Negli ultimi anni abbiamo assistito ad un progessivo aumento di attacchi informatici nei confronti dell’IoT. Una parte della colpa la si può sicuramente attribuire all’utente, utilizzatore di questi dispositivi, che non prende le misure adeguate.
Il resto della colpa invece, è attribuibile ai produttori dei suddetti apparati che, spesso e volentieri, non prendono le dovute precauzioni per la tutela degli utilizzatori.
Nasce così l’idea di creare una certificazione per “router sicuri“, fissando delle regole che i produttori dovranno seguire per poter ottenere la suddetta certificazione. Si è scelto proprio il router perché, tra gli apparati utilizzabili in una rete, è sicuramente quello più “intelligente” e, di conseguenza, più soggetto ad attacchi da malintenzionati.
L’idea è nata dalla Bundesamt für Sicherheit in der Informationstechnik (BSI), ente tedesco federale per la sicurezza delle informazioni.
L’ente in questione ha pubblicato un documento, anche abbastanza corposo (ben 22 pagine), che fissa alcune regole da seguire. Il documento, interamente scritto in inglese, è liberamente consultabile a questo indirizzo.
Alcuni dei consigli forniti dal documento sono l’utilizzo del protocollo WPA2 come predefinito per il collegamento Wi-Fi, l’utilizzo esclusivo di protocolli avanzati e poco attaccabili come il DNS, HTTP, HTTPS, DHCP, DHCPv6, e ICMPv6, e una serie di accorgimenti tecnici che sono ovviamente basati sulle vulnerabilità sfruttate dai pirati informatici negli ultimi tempi.
Viene dato spazio anche alla password per l’accesso al Wi-Fi e all’interfaccia di configurazione del router. Queste devono essere, in prima battuta, univoche, con una lunghezza minima di 20 caratteri e non contenere indicazioni sul produttore e sul modello del router stesso.
In generale, per l’impostazione di una password, il dispositivo deve richiedere una lunghezza minima di otto caratteri, l’uso di caratteri alfanumerici, maiuscoli e minuscoli, e l’utilizzo di caratteri speciali, oltre a essere sottoposte a un controllo attraverso un indicatore di robustezza della password.
Questi sono solo alcuni degli accorgimenti presenti nel documento. Si tratta di un vero e proprio vademecum per la produzione di router, e in generale di apparati di rete, sicuri. La speranza è, ovviamente, quella di vedere questa proposta realizzata non solo in Germania, ma anche in Europa o nel mondo. Potrebbe davvero contribuire alla sicurezza del mondo IoT.