ALLERTA PERICOLI INFORMATICI

Vulnerabilità e privacy nei sistemi IoT – oggi il 70% dei dispositivi non sono sicuri

Vulnerabilità e privacy nei sistemi IoT – oggi il 70% dei dispositivi non sono sicuri
Scritto da gestore

Esistono molti problemi per la sicurezza dei sistemi IoT (Internet of Things) di o sistemi domestici e questi sono confermati dalle numerose notizie confermate di attacchi, spesso accompagnati da violazione dei dati.

Gli attacchi sono causati spesso dalla mancanza di aggiornamenti di sicurezza e dall’utilizzo di tecnologie poco testate o inaffidabili.

Infatti, i clienti scelgono i dispositivi “smart” per le proprie case guardando sopratutto alla funzionalità e non al livello di protezione.

Attualmente, i produttori principali hanno negli ultimi anni iniziato a fare update ed implementare soluzioni di crittografia per la trasmissione dei dati, tuttavia, il grosso problema con la sicurezza non è ancora risolto e vi sono molto sistemi non aggiornati in funzione.

“LEGGI IL NOSTRO SPECIALE SU INTERNET OF THINGS”
Inoltre, per minimizzare i costi dei sistemi molto spesso non è possibile modificare la password di questi sistemi, l’algoritmo di crittografia o le chiavi di sicurezza (Ammar, 2017). In questi casi i sistemi IoT possono essere funzionanti con chiavi compromesse oppure addirittura con algoritmi di protezione obsoleti. Spesso, queste vulnerabilità vengono sfruttate dai hacker, che le utilizzano anche per effettuare cyber attacks, come per ad esempio dei DDoS (Distributed Denial of Service).

In effetti, alcuni studi confermano mostrano che al giorno d’oggi circa 70% dei dispositivi IoT sono vulnerabili sulla base di queste considerazioni (Angrishi, 2017).

Inoltre bisogna ricordare che già il fatto che avvenga una trasmissione di dati da alcuni dispositivi permette di identificare le attività svolte dagli abitanti di una casa “smart” e di poter agire di conseguenza da parte di malintenzionati (Apthorpe, 2017).

Non c’è solo il problema dell’intercettazione dei dati
Ovviamente, i problemi di sicurezza e privacy sono legati non solo all’intercettazione dei dati, ma anche all’utilizzo di essi da parte delle aziende che forniscono i servizi “smart”, come per esempio soggetti quali Amazon Alexa, Google Home, Facebook Portal ecc.

Infatti, in questi casi le aziende che guadagnano con la vendita e pubblicità hanno completo e quasi illimitato accesso alle case, compreso le telecamere ed i microfoni installati (Stokel-Walker, 2018); per inciso questo problema diventa ancora più importante quando parliamo di “Smart Speakers” (Lau, 2018).

Intermezzo promozionale ... continua la lettura dopo il box:

Passando al contesto legato alle “soluzioni mobile”, vale la pena ricordare che alcuni studi suggeriscono che gli aggiornamenti software per i dispositivi Android a lungo termine accadono con bassissima frequenza: in media 1,26 aggiornamenti l’anno (Thomas et al., 2015).

Questo fatto ha creato la situazione assurda, in cui gli aggiornamenti di sicurezza sono diventati quasi un “servizio di lusso”.

Di conseguenza, ogni giorno milioni e milioni di utenti affidano documenti confidenziali, credenziali bancarie ed i segreti aziendali ai dispositivi potenzialmente completamente inaffidabili in quanto ancora gravati da vulnerabilità non corrette.

Da questo punto l’utente ha la capacità di controllare direttamente nelle impostazioni del suo telefono la data dell’ultimo aggiornamento e quella del più recente patch di sicurezza.

Inoltre, oltre alle minacce tradizionali come attacchi hacker o virus, è importante prendere in considerazione lo spionaggio delle applicazioni e del sistema stesso che oggi possono avvenire. Infatti, mentre Android è un sistema open source, i componenti aggiunti da Google (Google Play Services) e dai produttori (Xiaomi MIUI, Huawei EMUI) contengono i package proprietari che raccolgono “telemetria”, “statistiche” e “feedback” dai dispositivi.

