Vai al contenuto

In UK, ci segnala Bruce Schneier, c'è una proposta di legge per bannare le password di default sui dispositivi IoT.

Si tratta di un interessante passo avanti per migliorare la sicurezza di oggetti connessi ad internet: non necessariamente si tratta di una buona soluzione ma è meglio di niente.

L'ideale sarebbe un sistema per invogliare ad avere password sicure e uniche. Fino ad ora, la soluzione che più mi è piaciuta, che va in questa direzione è quella che ho visto su un router: una password preimpostata composta da un paio di parole e qualche numero. Viene scritta sull'etichetta del router, il fabbricante non la conosce perché è generata a caso in automatico ed è abbastanza facile da ricordare.

In questo campo le soluzioni devo necessariamente essere un compromesso tra facilità d'uso e sicurezza: se sono estremamente sicure quasi sicuramente sono troppo difficili da usare e si rischia che l'utente medio si stufi e cambi la password con 12345. Se sono troppo facili da usare sicuramente la sicurezza è troppo bassa e prima o poi qualcuno entra abusivamente nel tuo dispositivo.

Click sull'immagine per la gif animata

Segnala Bruce Schneier che c'è un kickstarting (crowdfunding) per una candela con fuoco vero controllabile via internet e, giustamente, si domanda: cosa potrebbe andare storto?

Alcuni lettori di Bruce hanno lasciato commenti particolarmente significativi:

  • Puoi verificare da remoto se casa tua ha una perdita di gas.
  • La si potrebbe chiamare candela di Darwin.
  • Prossimamente l'integrazione con svariati assistenti vocali per una migliore e più veloce esperienza di incendio.
  • Adesso avremo bisogno di una estintore IoT.
  • Tocca qui per bruciare tutti (cit. Click here to kill everybody).

Il tag Bluetooth di Wiliot

Un produttore di chip, Wiliot, ha creato un tag bluetooth delle dimensioni di un francobollo che funziona senza batteria.
L'energia la ricava dalle onde elettromagnetiche che ci circondano.
Non avendo l'ingombro, il costo e la durata limitata della carica dovute alla batteria si aprono scenari di utilizzo interessanti:


  • Ogni oggetto può essere tracciato lungo tutta la filiera produttiva
  • In aggiunta alle etichette classiche si potranno avere etichette bluetooth molto più dettagliate
  • Le istruzioni d'uso potranno essere lette dagli elettrodomestici (lavatrice che saprà come lavare un capo perché se lo fa dire direttamente)
  • Gli oggetti smarriti saranno più facilmente rintracciabili, col cellulare, se si trovano nelle vicinanze (chiavi smarrite in casa ad esempio)

Potendo inoltre abbinarlo a sensori le possibilità sono ancora maggiori:

  • Un oggetto è troppo caldo, sensore di temperatura, e ti avvisa
  • Un contenitore è vuoto, sensore di pressione, e ti ricorda di comprare il contenuto
  • Tanti sensori di temperatura per mappare ambienti in modo da studiare ottimizzazioni del riscaldamento e raffrescamento

La fantasia non ha limiti e sicuramente verranno fuori altri e inediti potenziali utilizzi.

Via Quinta e The Verge

Grazie ad una nuova legge dello stato della California avremo maggior sicurezza sui dispositivi IoT.

Questa legge impone a tutti gli oggetti connessi di avere un ragionevole livello di sicurezza: dato che i produttori di dispositivi IoT devono aggiornare il loro software per poter vendere in California e che non ha senso mantenere un ramo "sicuro" per la California e uno "insicuro" per tutti gli altri, questo miglioramento sarà per tutti.

Via Bruce Schneier

Interessante articolo di Bruce Schneier sull'uso dei dati personali degli IoT (per esempio videocamere di sorveglianza ma anche aspirapolvere e altro). I produttori di questi oggetti non pubblicano nulla sulla trasparenza nell'uso dei nostri dati e non commentano al riguardo quando interpellati.
Siete sempre convinti che sia bello, comodo e fantastico avere il proprio sistema di allarme, con magari videocamere interne, connesso via internet al sito del produttore?
Segue una traduzione molto libera del breve articolo di Bruce.

I dispositivi IoT sono dispositivi di sorveglianza e i produttori generalmente li usano per raccogliere dati sui loro clienti. La sorveglianza è ancora il modello di business di Internet e questi dati sono usati contro l'interesse dei clienti: sia dai produttori che da qualche terza-parte al quale il produttore vende i dati. Ovviamente questi dati possono anche essere usati dalle forze dell'ordine; lo scopo dipende dalla nazione.

Niente di tutto questo è una novità e molto di questo è spiegato nel mio (ndt suo: di Bruce) libro Data and Goliath. Quello che è comune per le aziende di Internet è di pubblicare un "rapporto sulla trasparenza" che indica almeno le informazioni generali su come le forze dell'ordine usano questi dati. Le aziende IoT non pubblicano questi report.
TechCrunch ha chiesto informazioni ad alcune di queste aziende e, fondamentalmente, ha scoperto che nessuno parla.

Via BoingBoing

1

Un aspirapolvere potrebbe essere trasformato in una spia e questo può succedere perché, prima di tutto, c'è la mania di avere tutto quanto connesso ad internet ( IoT ) e poi perché qualcuno ha avuto la strana idea di dotarlo di un microfono.

A questo punto, dato che spesso la sicurezza informatica di questi oggetti è molto bassa, succede che vengano trovati sistemi per manometterli e trasformarli in dispositivi di sorveglianza. In questo caso bisogna poter mettere fisicamente le mani sull'aspirapolvere quindi il tipo di attacco è limitato: se hai un malintenzionato in casa il problema maggiore non è l'aspirapolvere.

Bruce Schneier si domanda perché un aspirapolvere debba essere dotato di microfono e pure io me lo chiedo. In più mi chiedo anche il perché di questa mania di avere tutto connesso: soprattutto visto che quasi nessuno si cura della sicurezza di questi oggetti.