• Homepage
  • Articoli
  • Generale
  • Stiamo creando un Internet of Things (IoT) insicuro? Sfide e preoccupazioni per la sicurezza

Stiamo creando un Internet of Things (IoT) insicuro? Sfide e preoccupazioni per la sicurezza

Pubblicato: 2022-03-11

L'Internet delle cose (IoT) è stata per anni una parola d'ordine nel settore, ma lo sviluppo lento e la commercializzazione limitata hanno portato alcuni osservatori del settore a iniziare a chiamarlo "Internet delle cose".

Doppi giochi di parole a parte, lo sviluppo dell'IoT è nei guai. A parte la generazione di battute geek inadatte alla maggior parte delle occasioni sociali, il clamore non ha aiutato; e, in effetti, credo che in realtà abbia causato molti più danni che benefici. Ci sono alcuni problemi con l'IoT, ma tutta la copertura positiva e il clamore infondato sono quelli di cui potremmo fare a meno. Il vantaggio di generare più attenzione è chiaro: più investimenti, più finanziamenti VC, più interesse dei consumatori.

sicurezza e Internet delle cose

Tuttavia, questi sono dotati di un ulteriore livello di controllo, che ha reso dolorosamente evidenti una serie di carenze. Dopo un paio d'anni di previsioni rialziste e grandi promesse, la sicurezza dell'IoT sembra essere la principale preoccupazione. Le prime settimane del 2015 non sono state gentili con questo settore emergente e la maggior parte della stampa negativa ruotava attorno alla sicurezza.

Era giustificato? Era solo "paura, incertezza e dubbio" (FUD), causato da anni di clamore? Era un po' di entrambi; sebbene alcuni problemi possano essere stati esagerati, i problemi sono davvero molto reali.

Da "Anno dell'IoT" ad Annus Horribilis per l'IoT

Molti commentatori hanno descritto il 2015 come "l'anno dell'IoT", ma finora è stato un anno di cattiva stampa. Certo, mancano ancora dieci mesi, ma i rapporti negativi continuano ad accumularsi. La società di sicurezza Kaspersky ha recentemente condotto una critica schiacciante delle sfide alla sicurezza dell'IoT, con un titolo poco lusinghiero, " Internet of Crappy Things ".

Kaspersky non è estraneo alle critiche e alle controversie dell'IoT; l'azienda ha suonato campanelli d'allarme per un po', supportandoli con esempi di case intelligenti violate, autolavaggi e persino sistemi di sorveglianza della polizia. Sia che un hacker voglia lavare la propria auto gratuitamente o perseguitare qualcuno utilizzando il proprio fitness tracker, i difetti di sicurezza dell'IoT potrebbero renderlo possibile.

Wind River ha pubblicato un white paper sulla sicurezza IoT a gennaio 2015 e il rapporto inizia con un'introduzione che fa riflettere. Intitolato Alla ricerca del proiettile d'argento , riassume il problema in soli tre paragrafi, che condenserò in pochi punti:

  • La sicurezza deve essere il fattore abilitante fondamentale per l'IoT.
  • Al momento non c'è consenso su come implementare la sicurezza in IoT sul dispositivo.
  • Un'aspettativa prevalente e non realistica è che sia in qualche modo possibile comprimere 25 anni di evoluzione della sicurezza in nuovi dispositivi IoT.
  • Non esiste un proiettile d'argento in grado di mitigare efficacemente le minacce.

Tuttavia, ci sono alcune buone notizie; la conoscenza e l'esperienza sono già qui, ma devono essere adattate per adattarsi ai vincoli unici dei dispositivi IoT.

Sfortunatamente, è qui che noi sviluppatori di sicurezza del sistema ci imbattiamo in un altro problema, un problema hardware.

La presidente della Federal Trade Commission degli Stati Uniti, Edith Ramirez, si è rivolta al Consumer Electronics Show di Las Vegas all'inizio di quest'anno, avvertendo che incorporare sensori nei dispositivi di uso quotidiano e consentire loro di registrare ciò che facciamo, potrebbe rappresentare un enorme rischio per la sicurezza.

Ramirez ha delineato tre sfide chiave per il futuro dell'IoT:

  • Raccolta dati onnipresente.
  • Possibilità di usi imprevisti dei dati dei consumatori.
  • Rischi per la sicurezza accresciuti.

Ha esortato le aziende a migliorare la privacy e a creare dispositivi IoT sicuri adottando un approccio incentrato sulla sicurezza, riducendo la quantità di dati raccolti dai dispositivi IoT e aumentando la trasparenza e offrendo ai consumatori la possibilità di rinunciare alla raccolta dei dati.