Attenzione alle APP pre-installate
In effetti, sui sistemi mobile, una marea delle app preinstallate, tipicamente non richiesti, creano molto spesso grossi problemi dal punto di vista della sicurezza e della privacy (Cimpanu, 2019). In questo caso solo le aziende stesse sanno precisamente quali dati vengono acquisiti e a chi sono destinati (O’Flaherty, 2019).

Come è stato accennato, le app spesso raccolgono molti dati sensibili, tuttavia, va detto che d’altro canto gli utenti non sembrano preoccupati di questo fatto, in parte perché li ritengono non critici, in parte per superficialità o per semplice ignoranza del fenomeno.

Ad esempio, spesso è possibile gestire permessi delle app durante e dopo installazione delle esse, tuttavia, la stragrande maggioranza degli utenti utilizza di norma le impostazioni di default e non si preoccupa delle relative questioni di privacy (Mylonas et al., 2013).

Questo approccio crea situazioni in cui gli utenti installano semplici app, come ad esempio un diverso tipo di “calcolatrice”, che magari ha accesso al microfono, fotocamera, posizione, contatti e chiamate del “proprietario” dei dati.

Sotto questo profilo è fondamentale anche una visione di questi sistemi come parte di processi di business sia B2B (Business to Business) che B2C (Business to Consumer) dato che di norma le soluzioni mobile diventano oggi parte di attività anche aziendali e comunque sono alla base delle comunicazioni vocali e di dati; in effetti la conoscenza delle vulnerabilità e di come ridurle deve essere oggi una attività dove gli ingegneri devono cimentarsi con una chiara visione dell’impatto delle diverse soluzioni tecnologiche (Bruzzone 2018).

Sotto questo profilo l’approccio basato sull’impiego combinato tra Simulazione, Data Analytics e AI è un fattore chiave per affrontare il problema dato che la prima consente di riprodurre il modello del sistema, la seconda di analizzare informazioni per identificare criticità e la terza permette di riprodurre le azioni e reazioni dei soggetti coinvolti.

In effetti sotto questo profilo l’Ingegneria Strategica come combinazione di queste metodologie e il loro impiego per studiare problemi di Sicurezza e supportare le scelte progettuali e decisionali è un tema molto attuale tanto che attualmente si è attivato un network di aziende e istituzioni su questa tematica: STRATEGOS,, ma di questo parleremo in un altro articolo

Riferimenti
Ammar, M., Russello, G., & Crispo, B. (2018). Internet of Things: A survey on the security of IoT frameworks. Journal of Information Security and Applications, 38, 8-27.
Angrishi, K. (2017). Turning internet of things (iot) into internet of vulnerabilities (iov): Iot botnets. arXiv preprint arXiv:1702.03681.
Apthorpe, N., Reisman, D., & Feamster, N. (2017). A smart home is no castle: Privacy vulnerabilities of encrypted iot traffic. arXiv preprint arXiv:1705.06805.
Bruzzone A.G. (2018) “MS2G as Pillar for Developing Strategic Engineering as a New Discipline for Complex Problem Solving”, Keynote Speech at I3M, Budapest, September
Cimpanu, C. (2019). Android ecosystem of pre-installed apps is a privacy and security mess. ZDNet.
Lau, J., Zimmerman, B., & Schaub, F. (2018). Alexa, are you listening?: Privacy perceptions, concerns and privacy-seeking behaviors with smart speakers. Proceedings of the ACM on Human-Computer Interaction, 2(CSCW), 102.
Mylonas, A., Kastania, A., & Gritzalis, D. (2013). Delegate the smartphone user? Security awareness in smartphone platforms. Computers & Security, 34, 47-66.
O’Flaherty, K. (2019). Huawei Security Scandal: Everything You Need to Know. Forbes.
Stokel-Walker, C. (2018). Will you be getting a smart home spy for Christmas? The Guardian.
Thomas, D. R., Beresford, A. R., & Rice, A. (2015, October). Security metrics for the android ecosystem. In Proceedings of the 5th Annual ACM CCS Workshop on Security and Privacy in Smartphones and Mobile Devices (pp. 87-98). ACM.

 

Fonte : https://www.ingenio-web.it/24020-vulnerabilita-e-privacy-nei-sistemi-iot—oggi-il-70-dei-dispositivi-non-sono-sicuri