.

Sai che c'è di nuovo? Tutto. Ogni cosa è collegata in rete. E attaccabile.

Di che si tratta
I device IoT (Internet of Things) o più in generale i sistemi con logica “embedded”, sono prepotentemente entrati a far parte della quotidianità: smart plug, termostati intelligenti, luci collegate a sistemi di domotica; smart watch, bilance wi-fi, oggetti “wearable” usati anche per monitorare la salute; apparati biomedicali connessi in rete negli ospedali; sistemi evoluti di gestione in rete delle utility a livello “smart city”.

E molto altro: i device IoT sono oggetti nuovi e, come qualsiasi oggetto connesso a una rete di telecomunicazione, potenzialmente soggetti a problemi di sicurezza. Che possono talvolta essere causati dall’imperizia di chi li progetta o installa, e avere conseguenze rilevanti per organizzazioni, aziende, abitazioni e persone.

CryptoNet Labs esegue attività di Penetration Test specifiche per apparati IoT o sistemi embedded con un triplice livello di verifica:

  • Analisi statica. Basata su reverse engineering del firmware e sulla ricerca di “falle”, utilizzo di funzioni insicure o altri pattern noti.
  • Analisi dinamica. Interagendo con il dispositivo a run-time e a livello network, sono eseguiti controlli sui servizi esposti e sui protocolli di comunicazione, anche tramite tecniche di fuzzing.
  • Analisi passiva. Raccolta ed esame del traffico di rete generato o ricevuto dal dispositivo, per ottenere una accurata conoscenza delle sue interazioni con altre entità.

Questo approccio consente di avere una visione completa delle vulnerabilità presenti e discriminare falsi positivi.

Chi ne può beneficiare
Organizzazioni che producono o utilizzano device IoT nei più svariati ambiti (domotica, smart city, wearable device, tracker, informatica medicale…) per evidenziare i punti di debolezza e le azioni correttive da introdurre (idealmente in fase di sviluppo o di deployment).