Ottobre è il mese della sicurezza: CyberSecurity Awareness (NCSAM) negli USA e CyberSecurity Month (ECSM) in Europa. Si tratta di iniziative varate in collaborazione tra governi e aziende per sviluppare la consapevolezza sui vari aspetti della cyber security ed educare le persone a provvedere alla propria sicurezza online.
Negli Stati Uniti, in occasione del mese dedicato alla sicurezza vengono trattati diversi temi e normalmente ogni settimana ne viene approfondito uno. Quest’anno il modello è leggermente diverso, con il focus su tre diversi pilastri della sicurezza: Own IT, Secure IT, Protect IT.
Questi macrotemi sono stati suddivisi in 13 aree e oggi ne approfondiremo una: l’Internet delle Cose (IoT).
Indice degli argomenti
I problemi di sicurezza dell’IoT
Per Internet delle Cose (IoT) si intendono gli oggetti e i dispositivi che sono connessi a Internet o a una rete connessa a Internet: modem, router, telecamere per la videosorveglianza, smart TV, assistenti personali come Amazon Echo, campanelli come Google Nest e frigoriferi intelligenti capaci di inviare avvisi allo smartphone.
Ogni auto che invia informazioni diagnostiche all’email o al telefono è parte dell’Internet of Things.
Indipendentemente da quanti dispositivi vengano usati nelle nostre case, l’Internet delle Cose cresce intorno a noi.
Le pubbliche amministrazioni adottano dispositivi “smart city” per semplificare la gestione delle infrastrutture, la sicurezza, l’uso delle utility, i flussi di traffico, le situazioni di emergenza e le comunicazioni.
Anche nelle aree rurali si usano dispositivi connessi a Internet per monitorare, ad esempio, le utility o le condizioni meteo. L’IoT è usato in modo diffuso anche nelle aziende e nell’industria: videocamere e allarmi per la protezione di aree sensibili, sistemi SCADA per gestire le infrastrutture industriali, i processi, mentre i sistemi GPS identificano i percorsi migliori e tengono traccia delle consegne.
Qual è dunque il problema di tutte queste “cose”? Ce ne sono diversi:
- Gartner calcola che vi fossero 11,2 miliardi di dispositivi nel 2018, che diventeranno 20,4 miliardi nel 2020. Le stime variano, ma l’unica certezza è che i numeri sono in crescita;
- molti dispositivi sono vecchi e non vengono aggiornati o sostituiti da anni;
- molti non prevedono controlli di sicurezza, come ad esempio la sostituzione della password di default o ‘uso di una password complessa;
- spesso si tratta di dispositivi “selvaggi”, nel senso che sono stati aggiunti alla rete all’insaputa dei responsabili IT. Un’operazione semplice come la sostituzione di un termostato in un ufficio potrebbe introdurre nella rete uno IoT non gestito;
- se un criminale fosse in grado di compromettere un numero sufficiente di questi dispositivi, potrebbe dar vita a un potente attacco. Nel 2016 la botnet Mirai è stata usata per lanciare un attacco DDoS contro Dyn, un fornitore di infrastrutture che supporta siti come Twitter, Reddit e GitHub. Tutti questi siti sono stati non disponibili o hanno funzionato a capacità ridotta fino a che l’attacco è stato mitigato. (Qui il creatore di Mirai si dichiara colpevole degli attacchi);
- un piccolo numero di dispositivi critici con le giuste connessioni può creare pesanti danni. È quello che è successo con Stuxnet, dove diversi controller PLC erano connessi a un normale PC. Per quanto si pensasse che il PC fosse stato infettato da un drive USB, questo è un buon esempio di come un piccolo numero di dispositivi smart non protetti possa essere sequestrato con relativa facilità.
È anche possibile che uno dei nostri dispositivi sia compromesso e prenda parte a un attacco senza che lo veniamo mai a sapere.
Ecco come mettere in sicurezza l’IoT
Cosa fare dunque affinché i dispositivi siano il più possibile sicuri? Il primo passo, il più semplice e importante, è di modificare la password del dispositivo non appena viene configurato per l’uso.
Le password di default sono spesso disponibili pubblicamente, o perché indicate nei manuali utente o nei siti di supporto, o perché presenti su mega liste ad uso degli amministratori di sistema che operano regolarmente su questi dispositivi. Se un malvivente incappa in un dispositivo che usa ancora la password di default, c’è poco da fare per proteggersi dall’attacco.
Poiché molti dispositivi IoT sono controllati da app mobili, è bene controllare tali app per accertarsi che non abusino dei permessi e di utilizzare solo app verificate.
Conservare sempre il manuale utente e ricordare come controllare la disponibilità di aggiornamenti. Se il dispositivo non può essere aggiornato, forse è meglio sostituirlo con qualcosa che sia adeguatamente supportato dal produttore.
Un ultimo consiglio è controllare che la rete sia sicura. Seguire le buone pratiche nella scelta delle password, usare le protezioni endpoint, abilitare il firewall sul router ed eventualmente segmentare la rete in modo da separare i dispositivi IoT da qualunque hardware che contiene informazioni sensibili o applicazioni con particolari privilegi.
Ad esempio, è opportuno mantenere separate le videocamere di sicurezza da dispositivi come i player Chromecast.
I consigli per aziende e PA
La sicurezza per i dispositivi IoT usati nelle aziende e nella PA può essere più complessa e sicuramente è più importante in virtù della natura stessa dei dispositivi impiegati.
Pensiamo a cose come le pompe di benzina, i sistemi di pagamento, i bancomat.
Le regole base di sicurezza sono sempre valide, ma ci sono anche degli speciali firewall che monitorano e proteggono costantemente questi dispositivi.
Per chi si trova nella posizione di gestire dispositivi critici come questi, il mese della cyber security awareness può essere l’occasione giusta per verificare la sicurezza di ogni dispositivo e che la rete sia adeguatamente protetta.
