#IoT.week è lo Speciale Key4biz dedicato all’Internet of Things, in cinque puntate con interviste, case history, approfondimenti, dati, analisi e opinioni di esperti.
Clicca qui per leggere tutti i contributi.
IoT
L’elemento caratteristico dell’IoT, ovvero l’adozione del protocollo IP per l’interconnessione del gran numero di oggetti dispersi nell’ambiente dotati di capacità di elaborazione e comunicazione proprie, rappresenta da un lato il fattore chiave verso la costruzione di ambienti sempre più “smart”, Nuovi contesti, in cui l’intelligenza d’ambiente può contare su una quantità e varietà di dati raccolti con crescente rapidità, favorendo e promuovendo nella sensoristica economie di scala a seguito dell’abbattimento degli steccati rappresentati dai protocolli proprietari adottati dalle grandi manifatturiere. D’altra parte, l’IoT apre grandi brecce nel contesto della sicurezza e della privacy.
A riprova di ciò giova ricordare che a gennaio 2014 i ricercatori di Proofpoint, azienda californiana giudicata da Gartner tra i leader mondiali nel campo della protezione dei dati, hanno osservato nel periodo natalizio (23 dicembre – 6 gennaio) un’intensa campagna di invio di messaggi dolosi di posta elettronica, originati da oggetti dell’IoT. Infatti, più del 25% dei 750 mila messaggi esaminati erano stati inviati da nodi non convenzionali, ovvero diversi da computer, telefoni cellulari e tablet. Tra i dispositivi impiegati dagli attaccanti comparivano router domestici, televisori, sistemi multimediali per l’intrattenimento domestico, e anche un frigorifero.
Questo attacco, primo nel suo genere, non è certo destinato a rimanere isolato. Lo scarso livello di protezione che caratterizza i dispositivi dell’IoT oggi disponibili sul mercato, e la difficoltà da parte dell’utente di verificare se gli oggetti che lo circondano siano stati compromessi e di ripristinare modalità di funzionamento sicure, consentono oggi a soggetti malintenzionati, organizzati e non, di trasformare agevolmente gli oggetti accessibili via Internet in oggetti robot (thing-robot usualmente contratto in thingbot), pronti ad eseguire a comando una serie di azioni, quali ritrasmettere a soggetti non autorizzati i dati in loro possesso, attivare attuatori, o inoltrare messaggi con contenuto doloso, come nell’attacco citato.
Le maggiori fonti di vulnerabilità sono costituite dall’adozione di piattaforme tecnologiche che, al fine di minimizzare i costi, sono prive di adeguati meccanismi di sicurezza, sia a causa della limitata capacità di elaborazione di cui dispongono sia a causa di un’ingegnerizzazione sempre più semplificata. Di conseguenza, sul singolo dispositivo i meccanismi di sicurezza sono estremamente semplici se non addirittura assenti. Inoltre, a differenza di quanto accade nel mondo dei personal computer, la scoperta di vulnerabilità connesse con errori o elementi di debolezza del sistema operativo raramente si traduce in un aggiornamento del dispositivo prima che le suddette vulnerabilità siano sfruttate su vasta scala da malintenzionati.
A ciò va aggiunto che la IoT, sia attuale che futura, essendo composta da un elevato numero di oggetti eterogenei di costruttori diversi, ciascuno caratterizzato da proprie modalità e meccanismi di sicurezza, pone di per sé importanti limitazioni sia nella messa in essere di politiche di gestione della sicurezza uniformi, sia nella reazione concertata ad eventi che potrebbero impattare sulla sua sicurezza e sulla privacy.
In contesti evoluti, per applicazioni che riguardano infrastrutture, critiche e non, e per applicazioni ad uso personale (ad es. domotica), gli oggetti, pur adottando il protocollo IP per le comunicazioni all’interno del proprio ambiente (che include i nodi che li controllano o che rendono disponibili le interfacce verso le persone), sono isolati dal resto del mondo attraverso apparati (secure gateway) che filtrano dati e funzionalità imponendo il rispetto di regole di sicurezza e privacy paragonabili per complessità ed efficacia a quelle applicate per gli altri elementi sensibili della rete.
In questi contesti le vulnerabilità si concentrano nella rete d’accesso che connette gli oggetti, le eventuali unità di elaborazione e memorizzazione ed il gateway, e nell’accesso sicuro, da remoto, alle funzionalità esposte dal gateway attraverso Internet.
