Le sfide alla sicurezza dei dispositivi IoT sono un argomento molto dibattuto, per una buona ragione. In questo articolo, Attila Szasz, CEO e fondatore di BugProve, farà luce sulle ragioni, le tendenze e le aspettative attuali.
Quali sono le sfide globali alla sicurezza legate ai dispositivi IoT?
Forse il più grande campanello d’allarme è stato l’attacco botnet Mirai, che ha dato il via ai cambiamenti. I set-top box compromessi e gli attacchi coordinati che potrebbero bloccare GitHub, Twitter e Reddit hanno dimostrato molto bene il rischio maggiore.
Se è presente una vulnerabilità in un dispositivo, è presente e accessibile in tutti i dispositivi distribuiti. Questo non è più solo un semplice rischio per la sicurezza.
Anche l’attuale guerra tra Russia e Ucraina lo ha evidenziato. Le agenzie di intelligence hanno cercato di hackerare le telecamere IP, che erano punti deboli attraverso i quali il nemico poteva essere più facilmente spiato. Non dimentichiamo che questi dispositivi non si trovano solo nelle nostre case ma anche negli edifici governativi e militari e nelle infrastrutture critiche.
Indipendentemente dal settore, la maggior parte delle imprese digitali si trova ad affrontare dei rischi se i dispositivi IoT operano all’interno dei confini della propria rete. Le vulnerabilità dei dispositivi possono rappresentare i punti di ingresso durante gli attacchi contro obiettivi di alto valore.
Come primo esempio di ciò, un casinò ha fatto notizia nel 2017 hackerato attraverso un acquario intelligente. Nonostante avessero investito molto nella sicurezza informatica, non pensavano che l'acquario potesse essere l'anello debole. Da allora, sempre più dipartimenti di sicurezza delle informazioni si sono resi conto dei rischi associati alle risorse IoT sulla propria rete e hanno aumentato la spesa per scoprire tali tentativi dannosi e dispositivi rischiosi.
Cosa rende diversi i dispositivi IoT? Perché sono più impegnativi?
Sicurezza dei sistemi integrati è un modo fondamentalmente diverso rispetto allo spazio delle applicazioni. Ecco alcuni fattori chiave.
- Forse la differenza iniziale più significativa è lo spazio di archiviazione e le risorse limitate, che impongono molti vincoli al codice IoT. Sebbene alcuni progetti software, come Linux e FreeRTOS, abbiano una quota di mercato relativamente ampia, lo spettro di tutti i progetti IoT è molto eterogeneo. In genere, questi processi implicano codice chiuso specifico dell'hardware, che spesso influisce negativamente sulla sicurezza.
- I dispositivi devono risolvere l'intero problema da soli, spesso senza un sistema operativo completo. Il codice bare metal è spesso suscettibile ai vettori di attacco, dove semplici problemi come un puntatore nullo dereferenziato finiscono per essere sfruttabili a causa dell'ambiente privo di protezione della memoria o di altre funzionalità di sicurezza solitamente impostate dal sistema operativo.
- Spesso non esiste alcun controllo su determinati componenti acquistati e gli SDK associati vengono forniti con codice di esempio vulnerabile senza alcuna garanzia. A volte, il codice vulnerabile viene distribuito come codice sorgente in cui un controllo di terze parti potrebbe rilevarlo. Tuttavia, spesso accade che l'SDK nasconda queste vulnerabilità sotto forma di modifiche personalizzate ai file binari di sistema precompilati per la piattaforma.
- Ad aggiungere ulteriori complicazioni c’è il fatto che i produttori in genere cercano l’elemento più economico che soddisfi i requisiti. Finché una solida sicurezza non sarà tra i requisiti rigorosi, i progetti ridurranno al minimo i costi a scapito di misure di base come la crittografia avanzata o la separazione dei privilegi.
- I linguaggi di programmazione comunemente utilizzati nel settore, come C e C++, rappresentano una sfida dal punto di vista della codifica sicura. I problemi relativi alla sicurezza della memoria rappresentano ancora le principali classi di vulnerabilità che affliggono questi progetti.
- La difficoltà dei test di sicurezza è l’ultimo chiodo nella bara. Mancano strumenti che potrebbero aiutare in quest’area, con solo pochi progetti open source disponibili. A ciò si aggiunge il fatto che sul mercato mancano diversi milioni di professionisti della sicurezza. Pertanto, è impossibile fare affidamento esclusivamente sulla supervisione umana.
Chi ha la responsabilità? Operatori o Produttori?
