IoT e lo standard per i firmware

L'Internet delle cose ha dimostrato di essere continuamente a repentaglio. La sicurezza dovrà per forza di cose passare attraverso uno standard comune, e solo oggi se ne stanno gettano le basi

Roma – Gli oggetti smart che fanno parte dell’Internet delle cose (IoT) è afflitto da numerose  potenziali vulnerabilità . In mancanza di uno standard univoco infatti, risulta difficile risolvere bug e adottare le necessarie misure preventive mettendo a repentaglio la sicurezza degli utilizzatori. Uno dei peggiori esempi è rappresentato dagli smart toys , più volti finiti sotto accusa per la cattiva gestione dei dati personali trattati senza troppa attenzione per la privacy. Ma di casi che mettono in luce la facilità nel fare breccia nei nuovi dispositivi IoT sono veramente tanti. E tra tra questi ci sono oggetti progettati e distribuiti da nomi altisonanti del tech, come Amazon con il suo assistente Echo , Google con il suo Home e persino i termostati intelligenti Nest.

Arm

Per poter fare affidamento sulla tecnologia che pian piano stiamo portando all’interno delle nostre case è quindi indispensabile identificare uno standard che possa così seguire le evoluzioni in termini di sicurezza con le opportune garanzie. A tal proposito tre esperti ingegneri di ARM , azienda specializzata nello sviluppo di nuove tecnologie, hanno avviato il processo che porterà all’approvazione di uno standard per l’IoT . Il loro impegno è chiaro fin dall’IoT Security Manifesto ( scaricabile liberamente ) che pone l’accento sulle similitudini tra sistema immunitario umano e tecnologico , entrambi indirizzati alla circoscrizione delle infezioni e al loro abbattimento, alla protezione da attacchi esterni attraverso più scudi e all’impiego dell’intelligenza artificiale anch’essa volta ad allontanare le minacce.

Il documento presentato di recente è intitolato “IoT Firmware Update Architecture” e presenta una serie di regole che i realizzatori di dispositivi smart dovrebbero seguire quando sviluppano il meccanismo di aggiornamento del firmware nei loro prodotti. Molte delle prescrizioni sono di fatto già rispettate, ma ufficializzarle potrà garantire una maggior sicurezza e un adeguamento immediato e legittimato.

Tra le osservanze spiccano l’ adozione di crittografia end-to-end e prevenzione di attacchi , la possibilità di distribuire facilmente a tutti gli utenti l’update con diverse modalità (Bluetooth, WiFi, UART, USB ecc.) e con richieste di autorizzazioni multiple qualora siano previste gerarchie di utenti e di sistema. Dovrà inoltre essere previsto un mantenimento degli stessi formati di file usati nel precedente firmware, le istruzioni dovranno rimanere entro il perimetro della RAM disponibile e dovrà essere garantita la compatibilità con un bootloader leggero, condiviso da più dispositivi IoT. Nella compilazione andranno anche riportate informazioni previste dal manifesto come riferimenti alla crittografia adottata, informazioni sul formato, date di pubblicazione ecc.

Ken Munro, ricercatore di Pen Test Partners, ritiene il lavoro un ottimo punto di partenza , seppur rimangano ancora da risolvere alcuni aspetti. In particolare la proposta di considerare la payload encryption facoltativa, un generico invito a prevenire gli attacchi rollback (che prevedono il downgrade del dispositivo ad un firmware precedente riconosciuto come vulnerabile) e la mancanza di una definizione di ciò che prevedono i processi di verifica e validazione dei termini (in capo ai produttori) rappresentano delle lacune. Le domande a cui dare risposte sono ancora molte, ma da qualche parte bisogna pur cominciare.

