L'evoluzione del mercato IoT è davvero sorprendente e negli articoli precedenti abbiamo spesso parlato di come questo settore stia un po' prendendo tutti alla sprovvista per quanto riguarda la sicurezza, fattore che dovrebbe essere sempre tenuto in considerazione durante lo sviluppo di un prodotto software/hardware. Oggi andremo ad analizzare le possibili implicazioni di un sistema di telecamere connesso costamene alla Rete.
Osservare da remoto ad un costo contenuto la propria abitazione o il proprio ufficio può far comodo, sia perché si desidera una maggiore sicurezza ma anche per accertarsi che i propri colleghi facciano il loro lavoro durante gli orari previsti. Ovviamente i sistemi di videosorvegliata non sono esenti da falle di sicurezza e può capitare che senza gli adeguanti protocolli le immagini della propria abitazione o di uno studio finiscano nelle mani di utenti malintenzionati.
Purtroppo ancora oggi gran parte dei sistemi IoT nascono con falle di sicurezza o senza sistemi automatizzati di aggiornamento del firmware, non è quindi facile risolvere eventuali vulnerabilità da remoto. Ecco alcune regole che andrebbero sempre seguite sia dagli utenti che dalle aziende che producono device IoT:
- Impiegare sempre personale specializzato nella Web security durante lo sviluppo.
- Dare priorità alla sicurezza e alle security feature del device prima di mandarlo in produzione.
- Assicurarsi che il device si aggiorni in modo automatico senza che vengano richiesti interventi dell'utente.
- Assicurarsi che il personale e l'infrastruttura distribuisca security update per l'intero ciclo di vita del device.
- Utilizzare gli algoritmi di criptazione dei dati durante le comunicazioni da e verso il device e per memorizzare le password.
- Utilizzare metodi intelligenti per il recupero delle credenziali di login.
- Eseguire sempre controlli di sicurezza ed eseguire penetration test regolarmente sul device durante l'intero ciclo di vita.
- Non usare password "di default" nelle impostazioni di fabbrica.
- Non integrare metodi di accesso remoto non documentati o backdoor.
- Non usare il protocollo HTTP senza un certificato di sicurezza SSL o TLS.
Nel 2017 è comparso in Rete un software chiamato Mirai, un malware alla ricerca di device online protetti dalle impostazioni predefinite dai produttori, una volta scoperti questi device è possibile per un cybercriminale realizzare una botnet per un possibile attacco DDoS o, magari, installare software di monitoraggio per carpire informazioni sensibili sull'utente malcapitato.
Come evidenziato dalle agenzie che si occupano di sicurezza online sarebbe bene avviare corsi e tirocini nelle scuole, nelle università e all'interno delle aziende per sensibilizzare il personale sulle tematiche della sicurezza e sui pericoli che un device IoT non protetto può generare.
Via Avira