L’IoT è una tecnologia fantastica, ma mettersela in casa sembra ancora un rischio. Uno studio di HP ha rivelato molte vulnerabilità.
L’IoT è una tecnologia fantastica, ma mettersela in casa sembra ancora un rischio. Uno studio di HP ha rivelato un’elevata vulnerabilità dei sistemi di sicurezza per la casa connessi all’Internet of Things (IoT). Condotto da HP Fortify e basato su HP Fortify on Demand, lo studio sui sistemi di sicurezza per la casa ha esaminato 10 dei dispositivi IoT più comuni e ha evidenziato che il 100% dei sistemi in esame presentava livelli di sicurezza inadeguati. Sembra infatti che i proprietari dei sistemi di sicurezza per la casa non siano gli unici a poter monitorare le abitazioni… La vulnerabilità si traduce infatti in problemi di protezione con password, crittografia e autenticazione.
La diffusione dei sistemi di monitoraggio, come videocamere e dispositivi di allarme, è aumentata considerevolmente negli ultimi mesi, anche grazie all’espansione del mercato dell’Internet of Things (IoT) e alla riduzione dei costi. Secondo Gartner, nel 2015 verranno utilizzati 4,9 miliardi di dispositivi connessi, un +30% rispetto al 2014, e arriveranno a 25 miliardi entro il 2020.
I produttori stanno facendo il possibile per immettere rapidamente sul mercato sistemi di sicurezza connessi che offrano funzionalità di monitoraggio remoto ma la connettività e l’accesso alla rete necessari per il monitoraggio da remoto presentano delle problematiche che non esistevano nei precedenti sistemi che non prevedevano una connessione internet.
Sono stati individuati i problemi di sicurezza più comuni.
⁃ Autorizzazione insufficiente: tutti i sistemi che includono interfacce web personalizzate basate su cloud e mobile non richiedono una password con livello di complessità e lunghezza sufficienti.
⁃ Interfacce non sicure, che permettono a un potenziale aggressore di ottenere accesso all’account mediante una tecnica di harvesting che sfrutta tre carenze applicative, ovvero enumerazione degli account, policy di password inefficaci e mancanza di funzionalità di blocco degli account.
⁃ Problemi di privacy: tutti i sistemi raccolgono alcune informazioni personali, quali nome, indirizzo, data di nascita, numero di telefono e persino numero di carta di credito. L’esposizione di tali informazioni personali è preoccupante, dati i problemi di harvesting degli account rilevati in tutti i sistemi. La privacy delle immagini video dell’interno della casa costituisce un’ulteriore fonte di preoccupazione.
⁃ Mancanza di crittografia delle trasmissioni: anche se tutti i sistemi implementano la crittografia del traffico, molte connessioni al cloud restano vulnerabili agli attacchi (ad esempio, gli attacchi POODLE).
Se da un lato i fornitori di prodotti IoT stanno lavorando per introdurre le misure di sicurezza essenziali, i consumatori devono prestare la massima attenzione alla sicurezza nella scelta di un sistema di monitoraggio per la propria casa. L’implementazione di una rete domestica sicura prima dell’aggiunta di dispositivi IoT non sicuri, la scelta di funzionalità di sicurezza supplementari quali password complesse, il blocco degli account e l’autenticazione a due fattori sono solo alcune delle misure che i consumatori possono adottare per accrescere la sicurezza della propria esperienza IoT.
Cecilia Cantadore
Francesco Marino
Giornalista esperto di tecnologia, da oltre 20 anni si occupa di innovazione, mondo digitale, hardware, software e social. È stato direttore editoriale della rivista scientifica Newton e ha lavorato per 11 anni al Gruppo Sole 24 Ore. È il fondatore e direttore responsabile di Digitalic
