Attacchi informatici nei sistemi smart homes: le strategie per proteggersi

La sicurezza nelle architetture IoT

La diffusione delle tecnologie IoT è in rapidissima crescita e sempre più numerosi sono i campi di applicazione che si avvalgono di componenti e architetture intelligenti.

L’incremento dei devices connessi a Internet e l’ampliamento dei network migliora la gestione degli ambienti ma aumenta le possibilità di compromettere le strutture IoT. In questo panorama, il tema della sicurezza deve avere un ruolo cardine dalla fase di sviluppo a quella di servizio.

Analisi [1] condotte da Gemalto, compagnia leader in identità e sicurezza digitale, evidenziano come sicurezza e protezione dei dati dovrebbero essere considerati aspetti di primaria rilevanza. Infatti, dalle inchieste emerge che circa il 48% delle aziende non è in grado di rilevare l’integrità dei propri dispositivi IoT.

Similmente, il 40% delle organizzazioni non utilizza sistemi di crittazione dei dati e, di quelli che lo fanno, circa il 50% non applica queste procedure appena il dato viene acquisito ma solamente quando il dato lascia il device.

Nonostante la criticità di questi risultati, il 90% delle compagnie crede che la sicurezza IoT sia di primaria importanza per i consumatori e la quasi totalità è convinta che proporre un approccio rigoroso alla sicurezza sia una caratteristica chiave per differenziarsi sul mercato.

Sebbene siano evidenti le attuali lacune e le necessità di produttori e consumatori, le soluzioni proposte sono ancora parziali. Il problema principale è la mancanza di standard globali per la sicurezza informatica.

Architetture IoT: primi passi verso standard condivisi

Un primo (e recente) passo in questa direzione è stato fatto dal Comitato tecnico sulla cyber security dell’ETSI (European Telecommunications Standards Institute). A febbraio 2019 l’ETSI ha rilasciato uno standard (ETSI TS 103 645) per la sicurezza informatica nell’Internet of Things.

Questo standard riporta delle raccomandazioni generali che possono essere applicate a qualunque dispositivo IoT. L’obiettivo è di garantire un livello di sicurezza di base di tutti i dispositivi connessi, accrescendo l’affidabilità dei prodotti e la fiducia dei consumatori. 

Alcuni suggerimenti generali riguardano il rilascio periodico degli aggiornamenti software o la predisposizione di metodi specifici per segnalare le vulnerabilità dei dispositivi. Altre raccomandazioni coinvolgono le modalità di archiviazione delle credenziali e la protezione dei dati personali.

Lo standard è tuttavia una soluzione parziale, poiché queste ‘best practices’ sono rivolte solo a dispositivi IoT di ampio consumo (come giocattoli, telecamere intelligenti, TV smart, lavatrici o assistenti domestici intelligenti) e non si impongono come un vincolo per ogni dispositivo connesso alla rete.

Gli attacchi informatici maggiormente diffusi nei sistemi smart homes

Gli attacchi informatici, solitamente, hanno lo scopo di compromettere la struttura interna dei sistemi IoT o di ottenere l’accesso a dati e informazioni allocate nei server. 

Di seguito, si presenta una breve panoramica delle minacce più comuni per i sistemi delle smart homes [2].

• Eavesdropping. Questa tecnica mira ad intercettare le conversazioni private altrui, sia in entrata che in uscita. L’attacco avviene quando si ottiene l’accesso al router degli inquilini. Inoltre, se il criminale si trova in prossimità dell’abitazione, attraverso speciali hardware può intercettare i messaggi wireless inviati dai vari sensori, ottenendo importanti informazioni sulle abitudini degli occupanti.
• Impersonation. Con questa tecnica il criminale prende il posto dell’utente legittimo (con le credenziali ottenute mediante l’eavesdropping) e modifica le attività della rete per qualche fine illecito.
• Software exploitation. I software possono essere sfruttati da terzi non autorizzati a causa del loro basso (o nullo) livello di sicurezza. Ad esempio, la mancata modifica della password di default o il mancato aggiornamento del software aumentano le vulnerabilità del device e, di conseguenza, di tutto il sistema.
• Denial of Services (DoS). Questa tecnica consiste nell’ostacolare la normale funzionalità di sensori, dispositivi o router, mandando più comandi in parallelo o messaggi corrotti. I devices non riconoscono questi segnali e nel tentativo di processarli, vanno in crash. Il fine di questo attacco è di impossibilitare all’utente legittimo l’accesso al proprio sistema smart home tramite Internet.
• Ransomware. Con questo attacco, il cyber criminale mira a ottenere un riscatto. Infatti, entrato in possesso delle credenziali dell’utente, egli le modifica e richiede un compenso alla vittima per fornire la chiave di decrittazione.

