Gli “smart services” possono essere applicati alla domotica ma anche in ambito aziendale: anche se in futuro saranno insostituibili, oggi si meritano un doveroso MA in relazione ai criteri di sicurezza e resilienza.
I servizi in ambito IoT (Internet delle Cose) – spesso integrati con tecnologie di Near Field Communication (NFC) e Radio Frequency Identification (RFid)- possono aprire la strada a falle si sicurezza se accompagnati da una progettazione debole o una implementazione imprecisa a livello di codice.
=>Scopri l’Internet delle Cose: IoT tecnologia del 2013
Il mancato rispetto di alcuni standard di programmazione e sicurezza lascia il campo libero ad usi impropri e quindi a potenziali problemi per l’utente finale.
Alcuni esempi: all’ultima conferenza Def Con di Las Vegas – principale raduno hacker al mondo – lo specialista in sicurezza di Blackwing Intelligence, Eddie Lee, ha mostrato uno strumento software per pagamenti contactless su sistemi Android (NfcProxy) in cui non è stata applicata la crittografia, forse per motivi di “time-to market”: una leggerezza che permette di accedere ai dati sensibili della carta e dell’utente!
Supponiamo invece di disporre di un elettrodomestico intelligente, magari un frigorifero in una mensa aziendale connesso ad internet (via IPv6) che, grazie ai codici RFid nelle confezioni degli alimenti sia in grado di riordinare presso il supermercato la spesa mancante, o che via NFC renda disponibile al gestore una lista della spesa per gestire i menu da preparare.
=> Leggi tutti i dispositivi e le novità sulla tecnologia NFC
Se i componenti non rispondono a criteri di sicurezza adeguati, un fantastico “smart service” diventa un problema di accesso alla rete aziendale.
Alla stessa stregua si possono considerare i sistemi elettrici del futuro costituiti da spine, prese e lampadine intelligenti in grado di informare una consolle centrale del loro stato di usura e segnalare il momento adatto per la loro sostituzione. In questo caso la compromissione lascerebbe al buio l’azienda, o l’ambito in cui tale “smart service” e’ implementato.
Privati e aziende che si trovano a implementare “smart services” devono richiedere esplicitamente garanzie sulle dotazioni di sicurezza, e prevedere test specifici in merito o servirsi di figure professionali (Chief Exploitation Officer) che creano exploits mirati a quel particolare “smart service” al fine di irrobustirlo.
Risparmiare su queste dotazioni e sui controlli apre il fianco a vulnerabilità e falle che se sfruttate da “criminali as service” inducono un danno economico finanziario e d’immagine davvero ingente.