L’Open Web Application Security Project (OWASP) ha recentemente rilasciato la propria “OWASP IoT-Top 10 2018”, nell’ambito del proprio progetto OWASP Internet of Things, indicando i 10 errori più rischiosi per la sicurezza dei sistemi IoT.
Tale progetto è ideato per aiutare produttori, sviluppatori e consumatori a comprendere meglio i problemi di sicurezza associati all’Internet of Things e a consentire agli utenti in qualsiasi contesto di prendere decisioni di sicurezza migliori durante la creazione, l’implementazione o la valutazione delle tecnologie IoT.
Anziché disporre di elenchi separati per rischi e minacce o vulnerabilità o per sviluppatori e imprese o consumatori, OWASP ha scelto di creare un elenco unificato che possa essere d’aiuto nell’affrontare le principali problematiche di sicurezza sia per produttori e imprese sia per i consumatori.
Who's Who
Francesco Curtarelli
Senior Legal Consultant di P4I-Partners4Innovation
OWASP IoT Top 10 rappresenta un documento di sensibilizzazione sui rischi per la sicurezza delle soluzioni Internet of Things, individuando i dieci errori da evitare assolutamente durante la creazione, la distribuzione o la gestione dei sistemi IoT. Vediamoli insieme:
1. Password deboli, facilmente indovinabili o preimpostate
L’utilizzo di password non complesse che si prestano facilmente ad un attacco brutalfoce può chiaramente minare la sicurezza dei dispositivi IoT. Lo stesso effetto si ottiene utilizzando password disponibili pubblicamente oppure preimpostate e non modificabili. Occorre poi fare molta attenzione ad accertarsi che il firmware o i client software non abbiano delle backdoor che possano permettere e garantire degli accessi non autorizzati ai sistemi e ai dispositivi.
2. Servizi di Network non sicuri
I servizi di rete non necessari o non sicuri che sono in esecuzione sul dispositivo stesso, potrebbero compromettere la sicurezza dei devices e permettere un controllo da remoto non autorizzato, comportando rischi per la riservatezza, l’integrità/autenticità e la disponibilità delle informazioni e dei dati.
3. Interfacce di sistema non sicure
L’utilizzo di interfacce non sicure per permettere la comunicazione del device IoT con ambienti esterni (web, backend API, soluzioni cloud…) potrebbe portare alla compromissione del device o di sue componenti. Le conseguenze più comuni sono ad esempio quelle di non essere più in grado di autenticarsi, perdere la garanzia di una crittografia efficace e sicura, oppure una mancanza di filtering sia delle informazioni e dei dati in entrata che di quelli in uscita dal device.
4. Aggiornamenti non sicuri e non affidabili
L’impossibilità di poter aggiornare in modo sicuro il device può portare, col passare del tempo, a essere vittima di attacchi che sfruttano vulnerabilità ormai note. Possono comportare i medesimi risultati anche altre circostanze quali la mancanza di un firmare certificato sul device, l’inesistenza di una modalità sicura degli aggiornamenti (ad es. aggiornamenti non crittografati che possono essere intercettati e modificati durante il transito) e di meccanismi anti-rollback oppure la mancanza di notifiche che informino gli utenti delle modifiche di sicurezza apportate dagli aggiornamenti.
5. Utilizzo di componenti non sicuri o obsoleti
L’utilizzo di software obsoleti o insicuri può far sì che il device venga compromesso. Particolare attenzione deve essere prestata soprattutto quando vengono utilizzati componenti hardware o software di terze parti nonché durante le operazioni di personalizzazione del sistema operativo.
6. Privacy e Data Protection insufficienti
Anche e soprattutto in seguito all’entrata in vigore del GDPR (Regolamento europeo n. 679/2016), tutti i player del mondo IoT (consumatori inclusi) devono accertarsi che i trattamenti di dati personali svolti mediante l’utilizzo di soluzioni di IoT rispettino tutte le prescrizioni dettate appunto dal GDPR.
7. Trasferimenti e conservazione di dati non sicuri
Prendendo in considerazione tutto il perimetro del servizio e tutti i suoi player, il trasferimento e la conservazione dei dati (personali e non) devono avvenire nel modo più sicuro possibile, garantendo ad esempio un’encryption solida e un puntuale controllo degli accessi.
8. Cattiva gestione dei dispositivi e dei servizi ad essi collegati
La mancanza di un’attenta gestione complessiva delle soluzioni di IoT può portare a conseguenze disastrose, tanto per i clienti (che potrebbero vedere andar persi o ancor peggio diffusi i loro dati) quanto per i produttori (che potrebbero vedersi comminare sanzioni amministrative molto salate). Una buona gestione delle soluzioni IoT deve tenere in considerazione ad esempio il supporto in merito alla sicurezza dei dispositivi, il corretto impiego e controllo di tutte le risorse (umane e non), il rilascio puntuale e sicuro degli aggiornamenti, la rimozione e cancellazione sicura delle autorizzazioni, il monitoraggio complessivo del sistema e la capacità di rispondere a richieste degli utenti o delle Autorità.
9. Impostazioni di default non sicure
Avere configurato di default un device o addirittura un intero sistema con impostazioni di sicurezza non adeguate o impedire agli operatori (utilizzatori finali e non) di rendere il proprio sistema più sicuro modificando e irrobustendo le “impostazioni di fabbrica” potrebbe portare a falle nella sicurezza dei dispositivi IoT.
10. Mancanza di misure di “Physical Hardening”
L’inesistenza di misure di “Physical Hardening” potrebbe permettere a potenziali “attackers” di impossessarsi di informazioni riservate, da utilizzare successivamente per sferrare attacchi da remoto o per prendere il controllo dei device da locale.