L'Internet of Things (in breve IoT) ha innumerevoli campi di applicazione, dalle smart home all'automazione industriale. La disponibilità di dispositivi sempre più piccoli e in grado di connettersi ad Internet ha aperto numerosi scenari, suggerendo applicazioni prima impensabili. Tuttavia, la diffusione su larga scala di piccoli dispositivi perennemente connessi ad Internet non è esente da rischi, tanto da spingere aziende del calibro di Amazon ad offrire servizi ad-hoc per la protezione dei dispositivi IoT.
Le minacce
Negli scorsi anni si sono verificati numerosi episodi di cyberattacchi perpetrati attraverso l'uso di dispositivi IoT, quali ad esempio il famoso attacco DDoS (Distributed Denial of Service) del 2016 ai danni della rete DNS del provider Dyn. In quel caso, milioni di dispositivi IoT vennero compromessi infettandoli con il virus Mirai. Dopo aver ottenuto il controllo di un così elevato numero di dispositivi, gli attaccanti li utilizzarono per indirizzare ai server DNS di Dyn milioni di richieste, più di quante i server potessero effettivamente gestire, causando una interruzione di servizio di vaste proporzioni. Stampanti, telecamere, router e persino baby monitor si resero, loro malgrado, complici di un attacco di tale entità semplicemente perché dotate di software poco sicuro.
Le vulnerabilità di sicurezza non affliggono solo i dispositivi IoT: basti pensare alla quantità di aggiornamenti costantemente rilasciati dai produttori di sistemi operativi. Tuttavia i dispositivi embedded sono affetti da alcune criticità tipiche nella gestione della sicurezza. Da una parte, essendo dotati di capacità di calcolo limitate sono spesso caratterizzati da inevitabili compromessi (quanti router, ad esempio, usano HTTP invece di HTTPS per la loro interfaccia web?); dall'altra, la distribuzione e l'installazione di aggiornamenti di sicurezza è spesso impossibile. Questi device sono spesso dotati di firmware elementari, aggiornabili solo da tecnici specializzati. E anche quelli aggiornabili dall'utente finale impongono su quest'ultimo un onere notevole: immaginate di dover installare gli aggiornamenti firmware di tutte le lampadine smart di casa!
Vi è poi il caso di produttori che operano in settori distanti dall'elettronica di consumo e che commissionano lo sviluppo di soluzioni IoT per rendere smart i propri prodotti. Terminato lo sviluppo, difficilmente il produttore provvederà a rilasciare aggiornamenti ed a supportare attivamente la componente software del proprio prodotto.
Ad esempio, nel 2017 è stata scoperta una vulnerabilità di sicurezza in un forno di un noto produttore di cucine inglese. Il dispositivo "smart", in vendita già dal 2012, poteva essere controllato mediante un'app dal proprio smartphone, attivando il forno, accendendo i fornelli e così via. Peccato che la comunicazione avvenisse mediante SMS, senza alcun tipo di autenticazione da parte della macchine. Un attaccante in grado di risalire al numero di cellulare nella SIM del forno poteva così attivarlo a distanza ad insaputa del proprietario. Si è scoperto che anche risalire ai numeri degli ignari proprietari era piuttosto semplice a causa delle scarse politiche di sicurezza implementate sul portale web del produttore. Il caso suscitò un certo clamore, data la possibilità di causare incendi ed in generale mettere a rischio la sicurezza delle persone.
Contromisure
Aumentare il numero di dispositivi connessi ad Internet significa, banalmente, incrementare la superficie d'attacco della propria rete, sia essa aziendale o domestica. Ma come difendersi da una simile minaccia pur godendo della comodità che i dispositivi smart offrono? Vi sono alcuni semplici principi che possono essere adottati per limitare l'esposizione alle vulnerabilità, che elenchiamo di seguito.
1) Separare le reti
Dato che la maggior parte di questi dispositivi opera mediante rete WiFi, è saggio configurarli in modo da connettersi ad una rete secondaria, per isolarli dagli altri dispositivi (laptop, smartphone, NAS, ecc) presenti. Molti router per uso domestico supportano la creazione di una rete "guest" per gli ospiti. Collegare i dispositivi IoT a questa rete invece che alla principale permette di limitare il loro raggio di azione.
2) Filtrare il traffico
Qualora si disponga di un firewall, anche integrato nel proprio router, è consigliabile configurarlo per garantire ai dispositivi IoT il solo accesso ai server del produttore, utilizzati per il loro normale funzionamento. Ciò permette di evitare che un dispositivo compromesso possa contattare server terzi allo scopo di rubare dati, eseguire azioni di attacco DDos, ecc.
3) Usare solo la rete locale
È davvero necessario cambiare il colore delle luci di casa mentre siamo in ufficio? Se la risposta è negativa, si può pensare di configurare il proprio router per bloccare l'accesso ad Internet dei propri dispositivi smart. Essi continueranno a funzionare normalmente mentre siamo in casa, ma saranno protetti da minacce esterne.
4) Scegliere prodotti con un supporto adeguato
Diffidare da prodotti non aggiornabili facilmente o per i quali il produttore non rilascia aggiornamenti software. Si può verificare facilmente la presenza di aggiornamenti sul sito web del produttore. Un dispositivo che riceve aggiornamenti automatici è preferibile in quanto non richiede un intervento diretto da parte dell'utente.
Conclusioni
Sebbene i vantaggi di un'automazione capillare sono indubbi, una informatizzazione smodata e priva di controllo rischia solo di compromettere la sicurezza degli utilizzatori.