Certamente, affrontare numerose questioni implica l’impiego attivo di operazioni adeguate, inclusi firewall, XDR e piattaforme di osservabilità dell’IoT. Tuttavia, anche con queste misure in atto, la vulnerabilità dei dispositivi può rimanere un rischio, soprattutto se si tratta di un attacco mirato contro una risorsa di alto valore all’interno di un’organizzazione. Pertanto, riteniamo che sia principalmente responsabilità del produttore garantire che il proprio prodotto soddisfi le aspettative di sicurezza di base.
Fortunatamente, la situazione è migliorata sotto un aspetto significativo: se oggi scopriamo una vulnerabilità in un prodotto e la segnaliamo, le aziende in genere non lo vedono come un attacco di pubbliche relazioni ma piuttosto come un contributo gradito. È più probabile che i produttori esprimano la loro gratitudine e collaborino con noi per affrontare il problema.
Perché un tipo di dispositivo ha una posizione di sicurezza migliore rispetto a un altro?
Ciò che sto per dire potrebbe non sorprendere: quei dispositivi avevano un livello di sicurezza informatica più elevato laddove era presente una motivazione aziendale e un reale potenziale di attacchi.
Un ottimo esempio di ciò è il set-top box come dispositivo. Si potrebbe pensare che rientri nella stessa categoria di un router, soprattutto se si considerano dispositivi più economici e di qualità inferiore. Tuttavia, dal punto di vista della sicurezza, ho riscontrato una differenza significativa.
I set-top box economici analizzati disponevano di risorse hardware dedicate e funzionavano con una crittografia seria. Ciò è dovuto principalmente ai creatori di contenuti che hanno stipulato contratti con operatori e fornitori di TV via cavo che prevedevano pesanti sanzioni in caso di furto, poiché volevano proteggere la loro proprietà intellettuale. Di conseguenza, gli operatori hanno improvvisamente avuto un forte interesse a garantire che i contenuti raggiungessero i consumatori in modo sicuro.
Nel terzo mondo, questo è particolarmente un grande affare. La pirateria è diventata un settore a tutti gli effetti, con alcuni gruppi dannosi che gestiscono persino le loro operazioni via satellite pirata. Pertanto, si è verificata una pressione significativa sugli operatori, che ha portato allo sviluppo di dispositivi più sicuri.
Processi simili hanno reso sicure anche le console di gioco.
In netto contrasto con ciò, i router e le telecamere IP sono molto meno sicuri. Secondo la nostra ricerca, in media 8 persone su 10 presentano gravi vulnerabilità. E in generale, abbiamo riscontrato che i dispositivi più seri e costosi tendono ad essere più sicuri.
Regolazione e consapevolezza del cliente
Ora arriviamo a una questione cruciale, ovvero la consapevolezza del cliente. In poche parole, le minacce non sono ancora a un livello tale da costringere i produttori a ottimizzare la sicurezza, poiché i consumatori non penalizzano i dispositivi più deboli. Naturalmente sorge la domanda su come i consumatori potrebbero valutarlo, ma ci sono problemi più significativi in gioco.
Alcuni non sono nemmeno arrivati a comprendere il problema, che è il pericolo stesso.
C'era un articolo su BugProve intitolato qualcosa del tipo, “Proteggiamo il tuo frigorifero intelligente dagli attacchi.” Uno dei commenti più gettonati è stato: "Aiuto, cosa mi succederà se hackerano e rubano i miei bocconcini di pollo?"
Doveva essere uno scherzo sarcastico e l'ho trovato anche divertente. Tuttavia, penso che faccia luce anche sulla questione se il consumatore medio si trovi in una situazione di svantaggio psicologico quando mette in relazione le preoccupazioni sulla privacy e sulla sicurezza con oggetti domestici altrimenti innocui. Si potrebbe anche chiamarlo “l’errore dell’acquario” come per l’incidente del casinò.
Per noi, esperti di sicurezza, è facile vedere immediatamente le sfide alla sicurezza dei dispositivi IoT ovunque vediamo microcontrollori e altro hardware informatico collegati alle reti IP, anche se nascosti all’interno di oggetti familiari, tuttavia, questo non è stato il caso per la popolazione più ampia. .
Il ruolo dei regolamenti
Come illustra l'esempio precedente del casinò, il rischio non dipende dalla funzione originale del dispositivo compromesso; il problema è che qualsiasi dispositivo IoT può fungere da punto di ingresso nella rete del cliente e da lì un utente malintenzionato può ottenere risorse aggiuntive. Il codice dannoso inserito in questo modo spesso rimane nascosto all'utente ma può comunque rappresentare un rischio continuo.
