Data Pubblicazione:

IoT e Security: cosa c'è dietro un attacco Cyber? Come gestire e mitigare il rischio

Il professore Marco Baldi dell'Università Politecnica delle Marche, spiega come i dispositivi IoT possano diventare "vittime" di incidenti cyber.

 

Intelligenza artificiale e Internet of things, ricopriranno un ruolo sempre più importante nelle attività quotidiane e nei settori produttivi. Tuttavia, i sistemi intelligenti e gli oggetti connessi in rete potrebbero comportare dei rischi da non sottovalutare.

Marco Baldi, professore del Dipartimento di Ingegneria dell'Informazione dell'Università Politecnica delle Marche, spiega come i dispositivi IoT possano diventare "vittime" di incidenti cyber.

cybersecurity-700.jpg

Cosa sono e a cosa servono i dispositivi IoT?

Nuovi paradigmi come l’industria 4.0 e lo smart building poggiano le proprie basi sull’insieme di tecnologie che rientrano nel nome di Internet of Things (IoT).

Per IoT intendiamo sistemi composti da piccoli dispositivi autonomi e intelligenti, distribuiti in modo capillare e dotati di connettività. Tipicamente tali dispositivi sfruttano hardware embedded e costituiscono piccoli sistemi ciber-fisici, ovvero capaci d'interagire con l’ambiente che li circonda per acquisire alcune grandezze in forma digitale (sensori) oppure intervenire sull’ambiente stesso a seguito di un comando remoto (attuatori).

Due sono le caratteristiche che accomunano tali paradigmi:

  • Risorse limitate: i dispositivi IoT sono spesso alimentati a batteria e hanno vincoli elettrici e meccanici che ne limitano le risorse computazionali e di memoria.
  • Connessione continua: i dispositivi IoT sono continuamente connessi a Internet per realizzare le funzioni a cui sono preposti.

Le moderne reti di accesso, come la rete 5G, prevedono l’uso di protocolli specificamente progettati per la connessione di dispositivi IoT. Inoltre, i moderni protocolli di routing, come l’Internet Protocol versione 6 (IPv6), consentono l’indirizzamento di milioni di dispositivi IoT in modo tale che essi siano direttamente affacciati sulla rete Internet pubblica e pertanto non necessitino di dispositivi intermedi (gateway) per la loro connessione.

Tali caratteristiche, se da un lato amplificano le potenzialità della IoT nei suoi molteplici settori applicativi, dall’altro aprono scenari critici dal punto di vista della cybersecurity, ovvero dell’esposizione dei dispositivi stessi alle minacce cyber.

IoT ed esposizione al rischio cyber

Il panorama dei sistemi IoT sopra descritto pone due sostanziali criticità dal punto di vista dell’esposizione al rischio cyber:

  • Superficie di attacco: la crescita esponenziale del numero di dispositivi connessi direttamente alla rete Internet corrisponde a una paritetica crescita della cosiddetta “superficie di attacco”, ovvero della base di nodi di rete che possono essere oggetto di attacchi cyber. La maggioranza degli attacchi, infatti, non è diretta verso uno specifico nodo, ma tenta di colpire quanti più nodi vulnerabili si riescano a raggiungere tra tutti quelli connessi alla rete.
  • Obsolescenza hardware/software: i dispositivi embedded sono dotati di risorse limitate e sono aggiornati meno frequentemente rispetto ai dispositivi normali. Ciò è dovuto a fattori molteplici: trattandosi di dispositivi molto numerosi e a bassissimo costo, il loro aggiornamento costituisce un’operazione spesso troppo onerosa e complessa per poter essere eseguita frequentemente. Inoltre, qualora tali dispositivi siano soggetti a certificazione, l’aggiornamento del software certificato ne richiede una nuova e ciò costituisce un motivo per cui spesso se ne ritarda l’aggiornamento.

Le due criticità sopra descritte fanno sì che i dispositivi IoT possano facilmente essere vittima di incidenti cyber, come già accaduto in diverse occasioni.

Attacchi Cyber: come agisce il software malevolo

Un esempio celebre è l’attacco avvenuto il 21 Ottobre 2016 e noto come “Dyn cyberattack”.

Tale attacco è stato reso possibile da un software malevolo noto col nome di “Mirai” ed è stato un attacco di tipo “distributed denial-of-service”.

In pratica, un attacco di tale natura consiste nell’impossessarsi del controllo di numerosi nodi di rete, che diventano degli “zombie” pilotati da un centro di comando e controllo offensivo. Tali zombie vengono poi indotti a contattare tutti contemporaneamente uno specifico servizio, il quale soccombe davanti all'abnorme mole di richieste ricevute in un brevissimo lasso di tempo, procurando un temporaneo oscuramento del servizio stesso. 

Nel caso in esame, vittime dell’attacco sono stati alcuni fornitori di servizi celebri, quali Twitter, Spotify, Cnn, New York Times, Financial Times, Boston Globe, The Guardian, Netflix, Airbnb, Visa, eBay, Reddit, Amazon ed altri, col risultato di perdite dell’ordine di milioni di dollari.

L’analisi di tale attacco ha portato alla conclusione che vettori di attacco sono stati effettivamente dispositivi embedded, quali webcam, router domestici, videocamere per bebé, strumenti medici, smart TV ed altri.

