Le (brutte) cose dell'Internet delle...
Transcript of Le (brutte) cose dell'Internet delle...
Collegio Ghislieri 24 novembre 2016
Corrado Giustozzi 1
Le (brutte) cose
dell’Internet
delle cose
Corrado Giustozzi
Vostro Onore, sono il frigo!
Permanent
Stakeholders’
Group, ENISA
CERT-PA, Agenzia per
l’Italia Digitale - PCM
24 novembre 2016 1 Collegio Ghislieri, Pavia
Ecco a voi… la “Internet delle cose”
24 novembre 2016 2 Collegio Ghislieri, Pavia
Oggetti intelligenti e collaborativi…
24 novembre 2016 3 Collegio Ghislieri, Pavia
Non dimenticarti
di comprare il
latte!
Collegio Ghislieri 24 novembre 2016
Corrado Giustozzi 2
…ma attenzione a non esagerare!
24 novembre 2016 4 Collegio Ghislieri, Pavia
“Brutte notizie… la bilancia minaccia di inibirci l’accesso al frigo…”
24 novembre 2016 5 Collegio Ghislieri, Pavia
Caso n°1: le automobili “connesse”
24 novembre 2016 6 Collegio Ghislieri, Pavia
Caso n°2: la casa intelligente
Collegio Ghislieri 24 novembre 2016
Corrado Giustozzi 3
24 novembre 2016 7 Collegio Ghislieri, Pavia
Caso n°3: dispositivi impiantati
La realtà: tutto è vulnerabile
24 novembre 2016 8 Collegio Ghislieri, Pavia
Convergenza tra safety e security
• In italiano il termine «sicurezza» significa molte cose,
ed è spesso troppo ambiguo per essere usato laddove
sia necessario identificare significati specifici
• In inglese esistono invece due termini distinti per
indicare i contesti tecnici principali della sicurezza:
– safety: tutela della salute, dell’incolumità e del benessere fisico
e psicologico delle persone contro eventi o incidenti involontari
– security: protezione di beni materiali e immateriali contro furto,
perdita, sabotaggio o danno, di natura accidentale o dolosa
• La maggior parte degli oggetti tecnologici è progettata
per essere safe ma non secure
• La IoT insiste sul (nuovo) dominio cyber-physical,
dove gli oggetti devono essere sia safe che secure
24 novembre 2016 9 Collegio Ghislieri, Pavia
Collegio Ghislieri 24 novembre 2016
Corrado Giustozzi 4
Sicurezza degli elettrodomestici?
24 novembre 2016 10 Collegio Ghislieri, Pavia
L’ICT è intrinsecamente debole…
• Debolezze di natura tecnica:
– anzianità dell’ecosistema (protocolli vecchi, deboli, insicuri, …)
– ingenuità di progetto (autenticazione debole, dati in chiaro, …)
– errori di implementazione (bug, unsafe coding, …)
• Debolezze date dalla complessità:
– la complessità dei sistemi e delle reti è sempre più elevata
– in Rete ci sono semplicemente troppi utenti e dispositivi!
– il volume di traffico sta diventando ingestibile
• Debolezze del fattore umano e comportamentale:
– scarsa consapevolezza e cultura da parte dell’utente finale
– errata percezione dei rischi delle azioni nel ciberspazio
– l’assunzione fondamentale è che tutti siano in buona fede
24 novembre 2016 11 Collegio Ghislieri, Pavia
…ma anche IoT non scherza!
24 novembre 2016 12 Collegio Ghislieri, Pavia
Collegio Ghislieri 24 novembre 2016
Corrado Giustozzi 5
Perché? L’ingegnere uruguayano!
24 novembre 2016 Collegio Ghislieri, Pavia 13
Oggetti smart e progettisti naïve
• La maggior parte degli utilizzatori (e dei progettisti!)
pensa agli oggetti “smart” come una semplice versione
potenziata dei normali, innocui oggetti quotidiani:
– elettrodomestici, orologi, telefoni, automobili, …
• In realtà questi oggetti non sono altro che dei computer
“travestiti” da oggetti di uso quotidiano, i quali sono
però progettati non da esperti di computer ma da
esperti dei rispettivi settori tecnologici e di mercato
• Così, ad esempio: un frigorifero “smart”:
– è in effetti un computer che refrigera il cibo
– è progettato da un progettista di frigoriferi e non di sistemi IT
– ha la potenza di calcolo e di connettività di un computer
moderno, ma le vulnerabilità di un computer di vent’anni fa
24 novembre 2016 14 Collegio Ghislieri, Pavia
Sindrome dell’ingegnere entusiasta
24 novembre 2016 15 Collegio Ghislieri, Pavia
Collegio Ghislieri 24 novembre 2016
Corrado Giustozzi 6
Serve proprio che sia tutto on-line?
• Oggi è tutto “smart” e “nel cloud”:
– riscaldamento, frigorifero, TV, elettrodomestici, …
– antifurti, telecamere, …
– telefoni, orologi, …
– giocattoli, gadget, …
– automobili, …
• Più i sistemi sono connessi e più aumentano non solo
le possibilità di utilizzo ma anche i rischi di abuso
• Le minacce sono serie e non vengono più dagli hacker
dei film di hollywood ma dalla criminalità organizzata,
dal terrorismo, dai governi
24 novembre 2016 16 Collegio Ghislieri, Pavia
Scenario n°1: le cose estorcono
24 novembre 2016 17 Collegio Ghislieri, Pavia
Scenario n°2: le cose attaccano!
24 novembre 2016 18 Collegio Ghislieri, Pavia
Collegio Ghislieri 24 novembre 2016
Corrado Giustozzi 7
• Purtroppo gli stessi errori compiuti in passato nel
mondo ICT continuano a ripetersi nel mondo IoT,
tecnologicamente adiacente ma culturalmente distante:
– sistemi SCADA:
• controlli industriali
– “Smart appliance” :
• televisori, elettrodomestici, …
– settore automotive:
• auto “intelligenti”, …
– dispositivi medici indossabili e impiantabili:
• pompe di insulina, defibrillatori, …
• wellness, fitness
• Nel mondo IoT non possiamo permetterci di imparare
dai nostri errori, perché ci faremo molto male!
24 novembre 2016 19 Collegio Ghislieri, Pavia
Imparare dagli errori altrui
Considerazioni finali
• Non si può reinventare la ruota, occorre imparare dagli
errori commessi nello sviluppo di tecnologie precedenti:
– lezioni duramente apprese coi sistemi ETACS e SCADA
– i sistemi non devono essere solamente safe ma anche secure
– non si possono più ignorare i rischi di attacchi deliberati IoT
finalizzati a sabotaggio, intrusione, manomissione, …
– non si può più sottovalutare il rischio costituito dalle
organizzazioni criminali e dal terrorismo
• I costruttori di prodotti, sia consumer che industriali,
dovrebbero sfruttare maggiormente l’esperienza di chi
ha già affrontato negli anni i rischi di sicurezza ICT
• Chi utilizza gli oggetti “smart” dovrebbe essere più
consapevole dei rischi e comportarsi di conseguenza
24 novembre 2016 20 Collegio Ghislieri, Pavia
Grazie per l’attenzione
Vostro Onore, sono il frigo!
@cgiustozzi
24 novembre 2016 21 Collegio Ghislieri, Pavia