I rischi per la sicurezza dell’Internet of Things

La gamma e il numero di “cose” connesse a internet è davvero stupefacente, tra queste telecamere di sicurezza, forni, sistemi di allarme, baby monitor e le auto. Ogni cosa sta andando on-line, in modo che possa essere monitorata e controllata in remoto su Internet.
I dispositivi IoT (Internet of Things) incorporano sensori, interruttori e funzionalità di registrazione che raccolgono e trasmettono i dati attraverso la rete internet.
Alcuni dispositivi possono essere utilizzati per il monitoraggio, l’utilizzo di Internet per fornire aggiornamenti di stato in tempo reale. Dispositivi come condizionatori o serrature consentono di interagire e controllare in remoto.
Mentre i dispositivi IoT promettono benefici, introducono anche rischi rispetto alla nostra privacy e sicurezza.


La maggior parte delle persone ha una comprensione limitata delle implicazioni di sicurezza e privacy dei dispositivi IoT. I produttori che sono “primi sul mercato” (prime to market) sono premiati per lo sviluppo di dispositivi a basso costo e nuove funzionalità con poco riguardo per la sicurezza o la privacy.
Al centro di tutti i dispositivi di internet degli oggetti è il incorporato un firmware che è il sistema operativo che fornisce i comandi e le funzioni del dispositivo.
Anche i più grandi produttori di router a banda larga spesso utilizzati componenti firmware insicuri e vulnerabili.
I rischi collegati agli “oggetti in rete” sono aggravati per la loro natura altamente accessibile, così, oltre a soffrire di problemi simili a quelli router a banda larga, i dispositivi IoT devono essere protetti contro una vasta gamma di minacce attive e passive.


Tra le minacce attive dobbiamo considerare che i dispositivi IoT sono spesso collegati alla rete e sono collocati in luoghi da cui possono accedere e controllare altre apparecchiature di rete.
Questa connettività potrebbe consentire agli “aggressori” di utilizzare un dispositivo IoT compromesso per bypassare le impostazioni di sicurezza della rete e lanciare attacchi contro altre apparecchiature di rete come se fosse “dall’interno”.
Molti dispositivi collegati in rete utilizzano password di default e hanno limitati controlli di sicurezza, così chi riesce a trovare un dispositivo non sicuro on-line può accedervi. Recentemente, un gruppo di ricercatori di sicurezza informatica sono anche riusciti a “penetrare” un’autovettura, il cui sistema si basava come unica misura di sicurezza sui numeri di identificazione del veicolo (VIN) facilmente accessibili (e prevedibili).
A differenza di minacce attive, le minacce passivi riguardano la raccolta e la conservazione dei dati degli utenti privati da parte dei produttori. Questo perché i dispositivi IoT sono “sensori di rete” e si basano sui server del produttore per fare l’elaborazione e l’analisi.
Quindi, gli utenti finali possono liberamente condividere tutto, da informazioni di credito a dati personali.


I dispositivi IoT possono “conoscere” un numero enorme di informazioni sul”utente.
Dispositivi come il Fitbit (che monitora lo stato di salute e i dati biologici e agonistici) può anche raccogliere dati da utilizzare per valutare il merito assicurativo della persona.
L’indefinita memorizzazione dei dati da parte di terzi è una preoccupazione significativa. L’entità dei problemi connessi con la raccolta dei dati è appena venuta alla luce.
Così come la concentrazione dei dati di un utente privato sul server di rete diventa anche un bersaglio particolarmente appetibile per i criminali informatici. 
Compromettendo solo i dispositivi di un singolo produttore, un hacker potrebbe ottenere l’accesso a milioni di dettagli delle singole persone in un attacco.


Il vero problema non sono i dispositivi in sé – anche utili, e qualche volta necessari – né la loro programmazione, ma il fatto che in definitiva, come utenti, siamo in balia di produttori. La storia dimostra che i loro interessi non sono sempre allineati con i nostri. 
Il loro ruolo è quello di ottenere nuovi strumenti e prodotti appetibili dal mercato nel modo più economico e più rapidamente possibile.
La maggior parte dei dispositivi possono essere utilizzati solo con il software del produttore.Tuttavia poche informazioni sono fornite su quali dati vengono raccolti o quale sia la modalità di conservazione, con quali tempi, per quale durata e con che scopo.
Quindi, se davvero vogliamo l’ultimo dispositivo uscito sul mercato, e riteniamo che ci serva e ci sia utile, almeno, prima, poniamoci qualche domanda, questa si certamente utile (meglio se preventivamente) a noi stessi ed a tutela della nostra privacy.


-Chiediamoci se i benefici superano i rischi per la privacy e la sicurezza.
-Chi ci fornisce il dispositivo? Sono conosciuti e forniscono un supporto adeguato?
-Hanno una informativa sulla privacy facile da comprendere e chiara?
-Come usano e proteggono i nostri dati?
-Se possibile, cercare un dispositivo con una piattaforma aperta, non limitata ad un solo servizio. Che sia in grado di caricare i dati su un server di nostra scelta.
Alle volte una semplice e banale ricerca su Google del tipo “[il tuo nome del dispositivo] è sicuro?” Perché cerchiamo sempre colori, caratteristiche, prezzo. Ma quasi mai ci occupiamo di verificare se – per caso – i ricercatori di sicurezza e gli utenti hanno già sperimentato quel dispositivo e rinvenuto problemi (spesso gravi) proprio in materia di dati.

Francesco Iandola; Miriam De Nicolo; Max Papeschi