L’attacco del 21 Ottobre 2016 fornisce un chiaro esempio della miscela esplosiva che si viene a creare quando milioni di dispositivi IoT connessi a Internet vanno a creare un’aumentata superficie di attacco con una altrettanto estesa base di vulnerabilità. Il malware Mirai, infatti, è capace di sfruttare una vulnerabilità intrinseca nel software di alcune piattaforme embedded, soprattutto se non aggiornato.

D’altro canto, l’aumento della superficie di attacco è una caratteristica inevitabile per i sistemi IoT, che per loro stessa natura necessitano di un numero sempre crescente di nodi di rete. Tali nodi sono facilmente individuabili: a esempio, il motore di ricerca Shodan è capace di individuare specifiche tipologie di dispositivi connessi alla rete, dalle webcam ai frigoriferi. Nasce quindi naturalmente l’esigenza di proteggerli dalle minacce cyber.

cyber-security-700.jpg

Gestione e mitigazione del rischio cyber

Appurato che esiste un rischio intrinseco nelle tecnologie IoT sotto il profilo cyber, ciò di cui si necessita è un approccio metodologico alla gestione e alla mitigazione del rischio stesso.

A tale scopo, un primo passo consiste nell’adozione e nell’uso di strumenti per l’autovalutazione del rischio cyber, come il Framework Nazionale per la Cyber Security e la Data Protection.

Tale strumento, progettato e mantenuto dal laboratorio nazionale di cybersecurity del consorzio interuniversitario nazionale per l’informatica, raccoglie 117 controlli che permettono di delineare il quadro di un’azienda o istituzione nei confronti del rischio cyber.

I controlli del framework sono organizzati nelle seguenti categorie, mutuate dal framework NIST:

  • Identify (37 controlli): hanno la funzione di identificare il contesto aziendale e gli asset che supportano i processi ed i servizi critici, nonché i rischi a essi associati. 
  • Protect (39 controlli): hanno la funzione di proteggere i processi, i servizi e gli asset aziendali, indipendentemente dalla loro natura informatica. 
  • Detect (18 controlli): hanno la funzione di realizzare attività appropriate per l’identificazione tempestiva di incidenti di cybersecurity. 
  • Respond (17 controlli): hanno la funzione di definire e attuare opportune attività per intervenire quando un incidente di cybersecurity è stato rilevato, contenendone l’impatto. 
  • Recover (6 controlli): hanno la funzione di gestire i piani e le attività per il ripristino dei processi e dei servizi colpiti da un incidente cyber, garantendo la resilienza dei sistemi e delle infrastrutture e supportando il recupero tempestivo dei servizi.

Rischio cyber e riferimenti normativi

Agli strumenti per l’autovalutazione del rischio cyber vanno affiancati i riferimenti normativi, che in taluni contesti sono di natura obbligatoria, mentre in altri sono comunque raccomandati.

Primo su tutti, in ambito europeo il regolamento generale sulla protezione dei dati (GDPR) definisce quali dati sono da intendersi personali e sensibili, e quali garanzie e misure di protezione devono essere date a tutti i cittadini europei relativamente ai propri dati.

Sebbene non tutte le infrastrutture di tipo IoT manipolino dati personali, molte di esse effettivamente lo fanno e pertanto sono soggette alla GDPR. Basti pensare alle applicazioni IoT in ambito medico e sanitario. Nondimeno, la localizzazione degli individui è da considerarsi dato personale, mentre le loro abitudini domestiche sono addirittura dati sensibili, e pertanto, qualora oggetto di rilevazione tramite sistemi IoT, ricadono nell’ambito di applicazione della GDPR.

A tali norme si affiancano raccomandazioni relative alle infrastrutture tecnologiche, le quali variano in funzione dell’ambito applicativo e della tipologia di azienda o istituzione.

Ad esempio, la recente direttiva NIS si applica ai settori e alle infrastrutture critiche, mentre le misure minime di sicurezza ICT definite dall’AgID si applicano alla pubblica amministrazione. Ne segue che, oltre a sottoporsi ad una valutazione del rischio trasversale, l’uso di sistemi IoT deve ovviamente tenere conto delle norme che si applicano allo specifico settore applicativo.

In conclusione, se da un lato oggi possiamo avvalerci di dispositivi a basso costo ed elevata intelligenza, che facilmente si connettono alla rete per consentirci di realizzare sistemi e servizi impensabili fino a poco tempo fa, dall’altro lato connettere un nuovo dispositivo alla rete significa estendere la superficie di attacco e l’esposizione al rischio cyber, rischio che può essere mitigato solo ricorrendo a opportune misure preventive e contenitive che sono codificate dagli organismi nazionali ed internazionali di riferimento.


Sicurezza informatica: Ancora ospita la quarta edizione di ITASEC20

Ancona ospita la quarta conferenza nazionale sulla sicurezza informatica: dal 4 al 7 febbraio ricercatori, professionisti, accademici e mondo dell'industria si riuniranno per discutere le sfide emergenti e i bisogni nel campo della cybersecurity.

ITASEC20 è organizzato dal Laboratorio nazionale di Cybersecurity del Consorzio Interuniversitario Nazionale per l'Informatica, in collaborazione con l'Università Politecnica delle Marche e l'Università degli studi di Camerino.