La tecnologia Smart Home è sicura? Ecco come puoi scoprirlo.

15/11/2023
Essendo una persona a cui piace la comodità della tecnologia Internet of Things (IoT) per la casa intelligente, sono regolarmente alla ricerca di prodotti che soddisfino le mie aspettative, considerando anche i problemi di sicurezza e privacy. La tecnologia intelligente non dovrebbe mai essere trattata diversamente dal modo in cui noi consumatori consideriamo altri prodotti, come ad esempio l’acquisto di un’automobile. Nel caso delle automobili, cerchiamo il veicolo che soddisfi le nostre aspettative visive e prestazionali, ma che mantenga anche noi e la nostra famiglia al sicuro. Detto questo, non dovremmo cercare anche tecnologie per la casa intelligente che siano sicure e proteggano la nostra privacy?

Non posso dirti quale soluzione funzionerà per il tuo caso specifico, ma posso darti alcuni suggerimenti sulla sicurezza tecnologica per aiutarti a fare quella ricerca e determinare quale soluzione potrebbe soddisfare meglio le tue esigenze e aiutarti a rimanere al sicuro mentre lo fai. Molti di questi consigli funzioneranno indipendentemente dal prodotto IoT che desideri acquistare; tuttavia, consiglio di dedicare del tempo all’esecuzione di alcuni di questi passaggi di base della ricerca sulla sicurezza del prodotto.

La prima cosa che consiglio è di visitare il sito del fornitore e cercare cosa hanno da dire sulla sicurezza dei loro prodotti. Inoltre, hanno un programma di divulgazione delle vulnerabilità (VDP)? Se un’organizzazione che produce e vende tecnologia IoT non ha molto da dire sulla sicurezza dei propri prodotti o su un modo semplice per te o qualcun altro di segnalare un problema di sicurezza, allora ti consiglio vivamente di voltare pagina.

Ciò indicherebbe che la sicurezza del prodotto probabilmente non è importante per loro quanto dovrebbe. Lo dico anche ai venditori di prodotti là fuori: se non prendete la sicurezza dei prodotti abbastanza seriamente da aiutare noi consumatori a capire perché i vostri prodotti sono i migliori in termini di sicurezza, allora perché dovremmo acquistare i vostri prodotti?

Successivamente, consiglio sempre di cercare nel database Common Vulnerability Exposure (CVE) e in Internet il prodotto che desideri acquistare e/o il nome del venditore. Le informazioni che trovi a volte sono molto indicative in termini di come un’organizzazione gestisce la divulgazione delle vulnerabilità della sicurezza e il follow-up delle patch dei propri prodotti.

L’esistenza di una vulnerabilità in un prodotto IoT non è necessariamente una cosa negativa: troveremo sempre vulnerabilità nei prodotti IoT. La domanda a cui stiamo cercando di rispondere effettuando questa ricerca è questa: in che modo questo fornitore gestisce le vulnerabilità segnalate? Ad esempio, li rattoppano rapidamente o ci vogliono mesi (o anni!) prima che reagiscano – o alla fine non faranno nulla? Se non vengono pubblicate informazioni sulla vulnerabilità di uno specifico prodotto IoT, è possibile che nessuno si sia preso la briga di testare la sicurezza del prodotto. È anche possibile che il fornitore abbia risolto silenziosamente i propri problemi e non abbia mai rilasciato alcun CVE.

È improbabile, ma non impossibile, che un prodotto non contenga mai una vulnerabilità. Nel corso degli anni ho riscontrato prodotti in cui non sono riuscito a trovare alcun problema; tuttavia, non riuscire a individuare le vulnerabilità all’interno di un prodotto non significa che non possano esistere.

Recentemente, sono diventato curioso di sapere come si collocano in termini di sicurezza i fornitori che producono e/o modificano gli apriporta dei garage, quindi ho seguito il processo di ricerca discusso sopra. Ho dato un’occhiata a diversi fornitori per vedere e la cosa triste è che praticamente nessuno di loro menziona la parola “sicurezza” sui propri siti web. Una chiara eccezione è stata Tuya, un’organizzazione globale di hardware IoT e software-as-a-service (SaaS) IoT.

Quando ho esaminato il sito web di Tuya, ho individuato rapidamente la loro pagina di sicurezza ed era piena di informazioni utili. In questa pagina, Tuya illustra le politiche di sicurezza, gli standard e la conformità. Oltre ad avere un VDP, eseguono anche un programma di ricompensa dei bug. I programmi di bug bounty consentono ai ricercatori di collaborare con un fornitore per segnalare problemi di sicurezza e di essere pagati per farlo. Le informazioni sulla ricompensa dei bug di Tuya si trovano presso il Tuya Security Response Center. I fornitori prendono nota: ecco come un fornitore di prodotti IoT dovrebbe presentare se stesso e il proprio programma di sicurezza.

In conclusione, consumatori, se state cercando di spendere i vostri sudati guadagni, prendetevi il tempo per fare alcune ricerche di base per vedere se il fornitore ha un programma di sicurezza proattivo. Inoltre, i venditori ricordano che i consumatori stanno diventando sempre più consapevoli e preoccupati per la sicurezza dei prodotti. Se desideri che il tuo prodotto raggiunga lo status di “migliore soluzione in circolazione”, ti consiglio vivamente di iniziare a prendere sul serio la sicurezza del prodotto, nonché di condividere i dettagli e l’accesso al programma di sicurezza per la tua azienda e i tuoi prodotti. Questi dati aiuteranno i consumatori a prendere decisioni più informate su quale prodotto soddisfa meglio le loro esigenze e aspettative.

Articolo originale

Scarica il report di Rapid7

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI

Quali sono i vantaggi di una API anti-phishing?

Quali sono i vantaggi di una API anti-phishing?

Gli esseri umani sono l’anello più debole e il phishing sfrutta l’errore umano. Gli autori di phishing inducono un senso di urgenza nei destinatari, quindi i dipendenti sono spesso costretti a compiere azioni dubbie senza pensare alle conseguenze. Il risultato è...

Come cercare malware UEFI utilizzando Velociraptor

Come cercare malware UEFI utilizzando Velociraptor

Le minacce UEFI sono storicamente limitate in numero e per lo più implementate da attori statali come persistenza furtiva. Tuttavia, la recente proliferazione di Black Lotus sul dark web, il modulo di enumerazione Trickbot (fine 2022) e Glupteba (novembre 2023) indica...