EO_485

DIGITAL EMBEDDED SECURITY 46 - ELETTRONICA OGGI 485 - APRILE 2020 Gli obiettivi di Mirai erano dispositivi destinati a mer- cati di massa. I produttori di dispositivi IoT realizzati in piccoli volumi potrebbero considerarsi al sicuro in quanto sono bersagli poco “appetibili” per gli hacker desiderosi di “arruolare” nuove botnet. Ma i loro profitti sono ugualmente a rischio a causa di attacchi simili poiché con l’avvento di IoT si sono modificati i modelli di business. Sempre di più, i gua- dagni saranno frutto dell’erogazione di servizi e po- tranno quindi venire fortemente penalizzati dalla com- promissione dei dispositivi. La capacità di assegnare a ciascun dispositivo la propria identità univoca affi- dabile e le credenziali di accesso è fondamentale per- ché limita la portata di qualsiasi attacco. Come parte di una strategia di sicurezza globale, l’uso di identità univoche affidabili rende i servizi IoT più difficili da compromettere. P er anni la sicurez- za dei dispositivi è stata una preoccu- pazione secondaria per la maggior parte dei produt- tori di dispositivi embed- ded: è come se quella “S” in IoT fosse stata dimen- ticata. Spesso, gli OEM ritenevano che la con- venienza potesse essere anteposta alla protezione. Un approccio tipico era quello di fornire ai tec- nici della manutenzione un’unica password che potesse sbloccare qualsi- asi dispositivo dell’intera famiglia. In teoria, anche questa doveva rimanere segreto, ma in pratica non lo era per cui la sicurezza più efficace per questi sistemi era quella fisica. Se il dispositivo veniva bloccato e reso inaccessibile, allora l’accesso era consentito unicamente al persona- le autorizzato. Quando i dispositivi sono stati connessi a Internet e sono diventati visibili all’esterno dell’abi- tazione o dello stabilimento, questi sono diventati an- che incredibilmente vulnerabili. Le conseguenze deri- vanti dall’uso della stessa password per tutti i sistemi di una famiglia di prodotti sono diventate chiare con attacchi come Mirai, nel 2016. Questo attacco ha per- messo di “reclutare” milioni di dispositivi embedded in botnet (reti di computer comandati da remoto utilizzati in maniera illegale) che sono stati quindi utilizzate per lanciare attacchi di tipo “denial of service” (finalizzati cioè ad esaurire le risorse di un sistema informatico che fornisce un servizio ai client fino a impedirgli di erogare il servizio stesso) su altri sistemi. Per fornire un approccio più flessibile alla sicurezza e alla gestione dei certificati, Microchip ha sviluppato Trust Platform basata sull’elemento sicuro ATECC608a Nicolas Demoulin EMEA Marketing Manager – Secure Products Group Microchip Technology Sicurezza scalabile nella catena di fornitura