Creare un percorso di sicurezza IoT con ETSI EN 303 645


Post sul blog 27 maggio 2020 di Robin Vossen, Senior Security Specialist di Bureau Veritas Cybersecurity
Adobe Stock 127449472

I dispositivi IoT creano molte nuove opportunità per tutti i settori. Tuttavia, il panorama dell'IoT è noto (anche ai ricercatori di sicurezza) per contenere molte vulnerabilità di sicurezza.


Poiché tutto viene connesso a Internet, i rischi sono impliciti. Soprattutto con i prodotti IoT, che hanno un'elevata complessità e una pressione per andare sul mercato prima di prodotti simili di altri concorrenti. La combinazione sopra descritta porta a vulnerabilità di sicurezza all'interno di questi dispositivi, poiché spesso agli sviluppatori non viene concesso il tempo necessario per sviluppare un prodotto complesso, con una corrispondente architettura di sicurezza.

Esistono numerosi modi per affrontare questi problemi di sicurezza. Uno dei modi in cui si può tentare di domare la bestia chiamata 'sicurezza IoT' è l'utilizzo di framework o standard. Questi forniscono agli sviluppatori una visione del tipo di problemi di sicurezza che il loro dispositivo può avere. Uno di questi standard è l'ETSI EN 303 645.

All'inizio di quest'anno, Bureau Veritas Cybersecurity ha sperimentato questo standard per capire se copre la sicurezza IoT (dei consumatori) in modo soddisfacente. Poiché il problema degli standard è che limitano drasticamente l'ambito della ricerca, è molto importante che lo standard selezionato sia abbastanza ampio da coprire la maggior parte delle basi esplorate e sfruttate dagli aggressori.

Etsi

Lo standard ETSI EN 303 645 è stato scelto in quanto sembra coprire diverse basi: l'hardware stesso, la privacy, le politiche aziendali e (cosa più importante) la sicurezza del software in uso.

Quindi, che cos'è questo standard ETSI EN 303 645, si potrebbe chiedere. Questo standard è stato elaborato dal gruppo ETSI (European Telecommunications Standards Institute) ed è stato sviluppato per affrontare la sicurezza dell'Internet of Things dei consumatori. La parola 'consumer' è fondamentale in questo caso, in quanto gli obiettivi non saranno IIoT (Industrial Internet of Things) o i sistemi POS (Point of Sale), ma l'hardware di tipo consumer, come il nuovo gadget che ha comprato l'altra settimana. Quando si modella la minaccia di questa categoria di dispositivi nel suo complesso, i rischi principali sono quelli legati al software, come la fuga di dati o l'exploit per diventare un bot (malware e così via) per altri attacchi, e non tanto il rischio di compromettere l'hardware (ad esempio, l'accesso fisico richiesto).

Lo standard impone una serie di requisiti, definiti in tredici categorie;

  1. Nessuna password predefinita universale.
  2. Implementare un mezzo per gestire i rapporti sulle vulnerabilità.
  3. Mantenere il software aggiornato.
  4. Archiviare in modo sicuro i parametri di sicurezza sensibili.
  5. Comunicare in modo sicuro.
  6. Ridurre al minimo le superfici di attacco esposte.
  7. Assicurare l'integrità del software.
  8. Assicurare la protezione dei dati personali.
  9. Rendere i sistemi resistenti alle interruzioni.
  10. Esaminare i dati telemetrici del sistema.
  11. Facilitare la cancellazione dei dati personali da parte dei consumatori.
  12. Semplificare l'installazione e la manutenzione dei dispositivi.
  13. Convalidare i dati di ingresso


Come è chiaro leggendo questi requisiti, questi punti richiedono una conoscenza interna del prodotto. Questa potrebbe essere raccolta all'interno di una scatola di cristallo o di un approccio a scatola nera. Questi due metodi di ricerca differiscono notevolmente.

Per un approccioa scatola di cristallo , il produttore dovrebbe essere coinvolto fornendo il codice sorgente e la documentazione di progettazione, consentendo così di effettuare controlli regolari del codice sorgente utilizzando la documentazione per determinare come vengono impostati e mantenuti i confini della fiducia.

Tuttavia, quando si utilizza un metodoa scatola nera , il firmware dovrà essere scaricato e sottoposto a reverse engineering per ottenere una solida comprensione di ciò che viene fatto come e quali misure vengono adottate per garantire che il dispositivo non venga compromesso.

L'approccio crystal box offre la maggior parte delle informazioni ed è meno dispendioso in termini di tempo, tuttavia spesso il venditore del dispositivo IoT non è il costruttore End-to-End dell'hardware e del software del dispositivo. Ciò si traduce spesso in un approccio black-box, in cui gli esperti mirano a soddisfare la maggior parte dei requisiti in un lasso di tempo ragionevole.