Ramirez ha proseguito affermando che gli sviluppatori di dispositivi IoT non hanno perso tempo a pensare a come proteggere i propri dispositivi e servizi dagli attacchi informatici.

"Le dimensioni ridotte e la potenza di elaborazione limitata di molti dispositivi connessi potrebbero inibire la crittografia e altre solide misure di sicurezza", ha affermato Ramirez. “Inoltre, alcuni dispositivi connessi sono a basso costo ed essenzialmente usa e getta. Se viene rilevata una vulnerabilità su quel tipo di dispositivo, potrebbe essere difficile aggiornare il software o applicare una patch, o persino ricevere notizie di una correzione per i consumatori".

Mentre Ramirez è perfetto sotto molti aspetti, devo notare che Internet ha attraversato una fase simile due decenni fa. C'erano molti problemi di sicurezza e gli anni Novanta hanno visto l'emergere di malware diffuso su Internet, attacchi DDoS, phishing sofisticato e altro ancora. Anche se Hollywood ha rappresentato un futuro distopico in alcuni film, abbiamo finito con i gattini sui social network e una violazione della sicurezza di alto profilo qua e là.

Internet non è ancora sicuro, quindi non possiamo aspettarci che l'IoT sia sicuro. Tuttavia, la sicurezza è in continua evoluzione per affrontare nuove sfide, l'abbiamo già visto e lo vedremo di nuovo con l'IoT e le successive tecnologie connesse.

L'hardware IoT è e rimarrà un problema

Alcuni di voi penseranno che i problemi hardware menzionati dal boss dell'FTC verranno risolti; sì, alcuni di loro probabilmente lo faranno.

Man mano che il mercato dell'IoT cresce, vedremo più investimenti e, man mano che l'hardware matura, otterremo una maggiore sicurezza. I produttori di chip come Intel e ARM vorranno offrire una sicurezza migliore con ogni nuova generazione, poiché la sicurezza potrebbe essere un elemento di differenziazione del mercato, consentendo loro di ottenere più vittorie di progettazione e ottenere una quota maggiore.

La tecnologia avanza sempre, quindi perché no? I nuovi processi di produzione generalmente si traducono in processori più veloci ed efficienti e, prima o poi, il divario si colmerà, fornendo così agli sviluppatori una potenza di elaborazione sufficiente per implementare migliori funzionalità di sicurezza. Tuttavia, non sono così sicuro che questo sia uno scenario realistico.

iot insicuro

Prima di tutto i chip IoT non faranno grandi guadagni poiché sono piccoli e di solito basati su architetture obsolete. Ad esempio, la piattaforma Intel Edison di prima generazione è basata su processori Quark, che utilizzano essenzialmente lo stesso set di istruzioni della CPU e gran parte del design dell'antico Pentium P54C. Tuttavia, il microcomputer Edison di nuova generazione si basa su un processore molto più veloce, basato sui core Atom Silvermont, che si trova oggi in molti tablet Windows e Android. (Intel ha spedito circa 46 milioni di SoC Bay Trail nel 2014.)

A prima vista, potremmo ritrovarci con core CPU x86 a 64 bit relativamente moderni nei dispositivi IoT, ma non saranno economici, saranno comunque sostanzialmente più complessi dei core ARM più piccoli e quindi avranno bisogno di più batteria energia.

I dispositivi indossabili economici e usa e getta, che sembrano essere la principale preoccupazione della FTC, non saranno alimentati da tali chip, almeno, non a breve. I consumatori potrebbero ritrovarsi con processori più potenti, come Intel Atoms o chip ARMv8, in alcuni prodotti intelligenti, come frigoriferi intelligenti o lavatrici con touchscreen, ma sono poco pratici per dispositivi usa e getta senza display e con capacità della batteria limitata.

La vendita di piattaforme complete o progetti di riferimento per vari dispositivi IoT potrebbe aiutare i produttori di chip a generare maggiori entrate, introducendo allo stesso tempo maggiore standardizzazione e sicurezza. L'ultima cosa di cui l'industria ha bisogno sono dispositivi più non standardizzati e più frammentazione. Questo può sembrare un approccio logico e valido, dal momento che gli sviluppatori finirebbero con meno piattaforme e verrebbero allocate più risorse per la sicurezza, tuttavia, le violazioni della sicurezza riguarderebbero anche un numero maggiore di dispositivi.

