Axel: l’indiscutibile leggerezza nella gestione apparati Cloud in security

Axel, a firma del suo Presidente Patrizio Bosello, presenta un particolareggiato approfondimento su un tema attualissimo e di rilevanza per il settore, dal titolo: “L’indiscutibile leggerezza nella gestione degli apparati Cloud nella security”.

Buona lettura!

Il mondo dei servizi e degli apparati connessi via internet sta vivendo una fase di assoluta euforia, più che giustificata sia dalla novità che dall’effettiva fruibilità ed efficienza della connessione globale.
Tutto, apparati e servizi ad essi collegati, sono disponibili immediatamente da qualsiasi punto geografico ci si trovi, anche lontanissimo dagli apparati in questione. Funzioni e tecnologie, disponibili da molti anni, oggi, grazie a quegli apparati che connettono le persone in mobilità come lo smartphone, sono fruibili in real time ovunque, e la cosa è diventata normale e naturale nel comune sentire.

Come le persone sono permanentemente connesse tra loro, non più con vetuste telefonate vocali o con primitivi SMS, ma con i molti gruppi social, tanto da considerare le mail in mobilità quasi cosa del passato, così lo sono adesso gli apparati.
E non più sistemi, ma oggetti puntuali: siamo entrati non più in modo teorico ma reale ed estremamente diffuso e fruito, nel mondo dell’IoT, IIoT, IoE, che alla fine significano tutti una cosa semplice: tutto connesso con tutto.
Abbandonando per un momento l’aspetto “ludico” della questione, e cioè quanto sia socialmente appagante far vedere agli amici e conoscenti applicazioni, tra le più varie, che gestiscono video, controlli, sistemi di allarme e quanto più la fantasia dell’App scateni nell’Homo Smartphoniano, ultima delle evoluzioni recenti della razza umana, la cosa pone delle questioni serie, soprattutto quando si vanno a toccare aspetti relativi alla security.
Quando il livello di rischio è giusto un filo oltre al minimo, aspetti relativi alla sicurezza in rete vanno e debbono, non solo per questioni deontologiche ma per altre tremendamente concrete e serie, essere tenuti in considerazione.

Concentriamoci sui sistemi di rilevazione intrusione, così come definiti dalle normative, e non su generici apparati di allarme che nella dicitura possono trarre in inganno l’utenza impreparata (allarme vuol dire tutto e niente, se non specificato che allarme sia: il cicalino del forno che indica che il pollo è cotto, è un segnale di allarme, ma certo non lo posso definire un apparato antintrusione o antifurto…).
Concentriamoci su questi dicevo, perché è qui che dall’utilizzo alla leggera della connessione in rete possono esserci i maggiori danni.

Tralasciamo il comparto video, dove il problema c’è ma è minore: se qualche immagine viene catturata o vista, sicuramente non è una cosa positiva, ma la questione si ferma lì.
Per i sistemi di sicurezza intrusione invece i danni potenzialmente creabili sono, e ben si percepisce, di molto maggiori.

Veniamo al termine Cloud, che oggi imperversa: se un aggeggio non porta la parola magica Cloud, viene percepito come antico, obsoleto, datato. Certamente, per alcuni aspetti è così. Ma quanti, non dico tra gli utenti, ma tra i tantissimi operatori specialistici conoscono ciò che sta dietro alla magica parolina?
Da mie rilevazioni sono una minoranza e neanche tanto rilevante.
Cloud è un termine che non dice assolutamente nulla, tranne che confermare che i dati escono dall’apparato e se ne vanno da qualche parte, indefinita e incontrollata, che è la rete internet, e poi vengono raccolti e gestiti da App-arati destinatari per l’utilizzo.
Il come questo venga effettuato, con quali sicurezze e soprattutto DOVE siano residenti i dati è dai più sottostimato.
Un passo indietro: tutti conoscono le applicazioni di internet e su internet, ma per l’immaginario collettivo internet, e intendo tutto internet, è la parte che si utilizza: quella dei motori, dei socials, la parte navigabile. E invece questa parte rappresenta solo il 10% di quel che fluisce in internet. Solo i tecnici, i positivamente curiosi, chi approfondisce, gli addetti ai lavori sanno che la parte più consistente di internet è costituita dalla connessione profonda: il Deep Web.
Il Deep Web costituisce il 90% del traffico dati, dove troviamo tutto quel che non è indicizzato o indicizzabile dai motori. Piccolo dettaglio: all’interno del DeepWeb troviamo il DarkWeb, quello anonimizzato da motori specifici come Tor, dove in modo totalmente anonimo operano soggetti positivi ma anche la criminalità, dalla più leggera alla più profonda. Ora, tenuto da conto questo, torniamo alla gestione dei dati in cloud.