Iot house

Poiché la versione attuale dello standard ETSI EN 303 645 presenta numerose ambiguità (in termini di formulazione dei requisiti), è di estrema importanza che vengano concordati criteri minimi specifici.

Un esempio di questa situazione è il requisito 4.3-5 - "Tempestività degli aggiornamenti di sicurezza". La definizione di "tempestività" non è stata stabilita e, senza un confine rigido, sarà sempre un punto di discussione. La stessa affermazione vale per il requisito 4.3-12 - "Controllo periodico degli aggiornamenti". Anche una volta ogni dieci anni è periodica. Come descritto in precedenza, quando si stabilisce un criterio di accettazione minimo, ad esempio una volta al mese, si riduce la possibilità di exploit, pur mantenendo la flessibilità nell'implementazione.

Dato che molti dei requisiti sono espressi in modo così aperto, Bureau Veritas Cybersecurity ha creato una guida ai test proprietaria. Il motivo per cui è stata sviluppata questa guida ai test è stato quello di guidare il settore verso l'adozione dello standard, oltre a rendere l'approccio ai test più concreto, meno ambiguo, pur mantenendo la flessibilità. La creazione di questa guida ai test ha portato a un invito da parte di NEN (l'organizzazione di standardizzazione olandese) a uno dei loro eventi organizzati. L'evento era un incontro con persone del settore, con l'obiettivo di parlare dei requisiti della norma ETSI EN 303 645, nonché dell'applicabilità pratica e del valore di questo standard nel contesto dei Settori consumer.

Grazie all'esperienza pratica di Bureau Veritas Cybersecurity nell'utilizzo di questo standard e all'interesse per la guida ai test sviluppata, Secura ha partecipato a questo evento. Inoltre, c'era interesse per la guida ai test che Secura ha sviluppato su questo tema. Il motivo per cui l'abbiamo sviluppata è stato quello di guidare il settore verso l'adozione, oltre a rendere l'approccio di test più concreto, meno ambiguo, pur mantenendo la flessibilità. La partecipazione ha portato a molte discussioni interessanti, legate all'adozione dello standard.

Una domanda che è stata posta durante questo incontro da uno sviluppatore di dispositivi IoT è stata: "Perché dovremmo aderire a questo standard?", una domanda onesta e critica.

Dopo tutto, la compliance con lo standard non è (attualmente) obbligatoria e allo stesso tempo potrebbe essere costosa. Oltre alla spinta intrinseca a creare prodotti sicuri e ad evitare che il suo prodotto diventi una falla nella rete degli utenti, la ragione principale sarebbe quella di rendere la sua azienda, i suoi prodotti e i suoi sviluppatori a prova di futuro, quando questo standard diventerà obbligatorio. Nell'uso di DigiD (Logius) abbiamo visto lo stesso tipo di tendenza. Quando è stato creato DigiD, non esistevano leggi o regolamenti che imponessero l'uso di questa metodologia. Una situazione simile si riscontra attualmente intorno a ETSI EN 303 645.

E poi c'è qualcosa che si sviluppa lentamente con il passare del tempo in leggi e in un Internet più sicuro. Per questo motivo, sarebbe meglio prepararsi ora, quando gli errori non sono ancora penalizzati per conoscere il meraviglioso mondo della sicurezza IoT.

Per ora, abbiamo i nostri analizzatori logici, saldatori e disassemblatori per eseguire l'assessment di sicurezza dei dispositivi IoT che sta sviluppando o che ha nella sua rete. Che si tratti di telecamere, radio o altri gadget simili, siamo lieti di supportarla per garantire che le entità dannose non possano sfruttare questi prodotti e abusarne per agire come punto di ingresso nella sua rete protetta.

Come in un'evoluzione, prima non c'è nulla, poi c'è qualcosa e poi si sviluppa lentamente nel tempo; per la sicurezza, concretamente nelle leggi e in un Internet più sicuro. Per questo motivo, sarebbe meglio prepararsi ora e conoscere questo standard ETSI, mentre impariamo insieme a conoscere il meraviglioso mondo della sicurezza IoT.

Per saperne di più sullo standard ETSI, consulti la nostra scheda informativa. Se ha domande sulla Cybersecurity, ci contatti all'indirizzo cybersecurity@bureauveritas.com.

Fact sheets

PDF-icon
ETSI EN 303 645

Overview of ETSI EN 303 645 and our services.

Scarica la scheda informativa file_download
Tags: label IoT label Standards