L’ IoT resterà insicuro se il governo non interverrà nella risoluzione del problema.
Brian Krebs è un giornalista che parla di sicurezza informatica. Accusa regolarmente i criminali informatici e le loro tattiche, e di conseguenza è bersaglio dei loro attacchi. Il mese scorso, ha scritto un servizio online su l’attack-for-hire che ha portato alla all’arresto dei due persone. In seguito, il suo sito è stato buttato giù da un massiccio attacco DDoS.
Questa non è una novità, attacchi come denial-of-service distribuiti sono una famiglia di attacchi che causano la caduta e quindi il non raggiungimento di siti web e altri sistemi collegati ad Internet attraverso un sovraccarico di traffico. La parte “distribuita” significa che gli altri computer non protetti su Internet, a volte nell’ordine dei milioni, sono reclutati per una botnet per partecipare involontariamente in attacco. Le tattiche sono vecchie di decenni; Gli attacchi DDoS sono perpetrati da parte di hacker solitari che cercano di dar fastidio, i criminali cercano di estorcere denaro, ed i governi provano le loro tattiche.
In sostanza, si tratta di scoprire chi lo ha più grande. Se gli attaccanti possono mettere insieme un attacco che possa far maggior danno rispetto a quello di cui il difensore può far fronte, vincono. Se i difensori possono aumentare la loro capacità, vincono.
La novità circa l’attacco Krebs era sia nel numero che nella tipologia di dispositivi usati per l’attacco. Invece di usare i computer tradizionali per la loro botnet, hanno usato telecamere a circuito chiuso, videoregistratori digitali, i router domestici e altri disposiitivi embedded collegati a Internet come parte di Internet delle cose.
Ci son milioni di articoli riguardo l’IoT selvaggiamente insicuro. In realtà, il software utilizzato per attaccare Krebs era semplice e da dilettante. Ciò che questo attacco dimostra è che l’economia intorno l’IoT non potrà mai esser vista come punto di forza, causa la sua sicurezza, tranne se il governo non interverrà per arginare il problema. Questo è un fallimento del mercato che non può risolvere da solo
I nostri computer e smartphone sono così sicuri perché ci sono squadre di ingegneri della sicurezza che lavorano sul problema. Aziende come Microsoft, Apple, Google spendono un sacco di tempo a provare il loro codice prima che venga rilasciato, ed elaborano rapidamente patch di sicurezza per rattoppare le vulnerabilità una volta scoperte. Le aziende che possono supportare tali squadre, lo fanno perché hanno una quantità enorme di denaro, direttamente o indirettamente, dal loro software e, in parte, lo investono sulla sicurezza. Questo non è vero per sistemi embedded come video registratori digitali o router domestici. Questi sistemi sono venduti a un margine molto più basso, e sono spesso costruiti con pezzi di produttori di terze parti. Le aziende coinvolte non hanno l’esperienza necessaria per renderli sicuri.
Peggio ancora, la maggior parte di questi dispositivi non possono ricevere in alcun modo patch di sicurezza. Anche se il codice sorgente per la botnet che ha attaccato Krebs è stato reso pubblica , non possiamo aggiornare i dispositivi interessati. Microsoft offre patch di sicurezza per il computer una volta al mese. Apple fa altrettanto regolarmente, ma non con un programma fisso. Ma l’unico modo per aggiornare il firmware del router casa è quello di buttarlo via e comprarne uno nuovo, tranne rari casi in cui viene garantito un supporto a lungo termine.
La sicurezza dei nostri computer e telefoni deriva anche dal fatto che noi li sostituiamo regolarmente. Acquistiamo nuovi portatili ogni pochi anni. Prendiamo nuovi telefoni anche più frequentemente. Questo non è vero per tutti i sistemi dell’Internet delle cose. Durano anni, anche decenni. Potremmo comprare un nuovo DVR ogni cinque o dieci anni. Sostituiamo nostro frigorifero ogni 25 anni. Sostituiamo il nostro termostato solo in caso di rottura altrimento esso non verrebbe mai toccato. Già il settore bancario a che fare con i problemi di sicurezza di Windows 95 incorporati nei bancomat.Questo stesso problema sta per verificarsi in tutta la branca dell’IoT
Il mercato non può risolvere questo problema perché né l’acquirente né il venditore se ne interessano. Pensate a tutte le telecamere a circuito chiuso e DVR utilizzati nell’attacco contro Brian Krebs. I proprietari di questi dispositivi non si preoccupano. I loro dispositivi erano a buon mercato e li hanno comprati, lavorano ancora, e non e non hanno ragione di cambiarli, perché non sanno nemmeno di esser stati coinvolti in un attacco. I venditori di tali dispositivi non se ne fregano: sono ora in vendita i modelli più recenti e migliori, e gli acquirenti guardano solo di prezzo e caratteristiche. Non esiste una soluzione di mercato, perché la precarietà è ciò che gli economisti chiamano esternalità: si tratta di un effetto della decisione di acquisto che colpisce altre persone.
Tutto questo significa che l’internet delle cose rimane insicuro a meno che esso non passi del governo ed esso risolva il problema. Quando abbiamo fallimenti del mercato, il governo è l’unica soluzione. Il governo potrebbe imporre norme di sicurezza sui produttori di sistemi legati all’IoT, costringendo a fare i loro dispositivi sicuri, anche se i loro clienti non se ne preoccupano. Il governo potrebbe imporre alle case che non si adeguano, di essere citate e quindi di non esser passive. Diminuire la passività, però, potrebbe aumentare il costo di sicurezza e bisognerebbe dare alle imprese incentivi a spendere soldi in dispositivi più sicuri.
Naturalmente, questa sarebbe solo una soluzione nazionale ad un problema internazionale. Internet è globale, e gli aggressori possono altrettanto facilmente costruire una botnet con dispositivi IoT dall’Asia come dagli Stati Uniti. A lungo termine, abbiamo bisogno di costruire un internet resistente contro gli attacchi di questo tipo. Ma questo è un progetto, come detto, a lungo termine e nel frattempo, dobbiamo solo abituarci all’aumento di attacchi di questo tipo.