Il denaro sta arrivando, gli analisti rimangono rialzisti, cosa potrebbe eventualmente andare storto?

Uno dei modi più comuni per affrontare qualsiasi problema nel settore tecnologico è semplicemente investire denaro. Quindi, vediamo a che punto siamo in questo momento in termini di finanziamenti piuttosto che di tecnologia.

Secondo le società di ricerca IDC e Gartner, l'IoT crescerà a tal punto da trasformare il settore dei data center entro la fine del decennio. Gartner prevede che il mercato IoT avrà 26 miliardi di unità installate entro il 2020, creando enormi opportunità per tutte le parti, dai data center e produttori di hardware, agli sviluppatori e ai progettisti. IDC prevede inoltre che il settore dell'IoT finirà con "miliardi di dispositivi e trilioni di dollari" entro la fine del decennio.

L'ultima previsione del mercato IoT di Gartner pubblicata a maggio 2014 include anche un elenco di potenziali sfide, alcune delle quali ho già trattato:

  • Sicurezza: una maggiore automazione e digitalizzazione crea nuovi problemi di sicurezza.
  • Impresa: i problemi di sicurezza potrebbero comportare rischi per la sicurezza.
  • Privacy dei consumatori: potenziali violazioni della privacy.
  • Dati: verranno generati molti dati, sia per i big data che per i dati personali.
  • Gestione dello storage: l'industria deve capire cosa fare con i dati in modo conveniente.
  • Tecnologie server: saranno necessari maggiori investimenti nei server.
  • Rete di data center: i collegamenti WAN sono ottimizzati per le applicazioni di interfaccia umana, si prevede che l'IoT cambierà radicalmente i modelli trasmettendo i dati automaticamente.

Tutti questi punti (e non solo) vanno affrontati prima o poi, spesso con un costo notevole. Non stiamo più parlando di minuscoli chip IoT e giocattoli economici basati su tali chip, questa è un'infrastruttura. Questo è un sacco di silicio nelle CPU dei server, costose RAM DDR4 ECC e SSD ancora più grandi, tutti alloggiati in server costosi, in data center ancora più grandi.

Questa è solo la punta dell'iceberg; l'industria deve affrontare i problemi di larghezza di banda, la gestione dei dati, le politiche sulla privacy e la sicurezza. Quindi, quanti soldi restano per la sicurezza, che è in cima all'elenco di Gartner di sfide IoT?

Un sacco di soldi stanno già versando nel settore, i VC stanno salendo a bordo e il ritmo degli investimenti sembra aumentare. Ci sono state anche una serie di acquisizioni, che spesso hanno coinvolto grandi player come Google, Qualcomm, Samsung, Gemalto, Intel e altri. Esiste un elenco di investimenti relativi all'IoT su Postscapes. Il problema di molti di questi investimenti, in particolare quelli provenienti da VC, è che tendono a concentrarsi su cose "brillanti", dispositivi che possono essere commercializzati presto, con un ROI potenzialmente spettacolare. Questi investimenti non fanno molto per la sicurezza o l'infrastruttura, che sostanzialmente dovrebbe seguire la domanda IoT.

I grandi giocatori dovranno fare il lavoro pesante, non le startup e i produttori di giocattoli sostenuti da VC. Le startup agili e innovative giocheranno sicuramente un ruolo importante stimolando l'adozione e creando domanda, ma non possono fare tutto.

Quindi pensiamola in questo modo, anche una piccola azienda può costruire un'auto, o decine di migliaia di auto, ma non può costruire autostrade, strade, distributori di benzina e raffinerie. Quella stessa piccola azienda può costruire un veicolo sicuro utilizzando la tecnologia standard per soddisfare gli standard di sicurezza stradale di base, ma non potrebbe costruire un veicolo simile a un Segway che soddisfi gli stessi standard di sicurezza, né potrebbe farlo nessun altro. Gli standard di sicurezza automobilistica non potrebbero mai essere applicati a tali veicoli, non vediamo persone che si recano al lavoro su Segway, quindi non possiamo aspettarci che lo standard di sicurezza tecnologica tradizionale si applichi anche a dispositivi IoT sottodimensionati.

Avere pendolari che controllano la loro posta elettronica o giocano a Candy Crush mentre guidano i loro Segway nel traffico dell'ora di punta non sembra molto sicuro, vero? Allora perché dovremmo aspettarci che i dispositivi IoT siano sicuri come altri dispositivi connessi, con hardware molto più potente e sistemi operativi maturi? Potrebbe essere una strana analogia, ma la linea di fondo è che non ci si può aspettare che i dispositivi IoT siano conformi agli stessi standard di sicurezza dei computer a tutti gli effetti.

