Ecco perché i dispositivi IoT sono così vulnerabili
Si è parlato spesso su questo blog di come i dispositivi IoT siano insicuri. Sono belli, innovativi, ma gli ‘oggetti’ intelligenti spesso non lo sono per nulla in quanto a privacy e sicurezza. Abbiamo già parlato di ciò che è accaduto a monitor per la sorveglianza dei bambini, ai bollitori intelligenti e alle macchine connesse.
Perché tutte queste “cose” connesse sono terribilmente carenti per ciò che concerne la sicurezza?
Proviamo ad osservarli da un altro punto di vista – da quello di un produttore di dispositivi IoT.
Immagina di avere un’azienda che costruisce biscottiere da 30 anni. Ne hai prodotte di innovative, classiche e creative perché si adattassero a ogni stile di arredamento. Sai tutto di questi prodotti – i migliori materiali, i design più popolari, le dimensioni ideali, le migliori guarnizioni per garantire la freschezza dei biscotti, ogni cosa. Sei un’autorità per quanto riguarda la produzione di biscottiere.
Ora hai deciso di salire sul treno dell’IoT e di lanciare una biscottiera intelligente. Sarà la prima sul mercato!
Questo nuova biscottiera intelligente eliminerà il vecchio problema dei bambini che rubacchiano biscotti prima di cena rovinandosi l’appetito. Sarà connessa a un’app sul telefono di mamma o papà. L’app segnalerà quando qualcuno apre la biscottiera. Dall’app, l’utente sarà anche in grado di chiudere o aprire in remoto la biscottiera.
Quindi anche se la mamma è via, può vigilare lo stesso sul suo bambino.
Hai prodotto biscottiere per 30 anni – sei un esperto. Ma quando si tratta di produrre una biscottiera intelligente, è tutta un’altra storia. Perché non sei un esperto in tecnologia software. Anzi, non se sai praticamente nulla.
Ma sei eccitato all’idea di produrre questa novità. Stai pensando a quali nuovi funzionalità potresti integrare, come una protezione con password direttamente da inserire sulla biscottiera, o un sensore che ti può dire quanti biscotti sono stati prelevati. Vuoi affrettarti e lanciare presto il prodotto sul mercato. Hai sentito di altre startup in Silicon Valley che stanno pensando a un prodotto simile e non vuoi arrivare secondo.
In tutta questa frenesia, la sicurezza è l’ultimo dei tuoi pensieri. O magari non ci hai proprio pensato, perché non ti è nemmeno venuta in mente. Perché tu dopotutto sei un produttore di biscottiere.
Stai lavorando con alcune altre aziende su questa tecnologia. Il tuo obiettivo è produrre questa biscottiera intelligente nel tempo più breve possibile e al minor costo possibile. Nessuna delle aziende con cui stai collaborando ti fa presente problemi di sicurezza. Dopotutto, non ci sarà il loro marchio sul prodotto finale. Ci sarà il tuo.
Non ti accorgi che il software che viene usato nel tuo prodotto è vecchio di cinque anni. Non hai mai pensato a cosa potrebbe accadere se servisse applicare una patch a una vulnerabilità. E anche se fosse possibile applicarla, come avviseresti i tuoi clienti che hanno acquistato il prodotto?
Ma questi pensieri non ti sfiorano. La tua principale preoccupazione è che funzioni, e che sia bella e abbia il fattore “wow”.
Quindi procedi senza sosta. Magari il tuo prodotto conquista anche il mercato. Funziona. Sembra davvero bello. E ha veramente il fattore “wow”.
Ma “ops”. Ruba la password alla rete Wi-Fi domestica.
Non sorprende.
Dopotutto, tu sei un produttore di biscottiere.
La sicurezza è sfidante persino per la stessa industria del software – quanto lo può essere per quelle aziende che non sanno nulla di software e sicurezza?
Come dice Runa Sandvick, security researcher, “quando introduci tecnologia su prodotti che non l’hanno mai avuta prima, si aprono sfide alla sicurezza a cui non avresti mai pensato prima.”
(Non si intende fare alcuna allusione negativa ai produttori di biscottiere ovviamente!)
Immagine di Personal Creations, flickr.com. Modificata.
Categorie