Quando parliamo di Internet delle cose (ecosistemi IoT), ci riferiamo a una vasta rete di gadget e dispositivi diversi che comunicano tra loro. Immagina il tuo frigorifero intelligente che invia un messaggio al tuo smartphone per avvisarti che sei rimasto senza latte o il tuo termostato intelligente che regola la temperatura ambiente in base alle tue preferenze. Sembra futuristico, vero?
Ma ecco il problema: questi dispositivi, per quanto avanzati possano sembrare, non sono potenti o ingegnosi come i computer che usiamo quotidianamente. Sono come piccoli messaggeri con energia limitata, sempre in movimento.
Perché i dispositivi IoT sono diversi dai normali computer
- Risorse limitate: a differenza dei grandi e potenti server o computer a cui siamo abituati, i dispositivi IoT spesso dispongono solo di poca memoria e potenza di elaborazione.
- Diversi canali di comunicazione: invece dei canali più sicuri utilizzati dai nostri computer, i dispositivi IoT spesso comunicano tramite canali wireless meno sicuri, come ZigBee o LoRa. È come scegliere un lucchetto per bicicletta fragile invece di uno robusto.
- Linguaggio e funzioni unici: ogni dispositivo IoT è come un individuo unico. Ognuno ha le proprie funzioni e comunica a modo suo. È come avere tante persone di paesi diversi, ognuna con la propria lingua, che cercano di conversare. Questo rende difficile elaborare un protocollo di sicurezza universale.
Perché questo è un problema?
Ebbene, a causa di queste sfide uniche, i dispositivi IoT possono essere facili bersagli per gli attacchi informatici. È un po' come una città. Più grande è la città, maggiori sono le possibilità che qualcosa vada storto. E proprio come in una grande città con tante tipologie di persone diverse, i dispositivi IoT di diverse aziende devono trovare il modo di comunicare tra loro. A volte, questo richiede un intermediario, una terza parte fidata, che li aiuti a capirsi.
Inoltre, poiché questi dispositivi hanno una potenza limitata, non sono equipaggiati per difendersi dalle minacce informatiche più sofisticate. È come inviare qualcuno con una fionda per respingere un esercito moderno.
Analizzare le vulnerabilità
Le vulnerabilità dell'IoT possono essere suddivise in due categorie principali
- Vulnerabilità specifiche dell'IoT: problemi come attacchi che causano il consumo eccessivo della batteria, difficoltà di standardizzazione o problemi di affidabilità rientrano in questa categoria. Considerateli come problemi che riguardano solo questi dispositivi.
- Vulnerabilità comuni: si tratta di problemi ereditati dal più ampio mondo di Internet. I problemi tipici che la maggior parte dei dispositivi online deve affrontare.
Comprendere le minacce alla sicurezza nell'IoT
Quando ci si addentra nel mondo della sicurezza informatica, soprattutto nell'ambito dell'IoT (Internet of Things), è comune sentire parlare della triade CIA. Questo termine non si riferisce a un'agenzia segreta, ma sta perdent, Integrità e Disponibilità. Si tratta di tre principi alla base della maggior parte della sicurezza informatica.
La prima,dent, riguarda la garanzia che i tuoi dati privati rimangano esattamente questo: privati. Pensala come un diario che tieni sotto il letto. Solo tu (e forse pochi fidati) dovresti averne la chiave. Nel mondo digitale, questo si traduce in informazioni personali, foto o persino una chat che stai facendo con un amico tramite un dispositivo smart.
L'integrità, d'altra parte, significa garantire che tutto ciò che hai scritto in quel diario rimanga come lo hai lasciato. Significa che i tuoi dati, che si tratti di un messaggio, un video o un documento, non vengono alterati da qualcun altro a tua insaputa.
Infine, c'è la Disponibilità. Questo principio è simile ad avere sempre a disposizione un diario quando si desidera annotare i propri pensieri. Nel mondo digitale, questo potrebbe significare accedere a un sito web quando necessario o recuperare le impostazioni della propria smart home dal cloud.
Con questi principi in mente, approfondiamo le minacce che l'IoT deve affrontare. Quando si parla di IoT, i nostri dispositivi di uso quotidiano, come frigoriferi, termostati e persino automobili, sono interconnessi. E se da un lato questa interconnettività offre praticità, dall'altro nasconde vulnerabilità uniche.
