Internet of Things, tutti i rischi della casa connessa

Casa connessa, comodità o pericolo? A porre l’interrogativo è una ricerca di Hp che ha scovato problemi di vulnerabilità per tutti i sistemi in commercio.

Password, crittografia e autenticazione: queste le aree più a rischio che diventano un pericolo per la privacy se parliamo di abitazioni dotate di telecamere e sistemi d’allarme.

Secondo Gartner, nel 2015 verranno utilizzati 4,9 miliardi di dispositivi connessi, un +30% rispetto al 2014, e che arriveranno a 25 miliardi entro il 2020. E l’Internet of Things sarà il trend più importante del 2015. Ecco perché è importante valutare le criticità dei sistemi connessi e delle reti per il monitoraggio degli immobili.

HP Fortify on Demand per valutare 10 sistemi di sicurezza per la casa IoT, con i relativi componenti applicativi mobile e cloud e ha scoperto che nessuno dei sistemi richiede l’uso di una password complessa, mentre il 100% dei sistemi presenta sicurezza inadeguata nell’autenticazione a due fattori.

«Scegliendo di adottare dispositivi da remoto, per la loro praticità e accessibilità, dobbiamo anche valutare il livello di rischio per le nostre case e le nostre famiglie», afferma Jason Schmitt, Vice President e General Manager, Fortify, Enterprise Security Products di HP. «Poiché dieci dei sistemi di protezione più diffusi non includono le funzionalità fondamentali di sicurezza, i consumatori dovrebbero adottare alcune semplici e pratiche misure». Tra esse password complesse, il blocco degli account e l’autenticazione a due fattori.

Ecco i problemi più comuni (e risolvibili):

• Autorizzazione insufficiente: tutti i sistemi che includono interfacce web personalizzate basate su cloud e mobile non richiedono una password con livello di complessità e lunghezza sufficienti. La maggior parte richiede una password alfanumerica di sei caratteri. Nessuno dei sistemi è in grado di bloccare gli account dopo un determinato numero di tentativi non riusciti.

• Interfacce non sicure: tutte le interfacce Web basate su cloud testate presentavano problemi di sicurezza che permettono a un potenziale aggressore di ottenere accesso all’account mediante una tecnica di harvesting degli account che sfrutta tre carenze applicative, ovvero enumerazione degli account, policy di password inefficaci e mancanza di funzionalità di blocco degli account.

• Problemi di privacy: tutti i sistemi raccolgono alcune informazioni personali, quali nome, indirizzo, data di nascita, numero di telefono e persino numero di carta di credito. L’esposizione di tali informazioni personali è preoccupante, dati i problemi di harvesting degli account rilevati in tutti i sistemi. La privacy delle immagini video dell’interno della casa costituisce un’ulteriore fonte di preoccupazione.

• Mancanza di crittografia delle trasmissioni: anche se tutti i sistemi implementano la crittografia del traffico, ad esempio Ssl/Tls, molte connessioni al cloud restano vulnerabili agli attacchi. Una crittografia delle trasmissioni correttamente configurata è importante soprattutto perché la sicurezza costituisce la funzione principale di questi sistemi.