WannaCry se ti proteggi ti puoi rilassare!
25 Maggio 2017
Download Atti Convegno – Cyber Crime Conference 2017
29 Maggio 2017

L’Internet of Things fra sicurezza informatica e misure di prevenzione

Con il termine Internet of Things (IoT), si fa riferimento ad infrastrutture che sono in grado, attraverso la presenza di numerosi sensori, di registrare, processare, immagazzinare dati localmente o tramite l’interazione tra loro sia nel medio raggio, mediante l’utilizzo di tecnologie a radio frequenza, sia tramite una rete di comunicazione elettronica.

Dispositivi di tal specie, non sono solo i tradizionali computer o gli smartphone, ma oggetti che sono integrati nella nostra vita quotidiana; pensiamo alle smart tv, gli smart watch, o gli strumenti di automazione domestica e di georeferenziazione e navigazione assistita.

Tali oggetti, sono in grado di connettersi alla rete o di scambiarsi informazioni. Diventano “vivi e pensanti”, potendo interagire con l’ambiente circostante ed aiutando le persone nella loro vita quotidiana e lavorativa.

Tecnologie così invasive della nostra vita privata e lavorativa, possono ritorcersi contro e determinare forti violazioni in tema di privacy e sicurezza informatica. Interessante, a tal proposito, è un progetto realizzato dal gruppo non-profit Consumers Reports, il quale ha realizzato un sistema di recensioni per poter valutare i sistemi di sicurezza degli oggetti IoT.

L’idea è partita da un sondaggio, ove si affermava che il 65% degli americani, dichiarava di essere poco o per nulla sicuri che i loro dati personali fossero privati e non venissero distribuiti a loro insaputa. Il progetto parte da questo sondaggio e mira ad analizzare gli oggetti per determinare il grado di sicurezza degli stessi. L’obiettivo che si prefigge è quello di aiutare i consumatori a capire il prodotto digitale ed individuare gli strumenti che può utilizzare per proteggere la propria privacy ed avere il miglior controllo sui propri dati personali.

Consumers Reports, per garantire metri di valutazione uniformi, utilizza degli standard per determinare la sicurezza del prodotto che si sta utilizzando. In particolare:

  • Analisi delle username e password: è importante che tali strumenti richiedano per il loro funzionamento username e password uniche durante la loro installazione. La password, in particolare, deve essere alfanumerica e con l’utilizzo di segni speciali. Per garantire un livello più elevato di sicurezza, sarebbe preferibile procedere alla modifica della password con cadenza regolare;
  • Eliminazione dati di consumo alle aziende: il nuovo standard realizzato, invita le aziende ad eliminare i dati di consumo dai soli server, su richiesta del consumatore, per proteggere i dati personali degli utenti che utilizzano tali tecnologie. Il consumatore deve conoscere quali sono i dati che vengono raccolti ed avere un ragionevole controllo sugli stessi. (tale punto assume una grande rilevanza, in quanto un sondaggio di Consumer Reports del 2015, ha rilevato che le smart tv raccoglievano informazioni sui loro proprietari, mentre loro vedevano programmi televisivi).

Con l’utilizzo di questo standard, realizzato con la collaborazione di diverse società specializzate in soluzioni per la sicurezza informatica, si testano i dispositivi analizzando le protezioni utilizzate per difendersi dalle diverse tipologie di malware attualmente presenti in rete.

Un’altra interessante analisi è stata condotta nel 12° “Worldwide Infrastructure Security Report” di Arbor Networks. Nel documento stilato, vi sono le osservazioni di esperti di reti e sicurezza che operano presso le maggiori organizzazioni aziendali e principali provider di servizi di telecomunicazione, cloud e hosting, che evidenziano come la capacità di innovazione dei criminali informatici e lo sfruttamento di dispositivi IoT, riescano ad alimentare lo scenario di attacchi DDoS.

Il Report del 2016 evidenza come la tipologia delle minacce informatiche sia cambiata con l’introduzione delle botnet IoT. La proliferazione dei dispositivi IoT su tutte le reti, apporta indubbiamente vantaggi per le aziende ed i consumatori, ma offre una nuova arma ai criminali informatici che riescono a sfruttare le debolezze intrinseche di questi dispositivi sul fronte della sicurezza.

