Quando parliamo di Internet of Things (ecosistemi IoT), ci riferiamo a una vasta rete di gadget e dispositivi diversi che comunicano tra loro. Immagina che il tuo frigorifero intelligente invii un messaggio al tuo smartphone per informarti che hai finito il latte o che il tuo termostato intelligente regoli la temperatura della stanza in base alle tue preferenze. Sembra futuristico, vero?
Ma ecco il problema: questi dispositivi, per quanto avanzati possano sembrare, non sono potenti o pieni di risorse come i computer che utilizziamo quotidianamente. Sono come piccoli messaggeri con energia limitata, sempre in movimento.
Perché i dispositivi IoT sono diversi dal tuo normale computer
- Risorse limitate: a differenza dei server o dei computer grandi e potenti a cui siamo abituati, i dispositivi IoT spesso hanno solo poca memoria e potenza di elaborazione.
- Diversi canali di comunicazione: invece dei canali più sicuri utilizzati dai nostri computer, i dispositivi IoT spesso comunicano su canali wireless meno sicuri, come ZigBee o LoRa. Pensalo come scegliere un lucchetto per bici fragile invece di uno robusto.
- Linguaggio e funzioni unici: ogni dispositivo IoT è come un individuo unico. Hanno le loro funzioni e comunicano a modo loro. È come avere molte persone provenienti da paesi diversi, ognuna delle quali parla la propria lingua, che cercano di avere una conversazione. Ciò rende difficile elaborare un protocollo di sicurezza adatto a tutti.
Perché è un problema?
Ebbene, a causa di queste sfide uniche, i dispositivi IoT possono essere facili bersagli per gli attacchi informatici. È un po' come una città. Più grande è la città, maggiori sono le possibilità che qualcosa vada storto. E proprio come in una grande città con molti tipi diversi di persone, i dispositivi IoT di aziende diverse devono trovare il modo di comunicare tra loro. A volte, ciò richiede un intermediario, una terza parte fidata, che li aiuti a capirsi a vicenda.
Inoltre, poiché questi dispositivi hanno una potenza limitata, non sono attrezzati per difendersi dalle minacce informatiche sofisticate. È come mandare qualcuno con una fionda a respingere un esercito moderno.
Abbattere le vulnerabilità
Le vulnerabilità IoT possono essere suddivise in due categorie principali
- Vulnerabilità specifiche dell’IoT: rientrano in questo contesto problemi come gli attacchi di drenaggio della batteria, le sfide con la standardizzazione o i problemi di fiducia. Considerali come problemi che solo questi dispositivi devono affrontare.
- Vulnerabilità comuni: si tratta di problemi ereditati dal più ampio mondo di Internet. I problemi tipici che deve affrontare la maggior parte dei dispositivi online.
Comprendere le minacce alla sicurezza nell'IoT
Quando ci si tuffa nel mondo della sicurezza informatica, soprattutto nel regno dell'IoT (Internet of Things), è comune sentire parlare della triade della CIA. Questo non si riferisce a un'agenzia segreta ma sta invece perdent, Integrità e Disponibilità. Questi sono i tre principi su cui si fonda la maggior parte della sicurezza informatica.
Il primo, ladent, riguarda la garanzia che i tuoi dati privati rimangano proprio così: privati. Consideralo come un diario che tieni sotto il letto. Solo tu (e forse pochi fidati) dovresti avere la chiave. Nel mondo digitale, questo si traduce in informazioni personali, foto o persino in una chat che stai avendo con un amico tramite un dispositivo intelligente.
L’integrità, d’altro canto, è garantire che tutto ciò che hai scritto in quel diario rimanga come lo hai lasciato. Significa che i tuoi dati, che si tratti di un messaggio, un video o un documento, non vengono alterati da qualcun altro a tua insaputa.
Infine, c'è la disponibilità. Questo principio è come avere sempre a portata di mano il tuo diario quando vuoi annotare i tuoi pensieri. Nel regno digitale, ciò potrebbe significare accedere a un sito Web quando necessario o recuperare le impostazioni della casa intelligente dal cloud.
Tenendo presenti questi principi, approfondiamo le minacce che l'IoT deve affrontare. Quando si tratta di IoT, i nostri dispositivi quotidiani, come frigoriferi, termostati e persino automobili, sono interconnessi. E se da un lato questa interconnettività comporta vantaggi, dall’altro introduce anche vulnerabilità uniche.