Attacchi informatici: le strategie per proteggersi

Esaminati gli attacchi più diffusi, è necessario identificare quali sono le strategie che possono minimizzare i rischi di subire delle intromissioni e delle manomissioni ai sistemi.

Gli attacchi generalmente sono diretti o verso gli elementi del livello percettivo (cioè sensori e attuatori) oppure avvengono durante il trasporto (i.e. nel network). I devices sono identificati come le componenti più deboli dei sistemi ma, di solito, permettono di applicare in maniera semplice strategie di difesa [3]. Similmente, lo scambio di dati attraverso protocolli wireless aumenta la facilità di intromissione durante il passaggio dal sensore al server.

Semplici azioni che possono essere compiute anche da utenti non esperti, sono fondamentali per innalzare il livello di sicurezza dei dispositivi e di tutto il network. 

Primo tra tutti, è importante modificare username e password di default e autenticare ogni device IoT per non lasciare punti vulnerabili di accesso alla rete. È buona norma prevedere un sistema di cifratura (encryption) dei dati al fine di non renderli facilmente leggibili. I cyber criminali sviluppano continuamente nuove e differenti tipologie di minacce. In parallelo, i produttori rilasciano aggiornamenti per far fronte alle vulnerabilità più recenti. Quindi, eseguire update e aggiornamenti di tutte le componenti software degli apparati contribuisce a mantenere elevati i livelli di sicurezza. Inoltre, il sezionamento della rete può essere una buona strategia per arginare eventuali manomissioni scaturite da un punto debole. In contesti caratterizzati da reti di ampie dimensioni, eseguire un’analisi dei possibili attacchi può aiutare a prevedere situazioni pericolose, a definire strategie personalizzate e a rimediare ad eventuali elementi vulnerabili.

IoT: Problemi di privacy

Rispettare la privacy degli utenti genera sfide considerevoli sia per chi sviluppa le componenti sia per chi raccoglie e usa i dati. Gli oggetti connessi possono generare enormi quantità di dati e molti di essi sono di natura personale [3]. Un esempio concreto e attuale è quello degli assistenti intelligenti (come Alexa o Siri). La loro diffusione sta facendo crescere notevolmente la quantità di informazioni (in termini sia di azioni sia di conversazioni) registrate e immagazzinate nei server dei provider (e.g. Google, Amazon, Apple). Tuttavia, non è ben chiaro quanti dati vengano salvati, se ciò venga fatto con il consenso dei consumatori e, soprattutto, come queste informazioni vengano usate.

Un’indagine condotta da Ipsos MORI [4] in sei nazioni (UK, USA, Canada, Giappone, Francia e Australia) ha evidenziato che circa la metà dei consumatori non crede che i loro devices IoT siano forniti di strategie per proteggere la loro privacy e che le informazioni non siano usate responsabilmente.

Sebbene venga registrata una certa diffidenza nei confronti di questi dispositivi (soprattutto dovuta a motivi di sicurezza e privacy), le vendite di devices IoT è aumentata del 25% lo scorso anno e sono attesi incrementi sempre maggiori [5].

I temi di privacy e di gestione dei dati sono stati recentemente protagonisti di una importante trasformazione. Infatti, il 25 maggio 2018 è entrato in vigore il nuovo regolamento generale sulla protezione dei dati UE 2016/679 (ovvero il GDPR – General Data Protection Regulation). Il regolamento si pone l’obiettivo di portare uniformità nella tutela dei dati personali a livello Europeo. Il GDPR aumenta la libertà dei titolari dei dati in merito alla scelta del modello di protezione e, di conseguenza, crea sensibili conseguenze sulle attività dei produttori dei dispositivi IoT e dei gestori dei dati.