I dispositivi collegati tramite cavi metallici e fibre ottiche possono in parte beneficiare dell’adozione di meccanismi volti a garantire la sicurezza fisica dei collegamenti, ma la maggior parte dei dispositivi è ormai connessa con collegamenti radio. Diviene quindi irrinunciabile adottare meccanismi di autenticazione mutua di tipo forte, rigorosi controlli degli accessi alle funzionalità e ai dati, instradamenti sicuri, ed infine meccanismi di cifratura e marchiatura dei dati trasmessi per poterne garantire autenticità, integrità, confidenzialità e riservatezza.
Sono pertanto da privilegiare per l’interconnessione di sensori e attuatori che, a causa delle limitate risorse computazionali di cui dispongono, sono spesso gli elementi più vulnerabili, protocolli come ZigBee che incorporano in modo nativo molti dei meccanismi di sicurezza citati. Di norma, questi meccanismi sono implementati tramite elementi dedicati, crypto engine, delle unità a cui sono demandate le comunicazioni sul canale radio e non sono, quindi, accessibili a livello applicativo. Così come mostrato da una ricerca svolta recentemente per conto dell’ESA sulla messa in sicurezza di reti di sensori telecontrollate anche attraverso collegamenti satellitari, a cui ha partecipato Radiolabs, al fine di poter implementare, senza particolari costi aggiuntivi, né in termini di hardware né di energia impiegata, architetture di sicurezza basate su connessioni sicure da estremo a estremo, è nostra opinione che sarebbe estremamente utile che i produttori di dispositivi rendessero disponibile l’accesso ai crypto engine anche a livello applicativo.
In relazione all’accesso sicuro agli oggetti dell’IoT attraverso gateway dedicati, l’esperienza maturata da Radiolabs attraverso i progetti di ricerca nazionali (industria 2015) ed europei, a cui partecipa nei campi della domotica e delle infrastrutture critiche, ha messo in evidenza la poca attenzione che è stata rivolta dagli organismi internazionali alla standardizzazione della messa in sicurezza degli web service che, di fatto, rappresentano uno degli strumenti più diffusi per l’interazione mediata con gli oggetti. Fondamentalmente è disponibile solo lo standard WS-Security pubblicato da OASIS che riguarda il solo protocollo SOAP. Scarse sono le iniziative relative alla messa in sicurezza di modalità di tipo REST. Sebbene in questi casi sia possibile ricorrere a meccanismi sicuri a livello di strato di trasporto e/o a meccanismi simili a quelli adottati in WS-Security, la loro adozione è lasciata all’arbitrio del singolo progettista e dell’istallatore.
Affinché le misure destinate alla messa in sicurezza dell’IoT siano efficaci è invece necessario che esse siano parte integrante del disegno complessivo e che i requisiti di sicurezza e privacy siano parte integrante dei requisiti irrinunciabili che la Future Internet of Things dovrà soddisfare. Inoltre, la forte eterogeneità degli oggetti e degli elementi infrastrutturali che compongono l’IoT impongono l’adozione pervasiva e sistematica di architetture e protocolli standard che attraverso meccanismi di contrattazione e di adattamento consentano di far evolvere i meccanismi di difesa di pari passo alla minaccia.
Infine, è necessario prevedere funzionalità di diagnostica, monitoraggio e autodifesa distribuite che consentano di verificare che tutti i meccanismi a disposizione siano stati correttamente attivati e configurati, e mettano in essere, se necessario azioni di recupero sia di tipo reattivo che proattivo, idonee a isolare gli oggetti compromessi, riportando il sistema complessivo ad uno stato di funzionamento affidabile e sicuro. Rientrano tra tali misure la gestione dinamica dei rapporti fiduciari tra gli oggetti basata, oltre che sulla mutua autenticazione, sul monitoraggio continuo della reputazione di ciascuno di essi, e l’isolamento dei domini di sicurezza per mezzo di interfacce che abilitano l’uso di un insieme minimale di operazioni e comunicazioni tra oggetti appartenenti a domini differenti.
Ciò è di particolare rilevanza specialmente in contesti applicativi basati sulla cooperazione e/o su meccanismi di trasporto multi-hop in cui alcuni dei nodi attraversati effettuano operazioni di immagazzinamento e rilancio dei dati (come in alcuni casi di interconnessione dei contatori intelligenti usati nelle smart grid). Si ricorda infatti che la compromissione di un nodo, causata a volte dalla applicazione parziale o erronea delle politiche di gestione della sicurezza (ad esempio dal fatto che all’atto dell’installazione non siano state modificate le credenziali di default dell’amministratore), può essere causa di danni rilevanti sia in relazione alla sicurezza che alla privacy di tutto un sistema, con effetti non sempre facilmente predicibili.