Internet of Things a rischio? Ci pensano Google & co. a mettere al sicuro gli oggetti connessi in Rete con un vademecum di buone pratiche che si rivolge tanto ai produttori che ai regolatori, chiamati ad assicurare che lo sviluppo del mondo iper-connesso non si trasformi in un incubo di manomissione di oggetti, furto di dati e tilt di siti web.
Il problema della sicurezza nella IoT non è nuovo, ma negli scorsi mesi alcuni cyber-attacchi hanno mandato offline una serie di siti Internet (anche del calibro di Netflix e Twitter) con massicci Denial of service che hanno sfruttato le vulnerabilità di comuni oggetti della IoT, come telecamere di sicurezza, router, videoregistratori, webcam e altre cose non adeguatamente protette.
Un gruppo di aziende tecnologiche, tra cui Google, Cisco, At&t, T-Mobile, Comcast e Mozilla, parte del Broadband Technical Advisory Group (Bitag, che esiste dal 2010), ha deciso di scendere in campo a favore della sicurezza della IoT per scongiurare una proliferazione di attacchi hacker che non solo frenerebbe lo sviluppo di un importante settore economico ma andrebbe a detrimento di tutta la Internet experience. Ne è scaturito un documento sulla sicurezza e la privacy nella IoT, che include delle raccomandazioni concrete.
“Diversi episodi hanno dimostrato che alcuni device non rispettano le rudimentali best practice in fatto di privacy e security“, si legge nel report del Bitag. “In alcuni casi, i device sono stati compromessi e hanno permesso a utenti non autorizzati di sferrare attacchi di tipo DDoS (Distributed Denial of Service), condurre attività di sorveglianza, accedere e controllare terminali, portare al crash di sistemi e anche disturbare o peggio gli utenti autorizzati dei device”.
Questo è possibile a causa di una serie di debolezze connesse con i terminali della IoT, che potrebbero lasciar trapelare troppo facilmente le password wifi o basarsi su sistemi non aggiornati o non aggiornabili dal punto di vista software o su firmware vulnerabili.
Le raccomandazioni del Bitag sono delle linee guida per i produttori di terminali della IoT ma anche un sottinteso suggerimento per i regolatori. Ci sono norme basilari di security non seguite da tutti i produttori, nota il report, per esempio mettere in vendita device che hanno software aggiornati privi di vulnerabilità note e che prevedono l’encryption. I device dovrebbero essere realizzati in modo tale da poter funzionare anche senza supporto Internet o cloud, le policy sulla privacy dovrebbero essere facilmente comprensibili e dovrebbero esserci chiari meccanismi per rendere noti eventuali bug e vulnerabilità; ancora, i device devrebbero essere resettabili.
Il Bitag si unisce a un coro di voci dell’industria hitech che chiede ai governi di agire a favore della sicurezza della IoT con maggior decisione. “Non so dirvi se sono un fan della regulation, ma se c’è un settore che ne ha bisogno, questo è la Internet of Things“, ha dichiarato a ottobre il chief research officer di F-Secure Mikko Hypponen. “Del resto, i device sono per certi aspetti già regolati: per esempio, gli elettrodomestici non devono fulminare chi li usa o prendere fuoco. Allo stesso modo, è giusto pretendere che non rivelino la password del wifi“.
Resta un nodo da sciogliere, commenta Business Insider: nei recenti attacchi DDoS sferrati sfruttando le vulnerabilità della IoT, molti dei terminali “hackerati” erano di produttori cinesi; se i produttori americani adotteranno nuovi alti standard di sicurezza, non è detto che lo facciano quelli di altri Paesi, soprattutto se basano la loro offerta su prezzi molto economici.
