L'Internet of Things (IoT) è stata definita nella Recommendation ITU-T Y.2060 [https://v.gd/39syfY] come ”a global infrastructure for the information society, enabling advanced services by interconnecting (physical and virtual) things based on existing and evolving interoperable information and communication technologies“.

Con ”things“ si indica un'enorme varietà di dispositivi ”intelligenti“: dai termostati ai frigoriferi, dalle automobili ai sensori biometrici. Ci si aspetta che l'interconnessione di tutte questi oggetti (secondo Gartner 6 miliardi nel 2016 e oltre 20 nel 2020 [https://v. gd/OAXk47]) cambi radicalmente il nostro modo di vivere, sia a livello personale (smart home) sia collettivo (smart city). Quando si parla di sicurezza informatica, di solito si fa riferimento alla triade integrità, riservatezza e disponibilità (CIA in inglese), cui si aggiunge il non ripudio. Fino ad ora, le minacce più gravi sono state verso la riservatezza, basti pensare ai milioni di account compromessi negli ultimi 2-3 anni.

Con l'IoT, la minaccia si sposta sull'integrità e la disponibilità. Ci sono già tutte le premesse: hacking di aereoplani [https://v.gd/ Hk34Ax], macchine [https://v.gd/UvPuEC] (per questo la Chrysler ha richiamato per aggiornamento software quasi 1,5 milioni di auto [https://v.gd/lBIlD0]), apparati medici [https://v.gd/MWWBWs] e, per quanto riguarda la disponibilità, un enorme attacco di Denial of Service nell'ottobre 2016. Più analiticamante, OWASP ha dettagliato in 16 punti i principi della sicurezza dell'IOT [https://v.gd/QcV5mO].

Secondo Schneier, il controllo dei sistemi via software, la loro interconnessione e la loro automazione e autonomia sono le tre cause dei rischi introdotti dall'IoT. Il primo apre la via alla loro compromissione, esattamente come per i computer, ma con la differenza che, quasi sempre, il software dei device non è aggiornabile (e la loro vita media è spesso molto lunga) e l'utente ha pochissimo controllo su di esso [https://v. gd/kQWDhS]. L'interconnessione fa sì che un sistema compromesso può attaccarne molti altri (interessante in proposito la compromissione di account Gmail a seguito di una vulnerabilità di un frigorifero [https://v.gd/kycGlX]). Più autonomia, e quindi perdita di controllo, significa che una compromissione può avere effetti immediati e difficilmente arginabili.

Concludo con un esempio sulle minaccie alla disponibilità. Il 21 ottobre 2016, Dyn, che fornisce servizi Internet per molte compagnie, tra cui Twitter, Spotify, BBC e Paypal, è stata oggetto di attacchi di Distributed Denial of Service (DDoS), che hanno reso inaccessibili i loro siti per molti utenti americani e europei. L'attacco, probabilmente il più massiccio mai registrato (con picchi di traffico stimati di 1.2 Tbps), è stato condotto da oltre 100mila device infettati con il malware Mirai : per la maggior parte telecamere [https://v.gd/uLZ8sU]. La cosa interessante, oltre che preoccupante, è che sembra che dietro questo attacco record non ci sia uno stato o una grossa organizzazione, ma un semplice utente [https://v.gd/IrtLVt].