Internet delle cose: come lo standard salva dai pericoli
L’Internet delle cose e gli oggetti smart hanno dimostrato in questi anni di essere fortemente rischiosi soprattutto per quanto riguarda la privacy degli utenti. In mancanza di uno standard operativo univoco, diventa difficile intervenire per risolvere questi problemi ed eventuali bug. Tra le situazioni più pericolose per via di tale quadro è presente quella degli smart toys, più volte finiti nell’occhio del ciclone per la poca attenzione alla privacy.
L’elenco dei dispositivi Internet of Things che non proteggono a sufficienza i dati degli utenti comprende anche prodotti commercializzati da colossi del tech come Amazon e Google, che dominano il mercato con i loro assistenti vocali Echo e Home. Sotto accusa ci sono pure i termostati intelligenti Nest.
Per affidarsi con sicurezza a questa tecnologia, è fondamentale che venga identificato e codificato uno standard. Oggi non esiste nulla del genere, ma c’è chi si sta impegnando per cambiare le cose. Degno di nota al proposito è il lavoro del team ingegneristico della società ARM, realtà avente sede a Cambridge.
Standard di sicurezza IoT: il documento “IoT Firmware Update Architecture“
Ispirandosi allo “IoT Security Manifesto”, i membri del team di ARM hanno redatto un documento dal titolo “IoT Firmware Update Architecture“. Si tratta di un contributo che pone l’accento su alcune regole che dovrebbero essere seguite da chi realizza dispositivi smart. Le linee guida riguardano in particolare il processo di aggiornamento dei Firmware dei prodotti.
Molte di queste regole sono di fatto già messe in pratica dalle aziende che si occupano di Internet delle cose. La portata innovativa del documento riguarda però la loro ufficializzazione in forma scritta, passo che potrebbe portare presto a un miglioramento dei livelli di sicurezza e di adeguamento.
Tra le regole in questione spicca senza dubbio l’adozione di una crittografia end-to-end, ma anche la prevenzione degli attacchi. Da citare è pure il fatto di distribuire facilmente gli update agli utenti, garantendo l’accesso agli aggiornamenti tramite Bluetooth, WiFi, UART, USB. Il documento sottolinea inoltre l’importanza di fornire autorizzazioni multiple nei casi in cui sono previste gerarchie di sistema.
Le linee guida che ARM ha messo a punto per chi opera con l’Internet of Things riguardano anche il fatto di mantenere nel corso dei vari aggiornamenti i medesimi formati di file utilizzati nei precedenti firmware.
Inoltre, viene raccomandato il fatto di mantenere le istruzioni entro il perimetro della RAM disponibile e di garantire la compatibilità con un bootloader leggero condiviso da più dispositivi. Le regole prevedono poi che, in sede di compilazione, debbano essere specificate informazioni relative alla crittografia adottata, al formato, alle date di pubblicazione.
Secondo Ken Munro, ricercatore della società Pen Test Partners (realtà attiva nel campo della cyber security), il lavoro in questione rappresenta un ottimo punto di partenza per migliorare il quadro dell’Internet delle cose. A suo avviso sono però presenti diversi aspetti da correggere. Uno di questi riguarda il fatto di considerare facoltativa la procedura di payload encryption. Un altro errore sottolineato da Munro è la mancanza di una definizione chiara in merito ai processi di verifica e di validazione dei termini.
Il documento in questione non è il solo contributo di ARM al miglioramento della sicurezza di chi utilizza dispositivi IoT. La società ha infatti messo a punto anche PSA (Platform Security Architecture), una piattaforma nata con lo scopo di permette agli operatori che realizzano oggetti smart sfruttando il paradigma Internet delle cose di appoggiarsi a un unico framework condiviso per la protezione dei dispositivi.
