La domanda può sembrare provocatoria, o forse molto scontata, ma in realtà la sicurezza dei dispositivi IoT è uno degli argomenti più caldi degli ultimi anni. Nelle nostre case sono entrati una marea di prodotti connessi alla rete: aspirapolvere, lavastoviglie, lavatrici, videocamere, citofoni e lampadine sono ormai legati alla nostra connessione Wi-Fi e questo, di fatto, ci espone ad un rischio, quello di essere hackerati.
Nessuno è immune
“A me non succede, io sto attent@!”
Non basta. Essere appassionati di tecnologia o prestare attenzione a tutto ciò che concerne la sicurezza non è sufficiente. Non perché dovremmo studiare di più o informarci di più ma perché ogni dispositivo IoT ha le sue debolezze e non dipendono dai compratori ma dai produttori.
Recentemente si parla molto di “security by design”, ossia della progettazione di oggetti tecnologici nati per essere sicuri. La realtà però è ben diversa: “Nulla può essere ‘secure by design’. Tutto è vulnerabile. E va bene così – mi spiega Alex Balan, Director Security Research di Bitdefender – Se pensi a noi, a Google o a qualsiasi altra società responsabile, ti accorgerai che abbiamo e hanno identificato e corretto una marea di vulnerabilità nel corso degli anni. E’ così che dovrebbe essere. Personalmente ti suggerisco di scappare quando un’azienda ti dice che un prodotto non ha alcuna debolezza perché significa solo che non le hanno ancora identificate”.
Balan ha le idee molto chiare ma anche molte prove per dimostrarmi la sua tesi: “Quando imposti un nuovo dispositivo smart prendi il tuo smartphone, installi l’applicazione che ti serve per la configurazione e a quel punto il dispositivo crea un access point. Con l’app tu ti colleghi a questo access point e poi inserisci le credenziali del tuo Wi-Fi che vengono inviate al nuovo device. Ecco, questo specifico momento è un momento di vulnerabilità perché quell’access point è aperto nel 99% dei casi.“
Nessuno infatti vuole creare un processo di configurazione che richieda una password. Rallenterebbe l’impostazione del nuovo prodotto. Così facendo però inviamo dati non criptati che possono intercettati da chiunque. Basta un’antenna sintonizzata su quello specifico canale per sapere la password del vostro Wi-Fi.
Qualcuno di voi starà sicuramente pensando che il problema non sussiste. Insomma, normalmente configuriamo una videocamera, un aspirapolvere o qualsiasi altro dispositivo IoT una volta sola. Saremmo quindi propensi a credere che il rischio sia molto limitato, anche perché non è un attacco su larga scala e non è qualcosa che possa essere fatto a grande distanza. Per intercettare i dati trasmessi in fase di setup con un’antenna bisogna essere piuttosto vicini. Parliamo di qualche metro.
Beh, in realtà le cose sono un po’ diverse: “Un malintenzionato può riattivare il processo di setup – mi racconta il Director Security Research di Bitdefender – Esiste una specifica caratteristica del protocollo Wi-Fi che permette a chiunque di escludere un dispositivo dalla rete.”
Come funziona? In sostanza è possibile sfruttare un’antenna wireless per sapere quanti dispositivi sono collegati al vostro access point. Il malvivente di turno non potrà intercettare il traffico dati perché non è collegato al vostro stesso modem/router ma potrà avere una lista di indirizzi MAC e sfruttarla per cacciare dalla vostra rete uno specifico device.
Facciamo un esempio pratico. Supponiamo che l’oggetto in questione sia una videocamera. Vi serve per monitorare casa quindi appena smette di funzionare iniziate a preoccuparvi. Il vostro primo pensiero è che non vada il Wi-Fi ma un rapido controllo vi permette di escludere questo problema. A questo punto immaginate sia colpa della videocamera stessa quindi, nel dubbio, la scollegate dall’app e ricominciate il processo di installazione. E’ così che il malintenzionato intercetterà i dati per ottenere la password del vostro Wi-Fi.
Quindi cosa dovrei fare? “Se vedete un dispositivo disconnesso dalla rete, pensateci due volte prima di resettare tutto e riconfigurare il prodotto. C’è la possibilità – piccola ma c’è – che qualcuno stia tentando di intercettare la password della vostra connessione di casa.”