Ma aspetta, non ci sono stati molti problemi di sicurezza IoT...

È vero, non vediamo molti titoli su spettacolari violazioni della sicurezza dell'IoT, ma permettetemi di metterla in questo modo: quanti titoli relativi alla sicurezza avete visto su Android Wear? Uno? Due? Nessuno? Si stima che ci siano meno di un milione di dispositivi Android Wear in circolazione, quindi semplicemente non sono un obiettivo primario per gli hacker o un argomento per i ricercatori di sicurezza.

Quanti dispositivi IoT possiedi e utilizzi in questo momento? Quanti ne utilizza la tua azienda? Ecco da dove viene la barzelletta "Internet of NoThings", la maggior parte delle persone non ne ha. I numeri continuano a salire, ma il consumatore medio non ne acquista molti, quindi da dove viene questa crescita? I dispositivi IoT sono là fuori e i numeri sono in forte espansione, guidati dall'impresa piuttosto che dal mercato consumer.

Verizon e ABI Research stimano che l'anno scorso ci fossero 1,2 miliardi di dispositivi diversi connessi a Internet, ma entro il 2020 si aspettano fino a 5,4 miliardi di connessioni IoT B2B.

Braccialetti intelligenti, tostapane e collari per cani non sono un grosso problema dal punto di vista della sicurezza, ma l'ultimo rapporto IoT di Verizon si concentra su qualcosa di un po' più interessante: l'impresa.

Il numero di connessioni machine-to-machine (M2M) di Verizon nel settore manifatturiero è aumentato del 204% dal 2013 al 2014, seguito da finanza e assicurazioni, media e intrattenimento, assistenza sanitaria, vendita al dettaglio e trasporti. Il report di Verizon include una ripartizione delle tendenze IoT in vari settori, quindi offre informazioni dettagliate sul lato commerciale delle cose.

Il tono generale del rapporto è ottimista, ma elenca anche una serie di problemi di sicurezza. Verizon descrive le violazioni della sicurezza nel settore energetico come "impensabili", descrive la sicurezza IoT come "fondamentale" nella produzione e non solleviamo nemmeno potenziali rischi nel settore sanitario e dei trasporti.

Come e quando otterremo un Internet of Things sicuro?

Non cercherò di offrire una risposta definitiva su come risolvere le sfide della sicurezza IoT o quando. L'industria è ancora alla ricerca di risposte e c'è ancora molta strada da fare. Studi recenti indicano che la maggior parte dei dispositivi IoT attualmente disponibili presenta vulnerabilità di sicurezza. HP ha scoperto che ben il 70% dei dispositivi IoT è vulnerabile agli attacchi.

Sebbene la crescita offra molte opportunità, l'IoT non è ancora maturo o sicuro. L'aggiunta di milioni di nuovi dispositivi, endpoint hardware, miliardi di righe di codice, insieme a più infrastruttura per far fronte al carico, crea una vasta serie di sfide, ineguagliate da qualsiasi cosa abbiamo sperimentato negli ultimi due decenni.

Ecco perché non sono un ottimista.

Non credo che il settore possa applicare molte lezioni di sicurezza all'IoT, almeno non abbastanza rapidamente, non nei prossimi due anni. Nella mia mente, l'analogia con Internet è un errore, semplicemente perché Internet degli anni Novanta non doveva avere a che fare con tipi di hardware così diversi. L'uso della crittografia e lo spreco di cicli di clock per la sicurezza non è un problema su grandi CPU x86 o SoC ARM, ma non funzionerà allo stesso modo con piccoli dispositivi IoT con una frazione della potenza di elaborazione e un consumo energetico molto diverso.

Processori più elaborati, con un die più grande, necessitano di un imballaggio più grande e devono dissipare più calore. Hanno anche bisogno di più potenza, il che significa batterie più grandi, più pesanti e più costose. Per alleggerire il peso e ridurre l'ingombro, i produttori dovrebbero ricorrere all'utilizzo di materiali e tecniche di produzione esotici. Tutto quanto sopra comporterebbe una maggiore spesa in ricerca e sviluppo, un time-to-market più lungo e una distinta base più ampia. Con prezzi sostanzialmente più alti e una build premium, tali dispositivi difficilmente potrebbero essere considerati usa e getta.

l'internet delle cose - iot

Quindi cosa bisogna fare per rendere sicuro l'IoT? Molto. E tutti hanno un ruolo da svolgere, dai giganti della tecnologia ai singoli sviluppatori.

