I proprietari di sistemi di sicurezza per la casa connessi a Internet non sono gli unici a monitorare le proprie abitazioni. Da uno studio condotto da Hp emerge, infatti, che il 100% dei dispositivi analizzati presenta un’alta vulnerabilità che si traduce in problemi di protezione con password, crittografia e autenticazione.
La diffusione dei sistemi di monitoraggio, come videocamere e dispositivi di allarme, è aumentata considerevolmente dal loro ingresso sul mercato, anche grazie all’espansione del mercato dell’Internet of Things (IoT) e alla riduzione dei costi. Secondo Gartner, nel 2015 verranno utilizzati 4,9 miliardi di dispositivi connessi, un +30% rispetto al 2014, e che arriveranno a 25 miliardi entro il 2020. Lo studio di Hp dimostra quanto questo mercato sia a rischio dal punto di vista della sicurezza, data l’ampiezza dell’espansione prevista per l’IoT.
I produttori stanno facendo il possibile per immettere rapidamente sul mercato sistemi di sicurezza connessi che offrano funzionalità di monitoraggio remoto. La connettività e l’accesso alla rete necessari per il monitoraggio da remoto presentano delle problematiche che non esistevano nei precedenti sistemi che non prevedevano una connessione internet. Lo studio ha lo scopo di stabilire se questi dispositivi di protezione accrescano la sicurezza delle nostre case o se invece le espongano a un rischio maggiore, semplificando l’accesso elettronico tramite prodotti IoT poco sicuri. Hp ha utilizzato Hp Fortify on Demand per valutare 10 sistemi di sicurezza per la casa IoT, con i relativi componenti applicativi mobile e cloud e ha scoperto che nessuno dei sistemi richiede l’uso di una password complessa, mentre il 100% dei sistemi presenta sicurezza inadeguata nell’autenticazione a due fattori.
Tra i problemi di sicurezza più comuni e di facile risoluzione si riconoscono: l’autorizzazione insufficiente, per cui tutti i sistemi che includono interfacce web personalizzate basate su cloud e mobile non richiedono una password con livello di complessità e lunghezza sufficienti. La maggior parte richiede una password alfanumerica di sei caratteri. Nessuno dei sistemi è in grado di bloccare gli account dopo un determinato numero di tentativi non riusciti; le interfacce non sicure: tutte le interfacce web basate su cloud testate presentavano problemi di sicurezza che permettono a un potenziale aggressore di ottenere accesso all’account mediante una tecnica di harvesting degli account che sfrutta tre carenze applicative, ovvero enumerazione degli account, policy di password inefficaci e mancanza di funzionalità di blocco degli account. Analogamente, cinque dei dieci sistemi testati presentavano problemi di harvesting degli account riguardanti l’interfaccia dell’applicazione mobile, che espone i consumatori a rischi analoghi; problemi di privacy: tutti i sistemi raccolgono alcune informazioni personali, quali nome, indirizzo, data di nascita, numero di telefono e persino numero di carta di credito. L’esposizione di tali informazioni personali è preoccupante, dati i problemi di harvesting degli account rilevati in tutti i sistemi. Occorre inoltre sottolineare che l’uso del video costituisce una caratteristica essenziale di molti sistemi di sicurezza per la casa, con possibilità di visualizzazione tramite applicazioni mobile e interfacce web basate su cloud. La privacy delle immagini video dell’interno della casa costituisce un’ulteriore fonte di preoccupazione; la mancanza di crittografia delle trasmissioni: anche se tutti i sistemi implementano la crittografia del traffico, ad esempio SSL/TLS, molte connessioni al cloud restano vulnerabili agli attacchi (ad esempio, gli attacchi POODLE). Una crittografia delle trasmissioni correttamente configurata è importante soprattutto perché la sicurezza costituisce la funzione principale di questi sistemi.
“Scegliendo di adottare dispositivi da remoto, per la loro praticità e accessibilità, dobbiamo anche valutare il livello di rischio per le nostre case e le nostre famiglie”, ha affermato Jason Schmitt (@raidschmitt), Vice President e General Manager, Fortify, Enterprise Security Products (@HPsecurity), HP. “Poiché dieci dei sistemi di protezione più diffusi non includono le funzionalità fondamentali di sicurezza, i consumatori dovrebbero adottare alcune semplici e pratiche misure se i produttori dovessero assumersi la responsabilità di integrare le funzioni di sicurezza nei propri prodotti ed evitare di esporre inconsapevolmente i clienti a seri pericoli.”