Il dramma della configurazione iniziale è però solo un esempio di molti. Nel corso della nostra chiacchierata il Director Security Research di Bitdefender me ne porta molti altri, incluso un esempio pratico di hacking. Balan infatti prende un baby monitor e mi mostra quanto sia facile dirottare il flusso video. In pochi minuti i dati che normalmente verrebbero trasferiti sulla piattaforma del produttore vengono invece inviati ad un altro server e visualizzati tramite qualsiasi media player.
Il problema dei dispositivi IoT? La mancanza di comunicazione
La “mancanza di comunicazione” è spesso associata ai rapporti umani. Quante volte avete sentito dire che i vostri amici o conoscenti si sono lasciati perché non parlavano più? Non comunicavano? E’ un classico intramontabile ma non riguarda solo le coppie.
“Facciamo analisi di sicurezza su un buon numero di dispositivi IoT, un grosso numero dovrei dire – mi racconta Balan – Parte del processo prevede la discussione dei risultati con i produttori per far sì che qualsiasi falla sia stata trovata venga chiusa prima che il nostro report diventi pubblico. Tutto questo per evitare che i cattivi possano utilizzare le nostre informazioni. Fino ad ora abbiamo identificato vulnerabilità molto gravi (o peggio) per prodotti di circa 20 brand diversi ma abbiamo pubblicato solo 11 report. Questo perché molti produttori non rispondono alle nostre email. La maggior parte non ha neppure un contatto dedicato alla sicurezza.”
Ed ecco qui il vero problema: Bitdefender, così come altre aziende votate alla sicurezza informatica, fanno questo lavoro gratuitamente, eppure non vengono ascoltati. Il risultato è evidente: decine di prodotti continuano a rimanere sul mercato pur avendo vulnerabilità che possono mettere in pericolo gli utenti.
Addio agli elettrodomestici smart?
Ovviamente non dovremo buttare tutti i dispositivi IoT che abbiamo a casa. Il problema non sono loro ma le aziende che li producono. Non tutte, sia chiaro. Comprensibilmente Balan non mi svela quali siano le società da cui è bene mantenere le distanze, mi dice solo di “non comprare roba economica”. In compenso mi menziona una serie di compagnie che a suo avviso si comportano in modo estremamente responsabile, come August, Xiaomi, Samsung, Logitech, Netgear, Amazon e Google.
Insomma, i grossi colossi prendono davvero seriamente il problema della sicurezza, e dovreste farlo anche voi.
Questo non significa rinunciare alla tecnologia ma utilizzarla in modo più consapevole. Niente password deboli, niente Wi-Fi libero, niente prodotti super economici di brand sconosciuti. E soprattutto iniziate a pretendere di sapere cosa viene fatto per garantire la vostra sicurezza, come vengono protetti i dispositivi che avete acquistato, quanto investe un’azienda per tappare i buchi trovati da altri. Perché è vero, come dice Alex, che la responsabilità è di chi produce ma è anche vero che, facendo sentire la nostra voce, possiamo imporre standard più elevati di quelli utilizzati fino ad ora.
Non saremo però soli in questa battaglia per la sicurezza. Attualmente Bitdefender sta contrattando con diversi provider per fare in modo che i modem e i router che vengono forniti dagli operatori possano fungere da barriera contro possibili attacchi. In questo modo l’utente non dovrà sviluppare particolari competenze o conoscenze per difendere la sua casa, ad occuparsene sarà un oggetto già presente nella sua abitazione, qualcosa di poco invasivo e indispensabile.
E voi avete qualche dispositivo IoT a casa? Vi siete mai preoccupati del fattore sicurezza?
- Sicurezza internet¨¤ connessa, minaccia, virus di intrusione, dispositivi connessi, controllo parentale, connessione...
- Spedizione gratuita
- Bitdefender BOX protegge tutti i tuoi oggetti collegati a Internet e protegge da virus, minacce e attacchi nocivi dei...
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🌍 Giornata della Terra: ciascuno può dare il suo piccolo contributo per salvaguardarla
🍿Fallout: tutte le domande irrisolte alle quali la Stagione 2 dovrà rispondere
🛞Come scegliere gli pneumatici estivi per l’estate? I fattori da considerare
🤯Google licenzia 28 dipendenti per proteste contro il progetto Nimbus in Israele
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