Una minaccia comune è l'attacco Denial of Service (DoS). Immaginate questo: siete a un concerto e state cercando di entrare da una porta, ma un gruppo di malintenzionati continua a bloccarvi la strada, impedendo a chiunque di entrare. Questo è ciò che un DoS fa alle reti. Le sommerge di richieste false in modo che utenti reali come voi e me non possano entrare. Una versione più minacciosa è il DoS Distribuito (DDoS), in cui non è un solo gruppo a bloccare la porta, ma più gruppi che bloccano più porte contemporaneamente.
Un'altra minaccia subdola è l'attacco Man-in-the-Middle (MiTM). È come se qualcuno ascoltasse segretamente la tua telefonata, a volte fingendo di essere la persona con cui pensi di parlare. Nello spazio digitale, questi aggressori trasmettono segretamente e potrebbero persino alterare la comunicazione tra due parti.
Poi abbiamo i malware, l'equivalente digitale di un virus del raffreddore, ma spesso con intenti più dannosi. Si tratta di software creati appositamente per infiltrarsi nei nostri dispositivi e talvolta danneggiarli. Man mano che il nostro mondo si riempie di dispositivi intelligenti, il rischio di infezioni da malware aumenta.
Ma ecco il lato positivo: per quanto numerose possano sembrare queste minacce, gli esperti di tutto il mondo stanno lavorando instancabilmente per combatterle. Stanno impiegando tecniche avanzate, come l'intelligenza artificiale, per rilevare e contrastare questi attacchi. Stanno anche perfezionando il modo in cui i nostri dispositivi comunicano, assicurandosi che possano effettivamente riconoscersi e fidarsi l'uno dell'altro. Quindi, sebbene l'era digitale presenti le sue sfide, non le stiamo affrontando a occhi chiusi.
Riservatezza
Oltre alle minacce alla sicurezza sopra menzionate, i dispositivi IoT e i dati che gestiscono affrontano rischi legati alla privacy, tra cui lo sniffing dei dati, lo smascheramento dei dati anonimi (de-anonimizzazione) e l'elaborazione di conclusioni basate su tali dati (attacchi inferenziali). Questi attacchi prendono di mira principalmente ladentdei dati, indipendentemente dal fatto che siano archiviati o trasmessi. Questa sezione esplora in dettaglio queste minacce alla privacy.
MiTM nel contesto della privacy
Si suggerisce che gli attacchi MiTM possano essere suddivisi in due categorie: attacchi MiTM attivi (AMA) e attacchi MiTM passivi (PMA). Gli attacchi MiTM passivi comportano il monitoraggio discreto degli scambi di dati tra dispositivi. Questi attacchi potrebbero non manomettere i dati, ma possono compromettere la privacy. Si consideri un individuo in grado di monitorare segretamente un dispositivo: potrebbe farlo per un periodo di tempo prolungato prima di lanciare un attacco. Data la diffusione delle telecamere nei dispositivi IoT, dai giocattoli agli smartphone e ai dispositivi indossabili, le potenziali conseguenze degli attacchi passivi, come l'intercettazione o lo sniffing dei dati, sono sostanziali. Al contrario, gli attacchi MiTM attivi svolgono un ruolo più diretto, utilizzando i dati acquisiti per interagire in modo ingannevole con un utente o accedere ai profili utente senza autorizzazione.
La privacy dei dati e le sue preoccupazioni
Analogamente al framework MiTM, le minacce alla privacy dei dati possono essere classificate anche in Attacchi Attivi alla Privacy dei Dati (ADPA) e Attacchi Passivi alla Privacy dei Dati (PDPA). Le preoccupazioni relative alla privacy dei dati riguardano questioni come la fuga di dati, le alterazioni non autorizzate dei dati (manomissione dei dati), il furto didente il processo di smascheramento di dati apparentemente anonimi (dent). Nello specifico, gli attacchi dident, talvolta definiti attacchi di inferenza, ruotano attorno a metodi come la deanonimizzazione, l'individuazione della posizione e l'accumulo di dati da diverse fonti. L'obiettivo principale di tali attacchi è quello di assemblare dati provenienti da diverse fonti per scoprire l'dentdi un individuo. Questi dati aggregati potrebbero quindi essere utilizzati per mascherarsi come l'individuo bersaglio. Gli attacchi che modificano direttamente i dati, come la manomissione dei dati, rientrano nella categoria ADPA, mentre quelli associati alladento alla fuga di dati sono considerati PDPA.
