Facile prevedere che il CES metterà in mostra tanti dispositivi IoT, dal gadget per controllare gli animali domestici ai sensori collegati all’impianto idrico, per i quali rimane però sempre il problema della sicurezza. Gli esperti vedono infatti potenziali insidie in tutti i dispositivi connessi.
È il lato oscuro dei dispositivi IoT, di cui nessuno vuole parlare durante la settimana di Las Vegas, quando l’industria dell’elettronica di consumo spinge l’acceleratore sulle case intelligenti, le auto collegate e tutto il resto.
Sicurezza, il lato oscuro dell’IoT
Gli hacker spesso individuano l’anello debole di una catena di sicurezza, e gli attacchi dell’anno scorso hanno sempre più dimostrato che sono i dispositivi IoT con discutibili difese che rendono facili gli obiettivi. E il pubblico lo sa visto che, secondo un sondaggio Cisco, solo una persona su dieci ha detto di fidarsi pienamente della sicurezza dei gadget.
Intanto questi prodotti invadono il mercato. Nel 2017 c’erano 8,4 miliardi di dispositivi collegati e il valore dovrebbe raggiungere 20,4 miliardi di euro entro il 2020. Le capacità difensive di questi dispositivi però variano notevolmente ed è difficile valutare la sicurezza di una telecamera o di qualcosa che metti in una macchina industriale.
Gli hacker conoscono da un po’ di tempo le deboli difese dei dispositivi IoT e prendendo il controllo di gadget monouso come telecamere e Dvr possono creare botnet, un vasto esercito di dispositivi da utilizzare per lanciare attacchi online. In ottobre, ad esempio, i ricercatori di Netlab 360 hanno scoperto la botnet IoT_reaper, che dirottava più di 10.000 dispositivi al giorno. Corero Network Security ha stimato che le aziende vengono colpite ogni giorno da otto tentativi di attacco Ddos, fenomeno attribuito al crescente numero di dispositivi IoT non sicuri.
Per gli esperti di sicurezza e gli hacker, il CEC è più un’anteprima delle vulnerabilità sui prodotti imminenti che un’occhiata ai nuovi gadget. Perché molti dei prodotti di fascia alta possiedono delle protezioni ma la maggior parte di quelli economici non hanno nulla.
Gadget come bersagli ideali
I nuovi dispositivi IoT possono essere sicuri al CES e sugli scaffali, ma quando vengono acquistati le persone devono continuare ad aggiornarli. Ci sono sempre vulnerabilità scoperte di recente, e una volta che un dispositivo non trova una patch di sicurezza, è solo questione di tempo prima che sia aperto alle ultimo exploit.
Ecco perché milioni di dispositivi IoT sono stati considerati “bersagli ideali” per gli attacchi Krack, che sfruttano una vulnerabilità nei sistemi Wi-Fi, anche se tale difetto è stato rattoppato quasi immediatamente su computer e telefoni.
La questione va vista da da entrambe le parti. Le aziende possono essere lente nell’inviare gli aggiornamenti, oppure interrompono l’aggiornamento dei dispositivi più vecchi. Le persone spesso ignorano i suggerimenti di aggiornamento o non sanno che sono disponibili. E anche se le aziende pubblicano gli aggiornamenti, poi i consumatori non li applicano.
Il problema deriva anche dalla mancanza di soluzioni semplici che arrivano automaticamente senza doversi preoccupare se il frigorifero intelligente è dotato dell’ultima patch. Perché non è realistico pensare che tutti diventino esperti di sicurezza.
Quindi, se gli aggiornamenti di sicurezza sono l’unica linea di difesa per i dispositivi dell’Internet degli oggetti, e un imbarazzante track record dimostra che sono per lo più inefficaci, perché sono così tante aziende che fanno affidamento su di loro? La soluzione secondo alcuni è di costruire un ecosistema che si difenda da solo.
Concentrarsi sulla fonte
Ricercatori che operano nel campo della security sono alla ricerca di un modo diverso per impedire agli hacker di attaccare i dispositivi dell’Iot concentrandosi sulla fonte: la connessione online. In questo ecosistema, si proteggerebbe la sorgente, dove tutti i dispositivi in casa, compresi telefoni e computer, si collegano a, invece di proteggere ogni singolo gadget.
Bitdefender e Symantec hanno i loro hub di sicurezza Internet, che servono essenzialmente come router con difese integrate. Ciò significa che, anche se il dispositivo IoT è obsoleto, se collegato al loro router dovrebbe rimanere al sicuro.
Symantec ha introdotto anche il Norton Core al CES dello scorso anno, cercando di proteggere i dispositivi IoT alla fonte. Tutto il traffico diretto verso i dispositivi collegati deve passare attraverso il router, compresi gli attacchi. In una casa che utilizza Norton Core mediamente ci sono sette dispositivi collegati. Ciò significa che invece di aggiornare sette diversi dispositivi è sufficiente preoccuparsi del router.
Bitdefender Box 2 offre invece sicurezza per dispositivi IoT obsoleti. Gli aggiornamenti automatici possono arrivare anche ogni tre ore, così il dispositivo evita le complicate insidie di cui soffrono tanti dispositivi IoT.