Una minaccia comune è l'attacco Denial of Service (DoS). Immagina questo: sei a un concerto e stai cercando di oltrepassare una porta, ma un gruppo di burloni continua a bloccare la strada, impedendo a chiunque di passare. Questo è ciò che un DoS fa alle reti. Li travolge con richieste false in modo che gli utenti reali come te e me non possano entrare. Una versione più minacciosa è il Distributed DoS (DDoS) in cui non è solo un gruppo a bloccare la porta ma più gruppi che bloccano più porte contemporaneamente .
Un'altra minaccia subdola è l'attacco Man-in-the-Middle (MiTM). È come se qualcuno ascoltasse segretamente la tua telefonata e talvolta fingesse anche di essere la persona con cui pensi di parlare. Nello spazio digitale, questi aggressori trasmettono segretamente e potrebbero persino alterare la comunicazione tra due parti.
Poi abbiamo il malware, l’equivalente digitale di un virus del raffreddore ma spesso con intenzioni più dannose. Si tratta di software creati per infiltrarsi e talvolta danneggiare i nostri dispositivi. Man mano che il nostro mondo si riempie di dispositivi intelligenti, aumenta il rischio di infezioni da malware.
Ma ecco il lato positivo: per quanto numerose possano sembrare queste minacce, gli esperti di tutto il mondo lavorano instancabilmente per combatterle. Stanno impiegando tecniche avanzate, come l'intelligenza artificiale, per rilevare e contrastare questi attacchi. Stanno anche perfezionando il modo in cui i nostri dispositivi comunicano, garantendo che possano realmente riconoscersi e fidarsi l'uno dell'altro. Quindi, anche se l’era digitale presenta le sue sfide, non le affrontiamo con gli occhi bendati.
Privacy
Oltre alle suddette minacce alla sicurezza, i dispositivi IoT e i dati che gestiscono corrono rischi legati alla privacy, tra cui lo sniffing dei dati, lo smascheramento di dati anonimi (de-anonimizzazione) e il trarre conclusioni basate su tali dati (attacchi di inferenza). Questi attacchi mirano principalmente alladentdei dati, indipendentemente dal fatto che siano archiviati o trasmessi. Questa sezione esplora in dettaglio queste minacce alla privacy.
MiTM nel contesto della privacy
Si suggerisce che gli attacchi MiTM possano essere suddivisi in due categorie: Attacchi MiTM attivi (AMA) e Attacchi MiTM passivi (PMA). Gli attacchi MiTM passivi implicano il monitoraggio discreto degli scambi di dati tra i dispositivi. Questi attacchi potrebbero non manomettere i dati, ma possono compromettere la privacy. Considera qualcuno con la capacità di monitorare segretamente un dispositivo; potrebbero farlo per un periodo prolungato prima di lanciare un attacco. Data la prevalenza delle fotocamere nei dispositivi IoT, dai giocattoli agli smartphone e ai dispositivi indossabili, le potenziali conseguenze degli attacchi passivi, come l’intercettazione o lo sniffing di dati, sono sostanziali. Al contrario, gli attacchi MiTM attivi svolgono un ruolo più diretto, utilizzando i dati acquisiti per interagire in modo ingannevole con un utente o accedendo ai profili utente senza autorizzazione.
Privacy dei dati e sue preoccupazioni
Analogamente al framework MiTM, anche le minacce alla privacy dei dati possono essere classificate in attacchi attivi alla privacy dei dati (ADPA) e attacchi passivi alla privacy dei dati (PDPA). Le preoccupazioni relative alla privacy dei dati riguardano questioni come la fuga di dati, le alterazioni non autorizzate dei dati (manomissione dei dati), il furto didente il processo di smascheramento di dati apparentemente anonimi (dent). Nello specifico, gli attacchi dident, a volte definiti attacchi di inferenza, ruotano attorno a metodi come la de-anonimizzazione, l'individuazione di posizioni e l'accumulo di dati da diverse fonti. Lo scopo principale di tali attacchi è raccogliere dati provenienti da luoghi diversi per scoprire l'dentdi un individuo. Questi dati raccolti potrebbero quindi essere utilizzati per mascherarsi da individuo bersaglio. Gli attacchi che modificano direttamente i dati, come la manomissione dei dati, rientrano nella categoria ADPA, mentre quelli associati alladento alla fuga di dati sono considerati PDPA.