Blockchain come potenziale soluzione
La blockchain, comunemente abbreviata in BC, è una rete resiliente caratterizzata da trasparenza, tolleranza ai guasti e capacità di essere verificata e controllata. Spesso descritta con termini come decentralizzata, peer-to-peer (P2P), trasparente, trustless e immutabile, la blockchain si distingue come un'alternativa affidabile rispetto ai tradizionali modelli centralizzati client-server. Una caratteristica degna di nota della blockchain è lo "smarttrac", untracautoeseguibile in cui i termini dell'accordo o le condizioni sono scritti in codice. La progettazione intrinseca della blockchain garantisce l'integrità e l'autenticità dei dati, rappresentando unatrondifesa contro la manomissione dei dati nei dispositivi IoT.
Sforzi per rafforzare la sicurezza
Sono state suggerite diverse strategie basate su blockchain per diversi settori, come le supply chain, la gestionedente degli accessi e, in particolare, l'IoT. Alcuni modelli esistenti, tuttavia, non rispettano i vincoli temporali e non sono ottimizzati per i dispositivi IoT con risorse limitate. Al contrario, alcuni studi si sono concentrati principalmente sul miglioramento dei tempi di risposta dei dispositivi IoT, trascurando le considerazioni relative a sicurezza e privacy. Uno studio di Machado e colleghi ha introdotto un'architettura blockchain suddivisa in tre segmenti: IoT, Fog e Cloud. Questa struttura enfatizzava l'instaurazione della fiducia tra i dispositivi IoT utilizzando protocolli basati su metodi di prova, garantendo l'integrità dei dati e misure di sicurezza come la gestione delle chiavi. Tuttavia, questi studi non affrontavano direttamente le problematiche relative alla privacy degli utenti.
Un altro studio ha esplorato il concetto di "DroneChain", incentrato sull'integrità dei dati per i droni, proteggendoli con una blockchain pubblica. Sebbene questo metodo garantisse un sistema robusto e affidabile, impiegava la proof-of-work (PoW), che potrebbe non essere la soluzione ideale per le applicazioni IoT in tempo reale, in particolare per i droni. Inoltre, il modello non disponeva di funzionalità per garantire la provenienza dei dati e la sicurezza complessiva per gli utenti.
Blockchain come scudo per i dispositivi IoT
Con il continuo progresso tecnologico, aumenta la vulnerabilità dei sistemi ad attacchi come gli attacchi Denial-of-Service (DoS). Con la proliferazione di dispositivi IoT a prezzi accessibili, gli aggressori possono controllare più dispositivi per lanciare attacchi informatici di vasta portata. Il software-definetworking (SDN), sebbene rivoluzionario, può essere compromesso tramite malware, rendendolo vulnerabile a vari attacchi. Alcuni ricercatori sostengono l'utilizzo della blockchain per proteggere i dispositivi IoT da queste minacce, citando la sua natura decentralizzata e a prova di manomissione. Tuttavia, è degno di nota che molte di queste soluzioni rimangano teoriche, prive di implementazione pratica.
Ulteriori studi hanno mirato ad affrontare le carenze di sicurezza in diversi settori utilizzando la blockchain. Ad esempio, per contrastare potenziali manipolazioni in un sistema di smart grid, uno studio ha proposto l'uso della trasmissione crittografica dei dati combinata con la blockchain. Un altro studio ha promosso un sistema di proof-of-delivery basato sulla blockchain, semplificando il processo logistico. Questo sistema si è dimostrato resistente ad attacchi comuni come MiTM e DoS, ma presentava carenze nella gestionedentdell'utente e della privacy dei dati.
Architettura cloud distribuita
Oltre ad affrontare le consuete sfide di sicurezza come l'integrità dei dati, MiTM e DoS, diverse ricerche hanno esplorato soluzioni multiformi. Ad esempio, un articolo di ricerca di Sharma e del suo team ha introdotto una tecnica blockchain conveniente, sicura e sempre disponibile per l'architettura cloud distribuita, enfatizzando la sicurezza e riducendo i ritardi di trasmissione. Tuttavia, sono emerse aree di supervisione, tra cui la privacy dei dati e la gestione delle chiavi.