Mirko Zago

fonte immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • ... scrive:
    PC?
    Personal computer = PCwindows computer = WC.
  • panda rossa scrive:
    Titolo impreciso
    Il titolo e' impreciso: lascia sottintendere una ipotetica vulnerablita' a qualunque PC, mentre quelli interessati dalla vulnerabilita' sono solo quelli che sono gia' vulnerabili di per se avendo windows.I PC con GNU/Linux erano, sono, e resteranno sicuri.Le rogne se le grattano solo i winari.
    • Western Digital scrive:
      Re: Titolo impreciso
      - Scritto da: panda rossa
      I PC con GNU/Linux erano, sono, e resteranno
      sicuri.Si tu e gli altri 3 cantinari potete stare tranquilli
      • panda rossa scrive:
        Re: Titolo impreciso
        - Scritto da: Western Digital
        - Scritto da: panda rossa


        I PC con GNU/Linux erano, sono, e resteranno

        sicuri.

        Si tu e gli altri 3 cantinari potete stare
        tranquilliE tu puoi rosikare, e lasciare il tuo PC a disposizione per il nostro mining remoto.
    • suc scrive:
      Re: Titolo impreciso
      - Scritto da: panda rossa
      I PC con GNU/Linux erano, sono, e resteranno
      sicuri.in realtà questo problema è maggiormente diffuso sui sistemi open come Linux, dato che non vogliono sganciare un centesimo per pagare un certificato valido
      • panda rossa scrive:
        Re: Titolo impreciso
        - Scritto da: suc
        - Scritto da: panda rossa

        I PC con GNU/Linux erano, sono, e resteranno

        sicuri.

        in realtà questo problema è maggiormente diffuso
        sui sistemi open come Linux, dato che non
        vogliono sganciare un centesimo per pagare un
        certificato
        validoL'articolo parla in modo esplicitamente chiaro e inequivocabile di windows.E noi siamo qui a commentare questa circostanza.Goditi quindi il palo nell'oXXXX e lascia perdere le pagliuzze altrui.
      • ... scrive:
        Re: Titolo impreciso
        [img]http://memecrunch.com/meme/2GZDW/cretino/image.jpg[/img]
      • adelmo e i suoi sorapis scrive:
        Re: Titolo impreciso
        TI SPUTO IN BOCCA!
        • mementomori scrive:
          Re: Titolo impreciso
          - Scritto da: adelmo e i suoi sorapis
          TI SPUTO IN BOCCA!hai gli occhi falsi! [cit. piu o meno]
    • panda tossica scrive:
      Re: Titolo impreciso
      - Scritto da: panda rossa
      I PC con GNU/Linux erano, sono, e resteranno
      sicuri.Per forza: quale produttore di driver si caga i PC linux ?Infatti di driver si sta parlando, non di vulnerabilità dell'OS....ah già....ma tu sei panda rossa, l'esperton...to che non ha ancora capito la differenza tra OS e driver....vabbè...
      • Lorenzo scrive:
        Re: Titolo impreciso
        piu' produttori di quanto immagini ...
        • panda anoressica scrive:
          Re: Titolo impreciso
          Quindi se uno di questi produttori rilascia un driver che ti installa un certificato a tua insaputa mentre fai il tuo sudo vattelapesca per i driver diciamo che è il produttore che ha fatto una XXXXXXX o che è linux che è insicuro?
          • Lorenzo scrive:
            Re: Titolo impreciso
            sotto linux anche se si installasse un certificato fasullo non e' che poi sarebbe cosi' facile compromettere il sistema , o anche installare robaccia
          • panda mistica scrive:
            Re: Titolo impreciso
            Lascia perdere se sia facile o meno compromettere il sistema con un certificato.Tu fai il tuo sudo installa $driverCheServe e questo ti installa anche un certificato/rootkit/foto del cane. E' linux che è bucato o è il produttore mona che ha messo robaccia nel driver?
    • suc scrive:
      Re: Titolo impreciso
      - Scritto da: panda rossa
      I PC con GNU/Linux erano, sono, e resteranno
      sicuri.Beccati questa trave nel cu10:http://punto-informatico.it/4412694/PI/News/linux-troppe-vulnerabilita-usb.aspx
Chiudi i commenti