Blockchain come potenziale soluzione
Blockchain, comunemente abbreviato in BC, è una rete resiliente caratterizzata dalla sua trasparenza, tolleranza agli errori e capacità di essere verificata e controllata. Spesso descritta con termini come decentralizzata, peer-to-peer (P2P), trasparente, senza fiducia e immutabile, la blockchain si distingue come un'alternativa affidabile rispetto ai tradizionali modelli client-server centralizzati. Una caratteristica degna di nota all’interno della blockchain è lo “smart contract”, untracautoeseguibile in cui i termini dell’accordo o le condizioni sono scritti in codice. Il design intrinseco della blockchain garantisce l'integrità e l'autenticità dei dati, presentandosi cometrondifesa contro la manomissione dei dati nei dispositivi IoT.
Sforzi volti a rafforzare la sicurezza
Sono state suggerite varie strategie basate sulla blockchain per diversi settori come le catene di fornitura, la gestionedente degli accessi e, in particolare, l’IoT. Alcuni modelli esistenti, tuttavia, non riescono a rispettare i vincoli temporali e non sono ottimizzati per i dispositivi IoT con risorse limitate. Al contrario, alcuni studi si sono concentrati principalmente sul miglioramento dei tempi di risposta dei dispositivi IoT, trascurando considerazioni sulla sicurezza e sulla privacy. Uno studio di Machado e colleghi ha introdotto un’architettura blockchain divisa in tre segmenti: IoT, Fog e Cloud. Questa struttura enfatizza la creazione di fiducia tra i dispositivi IoT utilizzando protocolli basati su metodi di prova, che portano all’integrità dei dati e a misure di sicurezza come la gestione delle chiavi. Tuttavia, questi studi non hanno affrontato direttamente i problemi relativi alla privacy degli utenti.
Un altro studio ha esplorato il concetto di “DroneChain”, incentrato sull’integrità dei dati per i droni proteggendoli con una blockchain pubblica. Sebbene questo metodo garantisse un sistema robusto e responsabile, utilizzava la prova di lavoro (PoW), che potrebbe non essere l’ideale per le applicazioni IoT in tempo reale, in particolare i droni. Inoltre, il modello mancava di funzionalità per garantire la provenienza dei dati e la sicurezza generale per gli utenti.
Blockchain come scudo per i dispositivi IoT
Con il continuo progresso della tecnologia, aumenta la suscettibilità dei sistemi agli attacchi, come gli attacchi Denial-of-Service (DoS). Con la proliferazione di dispositivi IoT a prezzi accessibili, gli aggressori possono controllare più dispositivi per lanciare formidabili attacchi informatici. Il software-definetworking (SDN), sebbene rivoluzionario, può essere compromesso da malware, rendendolo vulnerabile a vari attacchi. Alcuni ricercatori sostengono l’utilizzo della blockchain per proteggere i dispositivi IoT da queste minacce, citando la sua natura decentralizzata e a prova di manomissione. Tuttavia, è interessante notare che molte di queste soluzioni rimangono teoriche e mancano di implementazione pratica.
Ulteriori studi hanno mirato ad affrontare le carenze di sicurezza in diversi settori utilizzando la blockchain. Ad esempio, per contrastare la potenziale manipolazione in un sistema di rete intelligente, uno studio ha proposto l’uso della trasmissione crittografica dei dati combinata con la blockchain. Un altro studio ha sostenuto un sistema di prova di consegna utilizzando blockchain, semplificando il processo logistico. Questo sistema si è dimostrato resistente agli attacchi comuni come MiTM e DoS, ma presentava carenzedentdell’utente e nella gestione della privacy dei dati.
Architettura cloud distribuita
Oltre ad affrontare le sfide familiari della sicurezza come l’integrità dei dati, MiTM e DoS, diversi sforzi di ricerca hanno esplorato soluzioni multisfaccettate. Ad esempio, un documento di ricerca di Sharma e del suo team ha introdotto una tecnica blockchain economica, sicura e sempre disponibile per l'architettura cloud distribuita, sottolineando la sicurezza e riducendo i ritardi di trasmissione. Tuttavia, c’erano aree di supervisione, tra cui la privacy dei dati e la gestione delle chiavi.
