Utilizziamo i cookie sui nostri siti web. Le informazioni sui cookie e su come è possibile opporsi al loro utilizzo in qualsiasi momento o terminarne l'uso sono disponibili nella nostra Informativa sulla privacy.

#SMARTHOME/IOT 5 min per leggere Nessun commento

Internet delle cose: la porta laterale per hackerare casa vostra?

Ogni giorno sempre più cose, dentro e fuori casa, sono collegate ad Internet e comunicano col mondo intero. Dovremmo avere paura? Cosa possiamo fare per proteggerci? La sicurezza domestica del XXI secolo deve essere applicata a più porte e non solo a quella principale.

Un'altra porta per entrare a casa vostra

I criminali troverebbero parecchi modi per irrompere nelle vostre case. Dalle porte di sicurezza, alle finestre fino ai muri: potrebbero entrare dappertutto. Nessuna serratura (fisica) è perfetta. C'è sempre un punto debole o un modo per aprirle. La stessa cosa succede con internet. Se la porta non è sicura è facile entrare e derubare.

Tutte le porte possono fungere da porta laterale

Oggigiorno molti elettrodomestici possono connettersi ad Internet. Per alcuni è inusuale non possedere una SmartTV o un frigorifero che si renda conto di cosa manchi per poi ordinandolo online. L'industria ha portato nelle nostre case una miriade di dispositivi che possiamo controllare tramite Internet, da ogni parte del mondo. Questo si chiama Internet delle cose (IoT). È incredibile ma citando lo zio Ben, "da un grande potere derivano grandi responsabilità".

La sicurezza nel mondo fisico è qualcosa con cui dobbiamo avere a che fare e fa parte quindi del senso comune. Lo stesso discorso non vale per la sicurezza online. Non lasceremmo sicuramente la nostra bicicletta per strada senza catena. Però non cambieremmo la password di default del nostro router pensando al fatto che potrebbe essere rubata in ogni momento. Nel secondo caso ci pensiamo perché non siamo istruiti sulla tecnologia ma bisogna sapere che abbiamo tutti gli strumenti per proteggerci anche in questo senso.

AndroidPIT retro console 3128
Il Raspberry Pi è campione dell'automazione. / © AndroidPIT

Nel mercato IoT troviamo dispositivi pronti all'uso, plug and play (collega e usa) ma anche il fai da te è diventato molto popolare. Dal Raspberry Pi (o Raspi) alle telecamere di sicurezza, tutto si connette ad Internet ma i rischi sono diversi.

Se acquistiamo un prodotto finito che si connette ad Internet dipendiamo dal software del produttore per la sicurezza e non dovremmo preoccuparci di aggiornarlo il prima possibile come succede con gli smartphone.

Se siete appassionati del fai da te, dovrete preoccuparvi di aggiornare il vostro software più che regolarmente. Se per esempio abbiamo un Raspi che accede in remoto al nostro hard drive, significa che abbiamo installato un software di default senza creare un nuovo utente. Non abbiamo neanche cambiato la password e abbiamo aperto la porta di accesso al router. Siamo stati noi ad aprire la backdoor.

Violazione della proprietà

I dispositivi IoT si connettono ad internet, di conseguenza tutti possono accederci. Su Shodan (un motore di ricerca di dispositivi) possiamo cercare qualunque dispositivo IoT, inclusi nello specifico quelli con vulnerabilità. Questo ci dà un'idea dell'accessibilità di questi dispositivi, da parte nostra e di altri che li cercano.

Dobbiamo inoltre preoccuparci della sicurezza dei dispositivi che acquistiamo e connettiamo nelle nostre case. In ogni caso ciò dipenderà soprattutto dal grado di maturità tecnologica del produttore del dispositivo.

Qualche esempio di violazione

Negli ultimi anni abbiamo connesso tutto ad Internet. Attualmente ci sono più di 7 miliardi di dispositivi connessi ad Internet e molti altri che è possibile connettere a WIFI, Bluetooth, NFC, ecc. I collegamenti creati da questi dispositivi sono le porte che sfruttano le vulnerabilità del sistema prendendone il controllo.

Il 21 ottobre 2016 Dyn, il più grande provider DNS al mondo, è stato vittima di un attacco DDoS (distributed denial of service) da parte di un botnet composto da milioni di dispositivi IoT. In pratica ognuno di questi dispositivi voleva accedere alle pagine web di Dyn, facendo collassare i suoi server e lasciando a bocca asciutta servizi come Twitter, GitHub, PayPal, Amazon, Reddit, Netflix, e Spotify.

Abbiamo assistito ad un altro esempio di violazione di un dispositivo IoT qualche settimana fa in uno degli uffici della Oracle. Grazie ad un drone è stato possibile inviare segnali a una serie di smart bomb che ripetevano un SOS in codice Morse.

Le telecamere di sicurezza connesse ad Internet non saranno state così sicure come avrebbero dovuto. Nel 2014 circa 73,000 telecamere di sicurezza in tutto il mondo sono state hackerate e alcune foto sono state rese pubbliche. Recentemente ho anche letto che ci vogliono 98 secondi per hackerare una telecamera di sicurezza da 55 dollari.

Sono sicuro che questo episodio vi sia più familiare. Di nuovo nel 2014, un team di ingegneri specializzati in sicurezza informatica (hacker in questo caso) sono stati capaci di prendere il controllo di una Jeep in corsa su un'autostrada. La reazione di Jeep è stata lenta e imbarazzante. Ci sono voluti mesi per aggiornare le loro auto e invece sarebbe bastato solo un workshop. Il fallimento della maturità tecnologia da parte di Jeep.

Come proteggersi dalle violazioni di proprietà

Ci sono centinaia di imprese che si preoccupano della sicurezza dell'Internet delle cose, come Cisco e Google. Ma è ovvio che quello che è possibile hackerare sarà hackerato. Quindi ecco a voi qualche consiglio per aiutarvi a tenere d'occhio la sicurezza dei vostri dispositivi IoT e tutti i dispositivi che si connettono ad Internet a questo proposito (inclusi gli smartphone).

  • Prima di acquistare assicuratevi che il produttore possa gestire velocemente una patch delle sue vulnerabilità.
  • Cambiate username e password di default. È fondamentale per quanto non vi possa piacere.
  • Disattivate lo Universal Plug and Play (UPnP) che crea direttamente una falla di sicurezza nella connessione del vostro router.
  • Sul vostro router disattivate il Remote Management Protocol, specialmente se si verifica tramite Telnet, che è spesso una focolaio di epidemie da malware Mirai.
  • Sui vostri dispositivi mantenete il software aggiornato e patchato.
  • Come opzione aggiuntiva, potete acquistare un dispositivo firewall che potrebbe evitare gli attacchi.

Avete dei dispositivi IoT a casa vostra? Sapete che fanno già parte di un botnet?

Nessun commento

Commenta la notizia:
Tutte le modifiche verranno salvate. Nessuna bozza verrà salvata durante la modifica

Articoli consigliati