Sistema di sicurezza informatica effettua la scansione di dispositivi dell’Internet delle cose
Con IoT ci si riferisce a oggetti comuni, non solo computer, telefoni e tablet, che possiedono una connessione a Internet. Tra innumerevoli altri oggetti, questi solitamente includono elettrodomestici, dispositivi medici e contatori delle utenze domestiche. Anche se le connessioni sono comode, esse sono realizzate utilizzando così tante tecnologie di comunicazione, pensate per così tanti scopi, che i livelli di sicurezza variano molto. Molte connessioni sono altamente insicure e vulnerabili agli attacchi informatici. Questi ciberattacchi hanno già causato gravi conseguenze. Il progetto SecIoT, finanziato dall’UE, ha aiutato a colmare questa lacuna nella sicurezza. Gli esperti nel campo della sicurezza IoT sono relativamente pochi, mentre la domanda di consulenze riguardanti la sicurezza IoT sta aumentando. Il team del progetto ha quindi sviluppato un piano per un sistema esperto automatizzato per la sicurezza informatica, destinato alle aziende che producono dispositivi IoT. Il sistema in sostanza consentirà ai produttori di testare la vulnerabilità dei propri prodotti e di apportare i necessari miglioramenti. Collaudo automatizzato della sicurezza «Il nostro primo obiettivo era quello di comprendere la complessità delle soluzioni IoT esistenti», spiega Olga Pavlovsky, a capo del progetto. «Nonostante il fatto che la maggior parte dei dispositivi IoT sia relativamente economica, si tratta di mostri complessi costruiti su diversi livelli hardware e software». Per mappare questa complessità, i ricercatori hanno effettuato test di sicurezza su molti dispositivi. Questo ha prodotto una metodologia universale per testare la vulnerabilità che ha rappresentato anche un passo in avanti verso una scansione automatizzata della vulnerabilità. La scansione della vulnerabilità è quell’operazione in cui un software speciale (scanner di sicurezza) valuta le difese di un dispositivo bersaglio. Questo processo richiede molto tempo ma è anche una prassi comune, ed è pertanto ideale per essere automatizzato. L’automazione di SecIoT rende possibile l’utilizzo simultaneo di parecchi scanner di sicurezza. Interfaccia facile Un’interfaccia di sistema intuitiva consentirà sia agli esperti di sicurezza che agli sviluppatori software non esperti di effettuare la scansione della vulnerabilità. Il software suggerirà alcuni tipi di scansione, che l’utente potrà accettare o ignorare. La scansione esamina reti, sistemi, altro hardware e il codice software che spesso rappresenta una fonte primaria di vulnerabilità. L’interfaccia proposta fornirà una facilità d’uso, mentre i molteplici scanner di sicurezza integrati scopriranno vulnerabilità del codice che un essere umano difficilmente troverebbe. Il sistema del progetto presenterà i risultati della scansione sotto forma di un rapporto di facile lettura che suggerisce dei modi per risolvere qualsiasi problema per la sicurezza individuato. La semplicità del sistema consentirà inoltre agli sviluppatori di effettuare varie scansioni della vulnerabilità in base alle esigenze durante lo sviluppo, invece di una sola volta alla fine come di consueto. I problemi relativi alla sicurezza trovati nelle fasi iniziali del processo sono più facili da risolvere. «Tutto questo significa che gli esperti saranno in grado di dedicare più tempo alla correzione delle vulnerabilità», afferma Pavlovsky. «Questo ridurrà il numero di problemi presenti nei dispositivi e nel software che giungono agli utenti finali». Successivamente, il team spera di migliorare la progettazione. In particolare, il sistema attualmente rende automatica la scansione della vulnerabilità sui livelli di sicurezza da 4 a 7; i livelli da 1 a 3 venivano controllati manualmente. Il team intende rendere automatico il test in più livelli. Questo, e altri aggiornamenti pianificati, consentiranno al software di affrontare un numero ancora maggiore di situazioni critiche per la sicurezza IoT e di scoprire più vulnerabilità. A livello mondiale, si prevede che il mercato IoT raggiungerà quasi i 10 miliardi di dollari entro il 2025. Visto che il progetto sta ancora definendo l’applicazione migliore per il sistema, i ricercatori sono riluttanti a fare delle previsioni commerciali. Ciononostante, persino una piccola quota di quel mercato sarebbe molto redditizia per le PMI europee.
Parole chiave
SecIoT, sicurezza, IoT, scansione della vulnerabilità, scanner di sicurezza, Internet delle cose, sviluppatore software
