iot-security, ido

L’IoT si sta mangiando Internet

Alcuni dispositivi IoT controllati da botnet sono riusciti a bloccare una parte di Internet solo alcune settimane dopo che l’evento era stato previsto dal sito KrebsonSecurity.

L’attacco a Dyn

Sebbene l’attacco DDoS (Distributed Denial of Service) senza precedenti contro Dyn, un’azienda che fornisce servizi chiave a Reddit, Spotify, SoundCloud e Twitter, sia riuscito a mettere K.O. queste società per un po’, la questione principale resta come rendere i milioni di dispositivi IoT che inondano il mercato più sicuri per evitare ulteriori attacchi in futuro.

L’attacco contro la società Dyn è stato sferzato principalmente tramite botnet che hanno assunto il controllo dei dispositivi IoT non protetti e li hanno reindirizzati contro l’obiettivo designato.  A differenza del classico attacco DDoS, dove diverse fonti di grandi dimensioni si rivoltano contro il sito preso di mira, questi attacchi hanno coinvolto milioni di dispositivi hackerati e dirottati, causando efficacemente la morte della rete per opera di migliaia di piccole ferite.

I punti chiave da ricordare

  1. Ci sono un sacco di dispositivi IoT in giro e ce ne saranno molti di più in futuro. Parliamo di circa 20 miliardi di dispositivi entro il 2020.
  2. In molti dispositivi IoT è difficile, se non impossibile, cambiare le impostazioni predefinite dell’amministratore.
  3. Un ridotto numero di produttori di dispositivi IoT, inclusi XiongMai e Dahua, è stato ricondotto a buona parte dei dispositivi violati.
  4. Il codice sorgente per Mirai, la botnet legata all’attacco contro Krebs e Dyn, è stato reso pubblico, facilitando agli aspiranti hacker la partecipazione al gioco.

Il grande interrogativo è: come possiamo rendere Internet e questi dispositivi più sicuri? E chi è in grado di farlo? È un compito che spetta al settore privato, ai governi o ad agenzie esterne certificate? Le possibili soluzioni in questo momento sono limitate e solo teoretiche.

Possibili soluzioni

Fare nomi e cognomi: elenchi come quelli pubblicati da Krebsonsecurity potrebbero mettere in luce il problema e spingere le aziende ad autoregolamentarsi per non danneggiare la propria reputazione. Prima dell’attacco ad opera di Mirai, la consapevolezza degli utenti sui problemi di sicurezza dei dispositivi IoT era pressoché pari a zero.

Promuovere un’azione legale: entità come Dyn o Krebsonsecurity potrebbero promuovere una causa collettiva contro i produttori di dispositivi non protetti per le perdite subite durante l’attacco DDoS. Se è possibile citare in giudizio una casa automobilistica per interruttori d’accensione o airbag difettosi, perché non fare lo stesso con una società che produce dispositivi che sono vere e proprie “mine vaganti” in grado di aprire il fuoco contro chiunque in rete?

Imposizione governativa: a quanto pare la Commissione europea sta lavorando ai requisiti necessari per potenziare la sicurezza dei dispositivi IoT. Il risultato potrebbe essere un’etichetta di sicurezza simile alle etichette di efficienza energetica presenti sui frigoriferi.

Coinvolgere un’agenzia indipendente: un’altra possibilità potrebbe essere quella di richiedere l’intervento di un organismo di test o certificazione indipendente che pubblichi una classifica di sicurezza dei dispositivi IoT. Potrebbe funzionare un po’ come la o come i crash test dell’ente tedesco .

Pensaci un attimo: un punteggio inferiore a quattro stelle nei crash test dell’ADAC può davvero compromettere le vendite iniziali di un’automobile e perfino il suo valore di rivendita.

In termini di tempo e fattibilità politica, relegherei l’ipotesi dell’imposizione governativa in fondo alla lista. L’opzione dell’azione legale, invece, potrebbe funzionare solo negli Stati Uniti. La tattica del fare nomi e cognomi, invece, nella quale le società vengono “messe alla gogna” a causa delle vulnerabilità di sicurezza dei loro prodotti, è a mio avviso l’opzione migliore. Perciò prima di acquistare il tuo prossimo dispositivo, dai un’occhiata all’elenco diKreb.

Aggiornamento

Secondo un articolo di Yahoo,, la prima società si è comportata in maniera onesta assumendosi le proprie responsabilità sociali in merito all’attacco a Dyn: ha richiamato milioni di prodotti venduti negli Stati Uniti prima del 2015. Hangzhou Xiongmai Technology, produttore di fotocamere e registratori digitali connessi al web, ha fatto sapere a Yahoo che ai prodotti venduti dopo quella data è stata applicata una patch e non costituiscono più un pericolo.

Questo articolo è disponibile anche in: IngleseTedescoFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.