L’edizione 2015 di CES é volta al termine. James Lyne, Global Head of Research di Sophos fa alcune considerazioni sulla sicurezza in ambito IoT
“Uno dei temi principali del CES è stato il concetto sempre più evoluto di ’Connected Human’: se può essere ancora prematuro immaginare di andare al lavoro con un hoverboard, le email ’inviate dal frigorifero’ sono ormai una realtà, così come la possibilità di programmare la nostra macchina del caffè in modo da trovare un espresso caldo ad aspettarci a casa. Siamo anche testimoni del progresso delle applicazioni ’omni-cognisant’, in grado di monitorare ogni nostra azione e, ad esempio, tenere traccia di quanto latte bevono i bambini.
Il crescente numero di start-up e il costante incremento di aziende che operano nell’ambito dell’Internet of things rendono il tema della sicurezza estremamente importante. Implementare soluzioni di sicurezza non deve essere percepito come un aspetto facoltativo, bensì come un fattore indispensabile, poiché tali sistemi ed innovazioni potrebbero essere oggetto di attacchi estremamente rischiosi per la vita personale di ogni utente.
Nel 2014, ci sono stati molti casi in cui i produttori dei dispositivi IoT hanno fallito nel garantire standard di sicurezza minimi, e se da un lato essi stanno prendendo coscienza dell’importanza di proteggere adeguatamente tali dispositivi, dall’altro è necessario che l’industria della sicurezza evolva per rapportarsi efficacemente con queste nuove realtà.
A fronte dello scarso livello di sicurezza di questi dispositivi, è sorprendente come nel 2014 non vi siano stati episodi ancor più eclatanti. Benché sia stata data molta risonanza alle lacune dei dispositivi IoT e nonostante esse siano facilmente sfruttabili, finora non si sono tradotte in interessi finanziari in grado di attirare l’attenzione dei cyber criminali.
Tuttavia, è facile prevedere che lo scenario evolverà di pari passo con lo sviluppo di questo tipo di tecnologia e va altresì considerato che non tutti gli attacchi sono mossi da logiche economiche e che questi device offrono una connessione sempre più immediata tra mondo reale e mondo digitale. Personalmente, ho fatto alcune prove di attacco a wireless con il metodo command injection e mi sono imbattuto in telecamere CCTV prive di lockout degli account e connessioni wireless senza username né password.
I dibattitti intorno al tema della sicurezza hanno dato rilievo a queste nuove problematiche eppure l’interesse sembra essere ancora tiepido, mentre è fondamentale che si diffonda la consapevolezza che questa tipologia di dispositivi rappresenta una minaccia reale alla sicurezza dei dati e degli utenti.
L’industria della sicurezza deve migliorare il proprio approccio a questi nuovi device e i vendor di tali applicazioni devono riconoscere l’importanza della sicurezza (proprio come ha dovuto fare Microsoft in tempi recenti). Inoltre, gli utenti devono accrescere la propria consapevolezza di questo aspetto, affinché la sicurezza divenga un requisito commerciale, e non un ’optional’ o un fastidio”.