Un tema ricorrente in questi studi è l'uso prevalente della PoW come meccanismo di consenso, che potrebbe non essere il più efficiente per le applicazioni IoT in tempo reale a causa della sua natura ad alto consumo energetico. Inoltre, un numero significativo di queste soluzioni ha trascurato aspetti vitali come l'anonimato dell'utente e l'integrità completa dei dati.
Sfide nell'implementazione della blockchain nell'IoT
Ritardo ed efficienza
Sebbene la tecnologia blockchain (BC) esista da oltre dieci anni, i suoi veri vantaggi sono stati sfruttati solo di recente. Sono in corso numerose iniziative per integrare la BC in settori come la logistica, l'alimentazione, le reti intelligenti, le reti VANET, il 5G, l'assistenza sanitaria e il crowd sensing. Tuttavia, le soluzioni prevalenti non affrontano il ritardo intrinseco della BC e non sono adatte ai dispositivi IoT con risorse limitate. Il meccanismo di consenso predominante nella BC è la Proof-of-Work (PoW). La PoW, nonostante la sua diffusione, è relativamente lenta (elabora solo sette transazioni al secondo, rispetto alla media di Visa di duemila al secondo) e richiede molta energia.
Calcolo, gestione dei dati e archiviazione
L'esecuzione di un BC richiede notevoli risorse di calcolo, energia e memoria, soprattutto se distribuite su una vasta rete peer. Come evidenziato da Song et al., a maggio 2018 la dimensione del registro Bitcoin superava i 196 GB. Tali vincoli sollevano preoccupazioni sulla scalabilità e sulla velocità delle transazioni per i dispositivi IoT. Una possibile soluzione alternativa potrebbe essere quella di delegare le attività di calcolo a cloud centralizzati o server fog semi-decentralizzati, ma ciò introduce ulteriori ritardi di rete.
Uniformità e standardizzazione
Come tutte le tecnologie nascenti, la standardizzazione della Columbia Britannica rappresenta una sfida che potrebbe richiedere adeguamenti legislativi. La sicurezza informatica rimane una sfida ardua ed è eccessivamente ottimistico aspettarsi un unico standard in grado di mitigare tutti i rischi di minacce informatiche contro i dispositivi IoT nel prossimo futuro. Tuttavia, uno standard di sicurezza può garantire che i dispositivi aderiscano a determinati parametri di riferimento accettabili in termini di sicurezza e privacy. Qualsiasi dispositivo IoT dovrebbe includere una serie di funzionalità essenziali di sicurezza e privacy.
Problemi di sicurezza
Sebbene la blockchain sia caratterizzata da immutabilità, trust-free, decentralizzazione e resistenza alle manomissioni, la sicurezza di un sistema basato su blockchain è solida quanto il suo punto di ingresso. Nei sistemi basati su blockchain pubblica, chiunque può accedere ai dati e analizzarli. Sebbene le blockchain private possano rappresentare una soluzione a questo problema, introducono nuove sfide come la dipendenza da un intermediario fidato, la centralizzazione e le problematiche legislative relative al controllo degli accessi. Fondamentalmente, le soluzioni IoT basate su blockchain devono soddisfare criteri di sicurezza e privacy. Questi includono garantire che l'archiviazione dei dati sia in linea con le esigenze didente integrità; garantire una trasmissione sicura dei dati; facilitare una condivisione dei dati trasparente, sicura e responsabile; mantenere l'autenticità e la non contestabilità; garantire una piattaforma che consenta la divulgazione selettiva dei dati; e ottenere sempre il consenso esplicito alla condivisione dalle entità partecipanti.
Conclusione
La blockchain, una tecnologia con un potenziale e un potenziale immensi, è stata annunciata come uno strumento di trasformazione per diversi settori, tra cui il vasto e in continua evoluzione panorama dell'Internet of Things (IoT). Grazie alla sua natura decentralizzata, la blockchain può offrire maggiore sicurezza, trasparenza e trac, caratteristiche molto ambite nelle implementazioni IoT. Tuttavia, come per qualsiasi fusione tecnologica, la combinazione di blockchain e IoT non è priva di sfide. Dalle problematiche relative a velocità, elaborazione e archiviazione, alla pressante necessità di standardizzazione e gestione delle vulnerabilità, sono molteplici gli aspetti che richiedono attenzione. È essenziale che gli stakeholder degli ecosistemi blockchain e IoT affrontino queste sfide in modo collaborativo e innovativo per sfruttare appieno il potenziale sinergico di questa unione.