Un tema ricorrente in questi studi è l’uso prevalente del PoW come meccanismo di consenso, che potrebbe non essere il più efficiente per le applicazioni IoT in tempo reale a causa della sua natura ad alta intensità energetica. Inoltre, un numero significativo di queste soluzioni trascurava aspetti vitali come l’anonimato degli utenti e l’integrità completa dei dati.
Sfide dell’implementazione della Blockchain nell’IoT
Ritardo ed efficienza
Anche se la tecnologia blockchain (BC) esiste da oltre dieci anni, i suoi veri vantaggi sono stati sfruttati solo di recente. Sono in corso numerose iniziative per integrare la BC in settori quali logistica, cibo, reti intelligenti, VANET, 5G, sanità e rilevamento della folla. Tuttavia, le soluzioni prevalenti non risolvono il ritardo intrinseco di BC e non sono adatte a dispositivi IoT con risorse limitate. Il meccanismo di consenso predominante in BC è il Proof-of-Work (PoW). PoW, nonostante il suo utilizzo diffuso, è relativamente lento (elabora solo sette transazioni al secondo rispetto alla media di Visa di duemila al secondo) e consuma molta energia.
Calcolo, gestione dei dati e archiviazione
L'esecuzione di un BC richiede notevoli risorse computazionali, energia e memoria, soprattutto se distribuito su una vasta rete di pari. Come evidenziato da Song et al., a maggio 2018 la dimensione del registro Bitcoin superava i 196 GB. Tali vincoli sollevano preoccupazioni sulla scalabilità e sulla velocità delle transazioni per i dispositivi IoT. Una potenziale soluzione potrebbe essere quella di delegare le attività computazionali a cloud centralizzati o server fog semi-decentralizzati, ma ciò introduce ulteriori ritardi di rete.
Uniformità e standardizzazione
Come tutte le tecnologie nascenti, la standardizzazione di BC è una sfida che potrebbe richiedere adeguamenti legislativi. La sicurezza informatica rimane una sfida ardua ed è eccessivamente ottimistico aspettarsi un unico standard in grado di mitigare tutti i rischi di minacce informatiche contro i dispositivi IoT nel prossimo futuro. Tuttavia, uno standard di sicurezza può garantire che i dispositivi rispettino determinati parametri di sicurezza e privacy accettabili. Qualsiasi dispositivo IoT dovrebbe comprendere una serie di funzionalità essenziali di sicurezza e privacy.
Problemi di sicurezza
Anche se BC è caratterizzato da essere immutabile, privo di fiducia, decentralizzato e resistente alle manomissioni, la sicurezza di una configurazione basata su blockchain è solida quanto il suo punto di ingresso. Nei sistemi basati su BC pubblico, chiunque può accedere ed esaminare i dati. Anche se le blockchain private potrebbero essere un rimedio a questo problema, introducono nuove sfide come la dipendenza da un intermediario fidato, la centralizzazione e le questioni legislative relative al controllo degli accessi. Fondamentalmente, le soluzioni IoT agevolate dalla blockchain devono soddisfare criteri di sicurezza e privacy. Questi includono la garanzia che l’archiviazione dei dati sia in linea con le esigenze didente integrità; garantire la trasmissione sicura dei dati; facilitare la condivisione dei dati trasparente, sicura e responsabile; mantenimento dell'autenticità e dell'indiscutibilità; garantire una piattaforma che consenta la divulgazione selettiva dei dati; e ottenendo sempre il consenso esplicito alla condivisione da parte delle entità partecipanti.
Conclusione
Blockchain, una tecnologia con un potenziale e una promessa immensi, è stata annunciata come uno strumento di trasformazione per vari settori, incluso il panorama vasto e in continua evoluzione dell’Internet of Things (IoT). Grazie alla sua natura decentralizzata, la blockchain può fornire maggiore sicurezza, trasparenza e trac, caratteristiche molto ambite nelle implementazioni IoT. Tuttavia, come per ogni fusione tecnologica, la combinazione della blockchain con l’IoT non è priva di sfide. Dalle questioni legate alla velocità, al calcolo e all’archiviazione, alla pressante necessità di standardizzazione e di risoluzione delle vulnerabilità, ci sono molteplici aspetti che richiedono attenzione. È essenziale che le parti interessate sia negli ecosistemi blockchain che IoT affrontino queste sfide in modo collaborativo e innovativo per sfruttare appieno il potenziale sinergico di questa unione.