Per quanto detto, e per semplicità, dividiamo le possibilità della gestione dei dati in due modalità.
• Una, la più sicura, viene chiamata in molti modi, ma il più noto è connessione da punto a punto. Significa che nessun dato, come ad esempio il banale codice utente che dà accesso ai comandi dell’apparato, risiede in aree o zone differenti dall’apparato stesso.
Nelle centrali Axel, ad esempio, il codice utente è registrato nella memoria non accessibile della centrale: è lì e lì rimane. Questa è una connessione che ha altissimo livello di sicurezza. La contropartita è che chi installa e configura l’apparato deve essere in grado di mettere le mani sul router e di effettuare alcune configurazioni di connessione, che sono semplici per chi le sa fare, ma diventano macigni per chi è abituato ad altri apparati dove basta fotografare un QRCode o fare due colpi di click e la connessione è stabilita.

• La necessità di conoscere i metodi di setup di una connessione viene azzerata nell’altro metodo che è quello di far risiedere i dati operativi (esempio la password di prima) in un database costantemente allineato e aggiornato residente su un server fisico o virtuale posizionato da qualche parte. Dove? Generalmente né importatore, né distributore né installatore ne sanno nulla.
In sostanza in questo secondo caso tutti i dati passano per il database nel cloud, e sono per loro stessa natura potenzialmente individuabili o intercettabili o manipolabili. Non dico che sia cosa semplice, ma chi lo sa fare lo può fare. Per questo secondo metodo la messa in rete dell’apparato però è estremamente semplice, veloce e alla portata di chiunque anche senza una minima formazione informatica. Va da sé che questo è un metodo vincente nella scelta degli apparati da parte degli operatori. Semplice: non si diventa matti a studiare o a leggere manuali, e si hanno tempi di setup certi e rapidi.

Ho spiegato in modo molto banale un ennesimo conflitto dove si constata che sicurezza non è sinonimo di facilità di installazione o di comodità.
È naturale che Axel, che produce sicurezza, abbia progettato finora unicamente sistemi che avessero dati residenti unicamente negli apparati, e funzionanti con la App AxelCloud in modalità sicura.
Abbiamo constatato che però il mercato, soprattutto quello residenziale, oggi richiede apparati che limitino al massimo le tempistiche di programmazione e setup. Unicamente per questo motivo abbiamo aggiunto alle funzionalità delle nostre centrali anche la connessione Cloud con dati ivi residenti, in modo da soddisfare la necessità di utilizzo per qualsiasi motivo lo si faccia anche di questo metodo, che consente la gestione dati anche su solo vettore Gprs.
Diversamente da altri produttori quindi noi diamo all’installatore la possibilità (e la responsabilità) di effettuare la scelta responsabile tra le due metodiche in base a sue esclusive considerazioni: livelli di sicurezza da garantire, facilità di attivazione, tempistiche di setup. Le mettiamo a disposizione entrambe. A noi di Axel sembra un modo serio di affrontare quello che sarà un sicuro problema dato da miliardi di apparati IoT connessi e della loro potenziale vulnerabilità, sia in termini individuali che di individuazione dei loro nodi di connessione e attraverso questi arrivare ad altri apparati connessi al medesimo nodo. Cosa che si fa agevolmente con motori, come Shodan, sapendo cosa fare e come fare. Chi gioca benevolmente o malevolmente con la rete lo sa.