Internet of Things e sicurezza: le sfide da affrontare
Il potenziale di business rappresentato dalla capacità di connessione di sempre nuovi e interessanti dispositivi rappresenta la grande opportunità dell’Internet of Things. I vantaggi che le connessioni esistenti tra questi dispositivi saranno in grado di offrire, raccogliendo e passando dati agli utenti, ad altri dispositivi, ad applicazioni enterprise e soluzioni di analisi dei big data, sono evidenti.
Eppure il rapporto tra Internet of Things e sicurezza è ancora conflittuale. Aggiungendo più dispositivi, sensori e oggetti al nostro network, allarghiamo infatti potenzialmente la superficie attaccabile e le aziende devono essere attente ad acquistare dispositivi aziendali che possano essere configurati e adattati coerentemente con le policy di sicurezza.
Purtroppo molti dispositivi consumer non rispettano questi requisiti né mai lo faranno. Conscia di questo scenario, Citrix ha così evidenziato quelle che a suo parere sono le tre principali sfide in termini di sicurezza che l’IoT porta con sé e che dovranno essere affrontate nell’immediato futuro.
Mancanza di standard di sicurezza
Una delle sfide più puramente tecniche quando si parla di Internet of Things e sicurezza è la crittografia per i dispositivi più piccoli, come per esempio i sensori. Questi devono infatti funzionare per molto tempo con l’energia delle batterie; quindi spesso utilizzano micro-controller con una quantità estremamente limitata di RAM (alcuni hanno appena 64bytes di RAM se non meno).
Ciò significa che servono algoritmi completamente nuovi che possano essere adattati a situazioni simili. Questo tipo di tecnologia si chiama crittografia leggera (LWC), che i ricercatori stanno già studiando e sperimentando da più di 10 anni. I dispositivi che utilizzano la LWC richiederanno sempre un design specifico, ma l’obiettivo è di standardizzare il livello di sicurezza di questi “mattoni” indispensabili per l’IoT.
Protocolli di comunicazione diversi
Alcuni di questi protocolli, come l’MQTT, possono funzionare on top dei protocolli di sicurezza esistenti come per esempio il Transport Layer Security (TLS), che ha sostituito l’SSL. Questa è una soluzione ideale per i gateway che già supportano il TLS. Dispositivi meno potenti possono usare protocolli come COAP. Poiché COAP utilizza UDP piuttosto che TCP, può funzionare on top delle varianti DTLS del TLS. E questa è ancora un’ottima soluzione per quei gateway, perché il DTLS è molto simile al TLS.
I dispositivi più piccoli che utilizzano LWC con protocolli di sicurezza basati su messaggi – perché non sono abbastanza potenti per supportare TLS/DTLS – rappresentano invece una sfida più importante. I gateway infatti sono essenziali per la sicurezza dell’’IoT perché permettono al traffico di essere ispezionato e convalidato in modo scalabile.
L’aggiornamento dei dispositivi multifunzione
I dispositivi più piccoli come i sensori non sono aggiornabili. I dispositivi più potenti a funzione singola possono essere aggiornati solo dal loro vendor. Ma i dispositivi multi funzione possono avere software che provengono da vendor diversi e quindi serve un modo affidabile per aggiornare il software senza che questo fatto rappresenti un problema. Gli smartphone hanno già superato con successo questa sfida e il loro approccio viene ora riproposto come Open Trust Protocol (OTrP) dentro lo IETF.
Più in generale un grande lavoro per migliorare il rapporto tra Internet of Things e sicurezza si sta facendo con la Online Trust Alliance (OTA), la Cloud Security Alliance (CSA) e il Trusted Computing Group (TCG) per offrire dettagliate linee guida per gli sviluppatori di dispositivi IoT. Molte di queste linee guida risulteranno familiari agli sviluppatori di software enterprise e anche gli sviluppatori di software IoT dovranno seguirle. In fondo non è la dimensione del dispositivo che conta ma il livello di rischio che pone.