La norma non definisce delle precise regole per la realizzazione dei devices IoT ma ha il suo focus nel mantenimento di adeguati livelli di sicurezza dei dispositivi e di privacy dei dati.  

Per raggiungere questo proposito, il GDPR (art. 25) fornisce delle linee guida che illustrano come garantire questi standard nel tempo. In particolare, metodologie e tecniche di sviluppo saranno indirizzate al supporto dei concetti di ‘Privacy by Design’ e ‘Privacy by Default’. Con Privacy by Design si intende l’inclusione degli aspetti relativi alla privacy fin dalle prime fasi della progettazione di un processo o di un dispositivo. Questo approccio dovrebbe garantire che la privacy sia mantenuta durante tutto il ciclo di vita del sistema o del processo. In parallelo, il concetto di Privacy by Default implica che le più stringenti impostazioni di privacy vengano applicate di default, senza la necessità di input manuali da parte dell’utente finale. Inoltre, ogni dato che l’utente ha acconsentito a fornire per il corretto funzionamento del sistema, deve essere mantenuto solo per il tempo necessario affinché il servizio venga erogato.

Sebbene il GDPR sia entrato in vigore da un anno, le problematiche relative alla privacy e al data breach (cioè la violazione dei dati personali in termini di distruzione, perdita, modifica, divulgazione o accesso non autorizzato) non sono ancora completamente risolte.

Inoltre, la diffusione e la numerosità dei diversi dispositivi IoT (già in commercio e in fase di sviluppo) sottolinea l’urgenza di trovare soluzioni efficaci [6] per preservare la privacy di dati personali, per mantenere le informazioni in database il più locali possibili e per promuovere l’uso di ‘soft Identities’ (i.e. identità generate da quella reale che possono essere progettate ad hoc per differenti contesti o applicazioni senza necessità di rivelare informazioni personali).

Sicurezza e privacy saranno al centro dei futuri sviluppi 

Ad oggi, i temi della protezione e della sicurezza IoT restano di elevata complessità.

Lo standard proposto dall’ETSI è solo una prima iniziativa mirata a una regolamentazione standardizzata e globale della sicurezza. L’augurio è che abbia dato avvio a una procedura che possa supportare e aiutare i produttori nello sviluppo di dispositivi che rispettino completamente i requisiti di sicurezza e privacy.

In tempi brevi dovrebbe essere emanato dall’ENISA (Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione) il Cybersecurity Act. Lo scopo principale di questo regolamento è di introdurre un sistema di certificazione della sicurezza di prodotti e servizi digitali omogeneo e accettato da tutta la comunità europea.

È evidente che nel prossimo futuro privacy e sicurezza saranno due aspetti cruciali per accrescere l’affidabilità di dispositivi e sistemi IoT e consolidare la fiducia degli utenti in questa tecnologia [7].

Riferimenti

[1] Gemalto, “State of IoT security,” 2018. [Online]. Available: https://safenet.gemalto.com/iot-2018/?utm_campaign=iot&utm_medium=press-release&utm_source=-&utm_content=report-2018.

[2] D. Mocrii, Y. Chen, and P. Musilek, “IoT-based smart homes: A review of system architecture, software, communications, privacy and security,” Internet of Things, vol. 1–2, pp. 81–98, Sep. 2018.

[3] M. Frustaci, P. Pace, G. Aloi, and G. Fortino, “Evaluating critical security issues of the IoT world: Present and future challenges,” IEEE Internet Things J., vol. 5, no. 4, pp. 2483–2495, 2018.

[4] Consumers International and Internet Society, “The trust opportunity: Exploring Consumers’ Attitudes to the Internet of Things,” 2019.

[5] IDC, “Worldwide Quarterly Smart Home Device Tracker,” 2018.

[6] O. Vermesan and P. Friess, Internet of Things – From Research and Innovation to Market Deployment. Aalborg: River Publishers, 2014.

[7] J. Gubbi, R. Buyya, S. Marusic, and M. Palaniswami, “Internet of Things (IoT): A vision, architectural elements, and future directions,” Futur. Gener. Comput. Syst., vol. 29, no. 7, pp. 1645–1660, Sep. 2013.