Internet of Things, l'hacking test è un disastro

Il concetto di accessorio sicuro si fa strada anche nel settore dell'Internet delle Cose (IoT), ma di strada da fare ce n'è ancora tanta.

Avatar di Giancarlo Calzetta

a cura di Giancarlo Calzetta

-

Kaspersky Lab monitora ogni anno la situazione della sicurezza nell'Internet of Things tramite un esperimento condotto su dispositivi che vengono usati in uno scenario reale: la casa di uno dei loro esperti.

L'anno scorso, David Jacoby ha scoperto uno scenario desolante, con tutti i dispositivi scelti che si sono rivelati estremamente semplici da bucare, dando libero accesso alla sua rete casalinga e a tutti i dati contenuti nei prodotti.

Si trattava di router, NAS, smart TV e server casalinghi, tutte cose che si possono trovare sia nelle case di appassionati quanto in quelle di semplici utenti di connessioni Internet.

smart home 0
Quando la casa inizia ad affollarsi di dispositivi connessi, tenere tutto al sicuro inizia a diventare complicato, soprattutto se i produttori ci mettono del loro.

Quest'anno, la ricerca si è focalizzata invece su veri e propri IoT, cioè dispositivi con compiti specifici che si collegano alla rete di casa per diventare "smart". Il problema è che oltre a diventare smart, questi oggetti tendono a rivelare un lato oscuro semplice da corrompere.

Per l'esperimento sono stati usati un dongle USB per lo streaming di contenuti video (Chromecast), una videocamera IP, una macchina per il caffè e un sistema di allarme casalingo con sensori di violazione disseminati su porte e finestre. I risultati non sono stati buoni neanche quest'anno.

La videocamera IP, nata come baby monitor, è perfettamente accessibile a tutti gli utenti collegati alla stessa rete wi-fi. Chiunque abbia accesso alla nostra rete, quindi, può visualizzare il video e ascoltare i suoni, senza possibilità di difesa, e non è andata neanche troppo male!

Altre videocamere dello stesso produttore (che non è stato rivelato dato che il test non è stato fatto su di un ampio campione di marche), addirittura, permettevano agli ospiti di ottenere permessi di root e di aggiornare il firmware, trasformando dei baby monitor in perfette centrali di spionaggio.

Nel caso della macchina del caffè, invece, non è neanche stato necessario collegarsi alla stessa rete. Anzi… era il dispositivo stesso che, tramite una serie di trasmissioni in chiaro, rivela all'eventuale hacker quale siano le password da usare per collegarsi alla rete host.

Infine, arriviamo al sistema di allarme che tiene fede al suo nome e non palesa nessuna grave lacuna dal punto di vista della sicurezza informatica. Le sue comunicazioni con il resto della rete sono criptate e anche l'accesso tramite app avviene in maniera sicura.

Purtroppo, è stato riscontrato un problema non trascurabile a livello di progettazione fisica. I sensori anti intrusione, infatti, sono di tipo magnetico: si fissa una parte contenente un magnete su di un lato della finestra o della porta e un sensore di campi magnetici dall'altra parte. Quando la porta o la finestra si apre, il magnete si allontana e scatta l'allarme.

Peccato che sia sufficiente una calamita posta in prossimità del sensore - ne basta una potente piazzata fuori dalla finestra - perché il sensore continui a rilevare la presenza di un campo magnetico e non segnali le eventuali effrazioni.

Qualche progresso nel settore della sicurezza IoT si sta quindi facendo, ma di strada da fare ce n'è ancora Tanta. Cosa dobbiamo fare, quindi, per evitare problemi? Non abbiamo molta scelta se non seguire qualche linea guida:

  1. Prima di acquistare un dispositivo collegato a Internet, facciamo un giro in Rete per vedere se qualcuno ha già riscontrato vulnerabilità di sicurezza. Mettersi in casa una macchina del caffè che dice a tutti come collegarsi alla nostra rete non è una buona idea, soprattutto se abbiamo, per esempio, una telecamera IP che ha la "fiducia facile" nei confronti di chi è collegato alla sua stessa rete.
  2. In generale, è sempre meglio aspettare qualche mese prima di acquistare i nuovi prodotti. In questo modo, i bug e le vulnerabilità presenti nelle prime versioni saranno corretti (si spera) o almeno si darà il tempo alla ricerca di cui al punto 1 di prendere corpo.
  3. Pensiamo sempre a cosa stiamo affidando i nostri dati importanti. Se abbiamo qualcosa che non vogliamo che venga hackerato, lasciamolo disconnesso.

Seguendo questo link, troverete l'interessante documento che affronta più in dettaglio le vulnerabilità riscontrate, con tanto di approfondimenti tecnici.