Questo è qualcosa che le prossime normative mirano a cambiare. Il GDPR potrebbe non essere stato il modo migliore per aumentare la sicurezza dei dati, ma almeno ha reso tutti consapevoli in una certa misura. Ci auguriamo che RED e CRA abbiano un effetto simile.
Ancora più evidente è l'approccio americano del Marchio di fiducia informatica. I prodotti porteranno un logo con lo scudo, segnalando ai consumatori che il prodotto ha soddisfatto almeno un determinato standard. Ci sarà anche un codice QR che i consumatori potranno utilizzare in seguito per verificare se il prodotto soddisfa ancora questi standard.
Credo che alcuni consumatori presteranno attenzione a questo, ma ci saranno ancora quelli che cercheranno l'opzione più economica sugli scaffali. È qui che entra in gioco la necessità di innalzare il livello di sicurezza complessivo dell’intero settore. Anche chi sceglie la soluzione più economica dovrebbe avere una protezione di base: questa è la chiave per proteggere la nostra società.
Questo è un must se vogliamo continuare a utilizzare sempre più dispositivi embedded.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.iotforall.com/iot-security-calling-for-consumer-vigilance-and-responsible-development
- :ha
- :È
- :non
- :Dove
- $ SU
- 1
- 10
- 2017
- 3rd
- 8
- a
- WRI
- accessibile
- attivamente
- aggiuntivo
- indirizzamento
- negativamente
- contro
- agenzie
- puntare
- Tutti
- anche
- Sebbene il
- americano
- tra
- an
- analizzato
- ed
- Un altro
- in qualsiasi
- applicazioni
- approccio
- SONO
- RISERVATA
- articolo
- AS
- aspetto
- valutare
- attività
- Attività
- assistere
- associato
- At
- attacco
- attacchi
- Tentativi
- attenzione
- revisione
- disponibile
- media
- consapevole
- consapevolezza
- basato
- basic
- BE
- Orso
- Bears
- stato
- essendo
- CREDIAMO
- MIGLIORE
- Meglio
- fra
- Big
- Maggiore
- Botnet
- confini
- Scatola
- scatole
- affari
- ma
- by
- C++
- cavo
- chiamata
- chiamata
- telecamere
- Materiale
- Custodie
- Casinò
- lotta
- Categoria
- ceo
- CEO e fondatore
- certo
- sfide
- impegnativo
- il cambiamento
- Modifiche
- più economico
- più economico
- classi
- chiuso
- codice
- codifica
- collaboreranno
- Venire
- viene
- Commenti
- comunemente
- Aziende
- rispetto
- complicazioni
- componenti
- aggravato
- Compromissione
- informatica
- preoccupazioni
- considerando
- console
- vincoli
- Consumer
- Consumatori
- contenuto
- creatori di contenuti
- continuo
- contratti
- contrasto
- contributo
- di controllo
- coordinato
- correlando
- Costi
- potuto
- corso
- CRA
- creatori
- critico
- Infrastruttura critica
- crittografia
- Corrente
- costume
- cliente
- PERICOLO
- dati
- la sicurezza dei dati
- dedicato
- dimostrato
- dipartimenti
- dipendere
- schierato
- disegni
- Nonostante
- Mercato
- dispositivo
- dispositivi
- DID
- differenza
- diverso
- Livello di difficoltà
- digitale
- Svantaggio
- scopri
- distribuito
- do
- effettua
- non
- dominio
- giù
- dovuto
- durante
- In precedenza
- facilmente
- facile
- effetto
- elemento
- incorporato
- impiegando
- crittografia
- fine
- garantire
- assicurando
- entrare
- aziende
- Intero
- iscrizione
- Ambiente
- particolarmente
- Anche
- tutti
- esempio
- esistere
- le aspettative
- costoso
- esperto
- esperti
- esprimere
- estensione
- Faccia
- strutture
- fatto
- Fattori
- cadute
- familiare
- lontano
- pochi
- firewall
- Nel
- Forze
- modulo
- essere trovato
- fondatore
- frequentemente
- da
- a tutti gli effetti
- function
- fondamentalmente
- divertente
- ulteriormente
- gioco
- GDPR
- Generale
- GitHub
- globali
- Go
- buono
- Enti Pubblici
- gratitudine
- grande
- Gruppo
- cresciuto
- incidere
- ha avuto
- accadere
- Hard
- Hardware
- Avere
- qui
- nascosto
- Alta
- superiore
- Evidenziato
- vivamente
- Case
- speranza
- famiglia
- Come
- Tuttavia
- HTML
- HTTPS
- umano
- i
- if
- illustra
- subito
- imporre
- impossibile
- migliorata
- in
- incidente
- incluso
- Compreso
- Aumento
- è aumentato
- industria
- poco costoso
- informazioni
- informazioni di sicurezza
- Infrastruttura
- inizialmente
- avviato
- interno
- intellettuale
- proprietà intellettuale
- Intelligence
- interesse
- ai miglioramenti
- investire
- coinvolgere
- comporta
- IoT
- Dispositivo IoT
- dispositivi iot
- IP
- problema
- sicurezza
- IT
- sicurezza
- stessa
- jpg
- ad appena
- mantenere
- Le
- carente
- Le Lingue
- grandi
- Cognome
- dopo
- meno
- Guidato
- meno
- Livello
- leggera
- piace
- probabile
- Limitato
- LINK
- linux
- logo
- Lunghi
- più a lungo
- lotto
- fatto
- make
- FA
- Produttori
- molti
- Rappresentanza
- quota di mercato
- max-width
- Maggio..