Secondo il Report: “Il maggiore attacco DDoS (Distributed Denial of Service) registrato nell’anno 2016 ha raggiunto gli 800 Gbps, con un aumento del 60% rispetto all’attacco più grande del 2015 che fu pari a 500 Gbps. Oltre alle dimensioni, sono aumentate anche la frequenza e la complessità degli attacchi DDoS. La maggiore gamma e l’elevata complessità degli attacchi hanno spinto un crescente numero di aziende a dotarsi di soluzioni specifiche di protezione DDoS, implementare sistemi di difesa ibridi basati sulle best practice e dedicare più tempo alle simulazioni di risposta agli incidenti informatici”.

Infine è opportuno segnalare l’analisi condotta da Gartner, la quale ha stimato che i dispositivi IoT connessi sono all’incirca 6,4 miliardi. Infatti, a partire dal 2015, si sono registrate nuove modalità di attacco a dispositivi appena collegati. Uno delle iniziative più interessanti dell’IoT, secondo Gartner, è l’auto connessa. Nel 2015, due ricercatori in ambito security, hanno condotto un esperimento per vedere se riuscivano ad accedere in remoto ad un SUV che viaggiava a più di 100 km/h. I due ricercatori, sono riusciti a prendere il controllo dell’aria condizionata della vettura, dello stereo, dell’impianto di trasmissione e dei freni.

Mentre l’Internet on Things diventa un fenomeno dilagante nella vita di tutti i giorni, gli attacchi alle imprese tramite IoT rischiano di aumentare in modo significativo. Gartner stima che entro il 2020 oltre il 25% degli attacchi alle imprese coinvolgerà l’Internet of Things.

L’interrogativo che a questo punto è importante porsi è il seguente: come poter limitare le nuove minacce? Nell’IoT, i dati sono in costante movimento, in quanto viaggiano attraverso reti multiple e diversi data center. È opportuno, quindi, proteggere il dato non solo quando raggiungono il dispositivo, ma anche quando sono in viaggio. I dispositivi mobili si spostano da rete a rete: è importante avere un’interfaccia sicura per mantenere i dati quanto più protetti possibili. Altra tecnica che potrebbe diffondersi è l’apprendimento della macchina. Questo sistema aiuterebbe a prevedere le minacce di sicurezza, persino superando la prevenzione come metodo migliore per mantenere gli attacchi al minimo. La possibilità di intuire in anticipo le aree in cui gli hacker possono tentare un attacco, può aiutare le organizzazioni a proteggere dati e sistemi.

È importante prevedere un sistema di sicurezza opportuno ed efficiente in grado di tutelare anche le infrastrutture IoT in quanto le stesse, oltre ad essere utilizzate da aziende, vengono sempre più adoperate da persone che, trovando utile lo strumento, si disinteressano della sicurezza ad esso sottesa. A riprova di ciò, è importante la ricerca di mercato effettuata dalla IDC (international data corporation), la quale ha previsto che entro il 2018, il 66% delle reti avrà avuto una violazione della sicurezza IoT e che entro il 2020 il 10% di tutti gli attacchi informatici sarà rivolto a sistemi di IoT.

A cura di: Fabrizio Corona

Praticante Avvocato Abilitato, iscritto al Foro di Napoli.

Docente a Contratto di Informatica Giuridica e Legal Informatics presso l’università LUISS Guido Carli.

Cultore della materia di Logica ed Informatica Giuridica presso l’Università degli Studi di Napoli Federico II.

Svolge analisi ed attività consulenziale nel settore del diritto della Privacy e delle nuove tecnologie dell’informazione e comunicazione, con particolare attenzione alla Information Technology & Cyber Security, Privacy e protezione dei dati personali, Web reputation e Forensic Investigation

Autore di diverse monografie, contributi in monografie ed articoli scientifici in materia di informatica giuridica e diritto dell’informatica.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy