Portare
sicurezza a un sistema complesso non è una cosa semplice. Sembra un gioco di parole, è invece lo scenario che si trovano ad affrontare molti produttori di sistemi IoT: non avendo considerato l'IT security sin dalle prime fasi di progettazione dei loro prodotti,
è difficile introdurla a posteriori. E sono sempre più numerosi e significativi i casi in cui questa poca considerazione diventa evidente e causa problemi.
"
Ciò che gli utenti non percepiscono dei sistemi IoT - spiega
Sergey Kravchenko, Senior Business Development Manager Future Technologies di Kaspersky Lab -
è la loro complessità, fatta di un numero sempre più elevato di dispositivi connessi a servizi cloud". Dietro al funzionamento di un qualsiasi device "smart" connesso al suo cloud c'è una
catena articolata di componenti hardware e software - cloud compreso - che devono funzionare bene insieme, ciascuno dei quali però introduce potenziali elementi di vulnerabilità. Anche quando le singole vulnerabilità non sono gravi singolarmente, la loro combinazione
può far collassare tutto il sistema, aprendolo a usi impropri.
Al Mobile World Congress 2018 Kaspersky Lab ha presentato proprio un caso del genere, mostrando in che modo i suoi ricercatori hanno potuto
violare con relativa semplicità l'architettura di un sistema Smart Home. Il suo produttore non aveva commesso errori veramente gravi e macroscopici nella progettazione del sistema, aveva però introdotto alcuni
punti deboli architetturali come la gestione non criptata dei profili di configurazione o l'uso di numeri di serie come elemento di identificazione ai servizi cloud (numeri di serie facilmente generabili e testabili con algoritmi a forza bruta).
Più o meno seri ma mai eclatanti, questi errori se
ben sfruttati nel loro insieme permettevano anche di prendere il controllo da remoto degli ambienti Smart Home dei malcapitati utenti. Niente vulnerabilità zero-day
o cose del genere: basta un
approccio un po' superficiale alla sicurezza per mettere in crisi tutta l'architettura di un ambiente IoT come una Smart Home. Un rischio troppo elevato, perché quando i sistemi IoT agiscono in vario modo sull'ambiente reale la
security in senso informatico diventa anche
safety in senso fisico.
"
La sicurezza - sottolinea Kravchenko -
è l'ultimo aspetto a cui molti vendor pensano nello sviluppo di un nuovo prodotto IoT. È un cattivo approccio dal nostro punto di vista, ma ha le sue ragioni". La strada proposta da Kaspersky Lab, che in questo senso si posiziona come
partner di chi sviluppa sistemi in stile IoT, parte considerando invece sin da subito la sicurezza e puntando a creare un sistema per così dire
immune by design, che non abbia bisogno di ulteriori sistemi di protezione.
Data la complessità dei sistemi IoT, Kaspersky Lab ritiene sia indispensabile seguire
un approccio trasversale. La partita si gioca prima di tutto sulla
protezione dei singoli device IoT, quando è possibile. A questo scopo è stato sviluppato
KasperkyOS, un sistema operativo con un
microkernel proprietario e pensato per l'esecuzione sicura dei servizi di sistema e delle applicazioni.
Spesso però il "device hardening" non è possibile, tipicamente perché i dispositivi IoT coinvolti sono troppo semplici. Allora l'attenzione si sposta alla
protezione del gateway che li collega a monte della rete, verso il cloud. In quest'ottica Kaspersky Lab può aiutare i produttori a sviluppare un "secure gateway" che
protegga sé stesso e il traffico che gestisce, puntando ancora sulla solidità di KasperskyOS o portando funzioni analoghe su Linux o Windows Embedded. Queste funzioni di base per la sicurezza sono poi affiancate da quelle più tradizionali associate a Kasperksy, in stile anti-malware. Oltre alle componenti tecnologiche ci sono anche
quelle legate ai servizi, che vanno al vulnerability assessment alla threat intelligence passando per la consulenza nella progettazione.