Diamo un'occhiata ad alcuni punti di base, ad esempio cosa si può fare e cosa si sta facendo per migliorare la sicurezza IoT ora:

  • Enfatizza la sicurezza sin dal primo giorno
  • Ciclo di vita, a prova di futuro, aggiornamenti
  • Controllo accessi e autenticazione del dispositivo
  • Conosci il tuo nemico
  • Preparati alle violazioni della sicurezza

Una chiara enfasi sulla sicurezza fin dal primo giorno è sempre una buona cosa, soprattutto quando si ha a che fare con tecnologie immature e mercati sottosviluppati. Se stai pianificando di sviluppare la tua infrastruttura IoT o di implementare una soluzione esistente, fai le tue ricerche e rimani il più informato possibile. Ciò potrebbe comportare dei compromessi, poiché potresti dover scegliere di aumentare la sicurezza a costo di compromettere l'esperienza dell'utente, ma ne vale la pena purché trovi il giusto equilibrio. Questo non può essere fatto al volo, devi pianificare in anticipo e pianificare bene.

Nella fretta di immettere sul mercato nuovi prodotti e servizi, è probabile che molte aziende trascurino il supporto a lungo termine. Succede sempre, anche nei campionati più importanti, quindi finiamo sempre con milioni di computer e dispositivi mobili privi di patch e insicuri. Sono semplicemente troppo vecchi per la maggior parte delle aziende, ed è destinato ad essere anche peggio con i dispositivi IoT usa e getta. I principali fornitori di telefoni non aggiornano il loro software su telefoni di 2-3 anni, quindi immagina cosa accadrà con dispositivi IoT da $ 20 che potrebbero essere sulla tua rete per anni. L'obsolescenza pianificata può farne parte, ma la verità è che l'aggiornamento dei vecchi dispositivi non ha molto senso finanziario per il produttore poiché hanno cose migliori da fare con le proprie risorse. I dispositivi IoT sicuri dovrebbero essere protetti in base alla progettazione e impermeabili sin dall'inizio, oppure ricevere aggiornamenti vitali durante tutto il loro ciclo di vita, e sono sicuro che concorderai che nessuna delle due opzioni sembra realistica, almeno, non ancora.

L'implementazione del controllo dell'accesso sicuro e dell'autenticazione del dispositivo sembra una cosa ovvia da menzionare, ma qui non abbiamo a che fare con il tuo dispositivo connesso medio. Creare controlli di accesso e metodi di autenticazione che possono essere implementati su dispositivi IoT economici e compatti senza compromettere l'esperienza dell'utente o aggiungere hardware non necessario è più difficile di quanto sembri. Come accennato in precedenza, la mancanza di potenza di elaborazione è un altro problema, poiché le tecniche di crittografia più avanzate semplicemente non funzionerebbero molto bene, se non del tutto. In un post precedente, ho esaminato un'alternativa, esternalizzare la crittografia tramite la tecnologia blockchain; Non mi riferisco alla blockchain di Bitcoin, ma a tecnologie crittografiche simili che sono già allo studio da diversi leader del settore.

Si vis pacem, para bellum – se vuoi la pace, preparati alla guerra. È fondamentale studiare le minacce e i potenziali aggressori prima di affrontare la sicurezza dell'IoT. Il livello di minaccia non è lo stesso per tutti i dispositivi e ci sono innumerevoli considerazioni da tenere in considerazione; qualcuno preferirebbe hackerare l'orsacchiotto di tua figlia o qualcosa di un po' più serio? È necessario ridurre il rischio dei dati, conservare il maggior numero possibile di dati personali dai dispositivi IoT, proteggere adeguatamente i trasferimenti di dati necessari e così via. Tuttavia, per fare tutto questo, devi prima studiare la minaccia.

Se tutto il resto fallisce, preparati almeno a potenziali violazioni della sicurezza. Prima o poi accadranno, a te o a qualcun altro (beh, preferibilmente un concorrente). Avere sempre una strategia di uscita, un modo per proteggere quanti più dati possibile e rendere inutili i dati compromessi senza distruggere la tua infrastruttura IoT. È inoltre necessario educare i clienti, i dipendenti e tutti gli altri coinvolti nel processo sui rischi di tali violazioni. Istruiscili su cosa fare in caso di violazione e cosa fare per evitarlo.

Naturalmente, un buon disclaimer e TOS aiuteranno anche se finisci per affrontare lo scenario peggiore.