- me
- significava
- analisi
- Soddisfa
- Memorie
- di cartone
- metallo
- forza
- Militare
- milione
- ridurre al minimo
- modifiche
- Scopri di più
- maggior parte
- Motivazione
- devono obbligatoriamente:
- my
- Bisogno
- Rete
- reti
- notizie
- no
- numerose
- oggetti
- ottenere
- of
- di frequente
- on
- ONE
- esclusivamente
- open source
- operare
- operato
- operativo
- sistema operativo
- Operazioni
- Operatori
- OTTIMIZZA
- Opzione
- or
- organizzazione
- i
- OS
- Altro
- altrimenti
- nostro
- su
- ancora
- complessivo
- proprio
- partito
- Paga le
- per
- prospettiva
- Pirateria
- posto
- posto
- Peste
- piattaforma
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- Giocare
- punto
- punti
- popolazione
- potenziale
- pr
- presenti
- pressione
- principalmente
- primario
- premio
- Privacy
- Privacy e sicurezza
- privilegio
- Problema
- problemi
- i processi
- Prodotto
- Prodotti
- Scelto dai professionisti
- Programmazione
- linguaggi di programmazione
- progetti
- corretto
- proprietà
- protegge
- proteggere
- protezione
- fornitori
- psicologico
- metti
- QR code
- domanda
- aumentare
- piuttosto
- a raggiunto
- di rose
- realizzato
- ragione
- motivi
- Rosso
- normativa
- relativamente
- fare affidamento
- rimanere
- resti
- rapporto
- Requisiti
- riparazioni
- Risorse
- responsabilità
- responsabile
- colpevole
- Rischio
- rischi
- Rischioso
- robusto
- Ruolo
- router
- running
- Russia
- Sicurezza
- stesso
- sarcastico
- satellitare
- dire
- sdk
- sdk
- settore
- sicuro
- in modo sicuro
- problemi di
- test di sicurezza
- vedere
- Cercare
- grave
- servire
- set
- alcuni
- Condividi
- capannone
- scaffali
- Scudo
- carenza
- dovrebbero
- chiuso
- fermare
- significativa
- simile
- Un'espansione
- semplicemente
- da
- situazione
- smart
- Società
- Software
- unicamente
- soluzione
- RISOLVERE
- alcuni
- qualcosa
- a volte
- Fonte
- codice sorgente
- lo spazio
- Spettro
- Spendere
- Standard
- standard
- rigido
- Ancora
- conservazione
- forte
- tale
- supervisione
- sorprendente
- adatto
- sistema
- SISTEMI DI TRATTAMENTO
- mirata
- obiettivi
- Tendono
- Testing
- di
- Grazie
- che
- Il
- furto
- loro
- poi
- Là.
- perciò
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- think
- Terza
- questo
- quelli
- minacce
- Attraverso
- titolato
- a
- oggi
- strumenti
- top
- argomento
- tendenze
- provato
- Affidati ad
- tv
- Digitare
- tipicamente
- Ucraina
- e una comprensione reciproca
- imminenti
- us
- uso
- utilizzato
- Utente
- utilizzando
- generalmente
- verificare
- molto
- vigilanza
- vulnerabilità
- vulnerabilità
- Vulnerabile
- volere
- ricercato
- guerra
- Prima
- Modo..
- we
- più debole
- accolto
- WELL
- sono stati
- Che
- quando
- se
- quale
- OMS
- perché
- più ampia
- volere
- con
- entro
- senza
- mondo
- ancora
- Trasferimento da aeroporto a Sharm
- zefiro