Cadlog Blog

News e aggiornamenti per l'industria elettronica e l'ingegneria

internet of things iot

IoT Security: le 10 principali vulnerabilità dei dispositivi Internet of Things [con ebook gratuito da scaricare]

di Paolo Subioli on 24 Gennaio 2019

In tema di IoT Security, c’è una mobilitazione in corso da parte di tutta l’industria elettronica. Col crescere a dismisura del numero di dispositivi IoT – diffusi ovunque, nelle città, nelle case, nei mezzi di trasporto e persino nella natura selvaggia – si moltiplicano le vulnerabilità e i punti deboli di sistemi che per loro natura sono difficili da controllare. Una caratteristica intrinseca della Internet of Things, infatti, è proprio quella che essa connette in rete oggetti numerosi e non presidiati da esseri umani, dunque per loro natura particolarmente soggetti ad essere attaccati.

IoT Security: una questione di ecosistema industriale

Gli sforzi in materia di IoT Security si stanno moltiplicando. Arm, ad esempio, ha dato vita a un’iniziativa, la Arm Platform Security Architecture (PSA), che offre ai progettisti linee guida e strumenti metodologici per garantire la sicurezza sin dalle prime fasi della progettazione di un dispositivo.

La visione che emerge da questa come da molte altre iniziative è che la IoT Security è una questione che non può essere affrontata con successo dai singoli attori, perché, nella sua complessità, essa riguarda un intero ecosistema che comprende diverse tipologie di dispositivi tra loro interconnessi. Dunque è più che mai necessario riferirsi sempre agli standard del proprio settore di riferimento e ragionare in un’ottica di sistema.

È un sistema che comprende i dispositivi, ciascuno dei quali comprende al suo interno componenti necessariamente di provenienza diversa, ma anche e soprattutto il firmware e il software, che sono i bersagli veri e propri che bisogna mettere sotto protezione. Hardware, firmare e software si intrecciano dunque in sistemi complessi che richiedono di mantenere alto il livello di guardia da parte di tutti gli attori del processo.

Il progetto OWASP per la IoT Security

Può risultare molto utile, per i progettisti e i produttori di apparati elettronici sensibili alla IoT Security, essere aggiornati sulle maggiori vulnerabilità dei dispositivi IoT. La fonte più aggiornata ed esaustiva in questo senso può essere considerato il progetto OWASP (Open Web Application Security Project). Il progetto OWASP per la Internet of Things, secondo le parole degli stessi promotori, “è stato concepito per aiutare i produttori, gli sviluppatori e i consumatori a capire nel modo migliore i problemi di sicurezza associati con la Internet of Things, e di aiutare gli utenti, in qualsiasi contesto, a prendere le decisioni migliori in tema di sicurezza, quando realizzano, immettono sul mercato o valutano le tecnologie IoT”.

OWASP è un’organizzazione costituita sotto forma di fondazione, che si vanta di non avere affiliazioni di alcun tipo con aziende e dunque di essere libera da pressioni commerciali. In questo modo OWASP può svolgere il proprio lavoro divulgativo nel modo più efficace, anche grazie a sistemi di lavoro collaborativi online. Ne sono un esempio proprio le Internet of Things (IoT) Top 10, aggiornate periodicamente.

Le 10 principali vulnerabilità dei dispositivi IoT

Eccoci dunque alla lista 2018 delle vulnerabilità top, che in buona parte interessano direttamente chi è coinvolto nella realizzazione dei dispositivi IoT.

1- Uso di password deboli, di default o facilmente indovinabili

Il primo punto è il più ovvio, eppure sembra proprio che sia ancora necessario ribadirlo. Il problema, secondo l’OWASP, è “l’uso di credenziali facilmente violabili, disponibili pubblicamente o prive di periodici cambi, comprese le backdoors nel firmware o nel software client, che garantiscono accessi non autorizzati ai sistemi”.

2 – Servizi di rete non sicuri

Il riferimento è a servizi di rete “non necessari o non sicuri” all’interno dei dispositivi, specie quelli connessi a internet, che “compromettono la riservatezza, l’integrità / autenticità o la disponibilità di informazioni o consentono il controllo remoto non autorizzato”.

3 – Interfacce non sicure all’ecosistema

Il problema in questo caso sono le interfacce web, delle API di backend, cloud o mobili, che fanno parte dell’ecosistema al di fuori del dispositivo, che possono comprometterne le parti o l’insieme. Tipici problemi sono la mancanza di autenticazione/autorizzazione, la mancanza di una criptazione forte e la mancanza di filtri in input e output.

4 – Carenza di meccanismi sicuri di aggiornamento

L’impossibilità di aggiornare in modo sicuro il dispositivo può riguardare la mancanza di una validazione del firmware al suo interno, la non criptazione dei dati trasmessi, la mancanza di meccanismi anti-rollback e la mancanza di notifiche adeguate. Il problema spesso è che il produttore non si interessa alla vita del prodotto dopo la vendita. In altri casi è la distanza fisica degli oggetti a rendere arduo l’aggiornamento.

5 – Uso di componenti non sicuri o superati

Qui si intende non solo componenti hardware ma anche software. Le possibilità per gli attacchi di compromettere il dispositivo si moltiplicano proprio per la numerosità delle parti che lo compongono. Qui il problema è quello della corsa al risparmio, che è una delle principali spine nel fianco dell’industria elettronica.

6 – Protezione della privacy insufficiente

Una vulnerabilità è costituita dalle “informazioni personali dell’utente, registrate nel dispositivo o nell’ecosistema, quando esse vengono usate in modo non sicuro, improprio o senza i permessi necessari”.  I dispositivi IoT moltiplicano queste possibilità in modo esponenziale.

7 – Conservazione e trasmissione dei dati non sicure

C’è vulnerabilità quando mancano la criptazione o i controlli all’accesso dei dati sensibili in qualsiasi punto dell’ecosistema, sia quando i dati vengono processati che trasmessi che immagazzinati. Il problema è spesso proprio quello in fase di trasmissione, che molti produttori sottovalutano.

8 – Carenze nella gestione del dispositivo

Più sono economici i dispositivi messi sul mercato, più è facile che i loro produttori li trascurino dal punto di vista della sicurezza, già dalla fase di produzione, ma anche e soprattutto nella gestione degli aggiornamenti, nel ritiro dal mercato, nel monitoraggio dei sistemi e nelle capacità di risposta.

9 – Configurazione di default non sicura

Qui siamo nel caso in cui il dispositivo abbia di per sé una configurazione non sicura, quando viene immesso sul mercato, specie se non è possibile modificarla. Questa è una delle più grandi responsabilità dei produttori.

10 – Mancanza di protezione fisica

Questa è una tipica questione di progettazione, perché la mancanza di un’adeguata protezione fisica può consentire di raccogliere informazioni utili per eventuali attacchi a distanza o anche di prendere localmente il controllo del dispositivo.

Scarica un ebook gratuito in italiano sulla progettazione di dispositivi IoT:

Le 7 cose che devi sapere prima di iniziare il tuo progetto di PCB per l’IoT

ebook gratuito da scaricare su progettazione iot

L’ebook gratuito in italiano di Mentor Siemens e Cadlog che esamina i principali aspetti specifici che il progettista di PCB deve tenere in considerazione prima di cimentarsi nel progetto di una scheda per un dispositivo IoT.

Paolo SubioliIoT Security: le 10 principali vulnerabilità dei dispositivi Internet of Things [con ebook gratuito da scaricare]

Articoli correlati

Vi consigliamo la lettura dei seguenti articoli