso un sistema di autenticazione forte e trasmissioni criptate: insomma, agisce come un guardiano intelligente, che fa passare solo chi dimostra veramente di averne diritto.

Ricerca e futuro…

Altri tipi di approcci alla sicurezza IoT sono in fase di ricerca e sperimentazione. Vorrei citare ad esempio il lavoro di uno dei borsisti GARR, Ruslan Bondaruc, dell’Università di Milano, il cui lavoro di tesi verte proprio sullo studio di sistemi per mettere in sicurezza i dispositivi IoT. Il suo approccio consiste nell’utilizzare sonde di monitoraggio attive e passive, basate su trasmissioni 5G e paradigma edge computing, che si occupano di monitorare costantemente i dispositivi e stabilire se siano compatibili rispetto a un’idonea quality assurance, stabilita dal comportamento corretto del dispositivo. Ogni scostamento da questo comportamento “normale” genera un allarme trasmesso dalle sonde ai sistemi di monitoraggio dell’organizzazione.

Per concludere, è indubbio che i sistemi IoT siano di estrema utilità, soprattutto nella gestione e controllo di servizi critici, ma introducono anche rischi non trascurabili, per contenere i quali è necessario pianificare una strategia organica.

Per approfondire

Ci sono veramente tante guide utili e tanti spunti di riflessione e di approfondimento in giro, io consiglio sempre di iniziare dal CISA e NIST, che ci sono arrivati prima di noi. CISA ha anche elaborato un tool di assessment e valutazione dei rischi e individuazione dei punti di mitigazione proprio in relazione ai dispositivi IoT, si chiama CSET e nell’ultima versione si occupa anche di ransomware.

logo GARR-T Per elencare le minacce che gravano sui sistemi IoT mi sono fatta ispirare da una presentazione spassosa di qualche anno fa, ma del tutto attuale, di Stefano Zanero, professore associato al Politecnico di Milano:
"Night of the living vulnerabilities",
Stefano Zanero e Roberto Clapis, Codemotion Milan 2017

Ti è piaciuto questo articolo? Faccelo sapere!
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.

Voto attuale:

Ultimi articoli in rubrica