CES 2015, una riflessione sulla sicurezza da Sophos

CES 2015, una riflessione sulla sicurezza da Sophos

Si è da poco conclusa l'edizione 2015 del CES, creatività ed innovazione sono le parole d'ordine di questo evento che deve però far riflettere anche sulle implicazioni e sull'impatto che le nuove tendenze tecnologiche hanno sulla sicurezza. James Lyne, Global Head of Research di Sophos, commenta l'evoluzione tecnologica dell'Internet of Things e di altre tendenze del momento, con particolare attenzione alla sicurezza delle piattaforme.

Uno dei temi principali del CES è stato il concetto sempre più evoluto di 'Connected Human': se può essere ancora prematuro immaginare di andare al lavoro con un hoverboard, le email 'inviate dal frigorifero' sono ormai una realtà, così come la possibilità di programmare la nostra macchina del caffè in modo da trovare un espresso caldo ad aspettarci a casa. Siamo anche testimoni del progresso delle applicazioni 'omni-cognisant', in grado di monitorare ogni nostra azione e, ad esempio, tenere traccia di quanto latte bevono i bambini.

Il crescente numero di start-up e il costante incremento di aziende che operano nell'ambito dell'Internet of things rendono il tema della sicurezza estremamente importante. Implementare soluzioni di sicurezza non deve essere percepito come un aspetto facoltativo, bensì come un fattore indispensabile, poiché tali sistemi ed innovazioni potrebbero essere oggetto di attacchi estremamente rischiosi per la vita personale di ogni utente. Nel 2014, ci sono stati molti casi in cui i produttori dei dispositivi IoT hanno fallito nel garantire standard di sicurezza minimi, e se da un lato essi stanno prendendo coscienza dell'importanza di proteggere adeguatamente tali dispositivi, dall'altro è necessario che l'industria della sicurezza evolva per rapportarsi efficacemente con queste nuove realtà.

A fronte dello scarso livello di sicurezza di questi dispositivi, è sorprendente come nel 2014 non vi siano stati episodi ancor più eclatanti. Benché sia stata data molta risonanza alle lacune dei dispositivi IoT e nonostante esse siano facilmente sfruttabili, finora non si sono tradotte in interessi finanziari in grado di attirare l'attenzione dei cyber criminali.

Tuttavia, è facile prevedere che lo scenario evolverà di pari passo con lo sviluppo di questo tipo di tecnologia e va altresì considerato che non tutti gli attacchi sono mossi da logiche economiche e che questi device offrono una connessione sempre più immediata tra mondo reale e mondo digitale. Personalmente, ho fatto alcune prove di attacco a wireless con il metodo command injection e mi sono imbattuto in telecamere CCTV prive di lockout degli account e connessioni wireless senza username né password.

I dibattitti intorno al tema della sicurezza hanno dato rilievo a queste nuove problematiche eppure l'interesse sembra essere ancora tiepido, mentre è fondamentale che si diffonda la consapevolezza che questa tipologia di dispositivi rappresenta una minaccia reale alla sicurezza dei dati e degli utenti. L'industria della sicurezza deve migliorare il proprio approccio a questi nuovi device e i vendor di tali applicazioni devono riconoscere l'importanza della sicurezza (proprio come ha dovuto fare Microsoft in tempi recenti). Inoltre, gli utenti devono accrescere la propria consapevolezza di questo aspetto, affinché la sicurezza divenga un requisito commerciale, e non un 'optional' o un fastidio".