Tom's Hardware Italia
IoT

Videocamera Nest lancia un allarme per attacco dalla Corea del Nord, ma era uno scherzo

L'evento rimette sotto i riflettori la sicurezza informatica dell'Internet of Things, e quanto sia importante l'attenzione degli utilizzatori finali.

Laura Lyons, residente negli Stati Uniti, si è fatta prendere dal panico quando dalla sua videocamera Nest è uscita una voce che avvisava di un attacco missilistico lanciato dalla Corea del Nord. Una cosa ben poco credibile, ma sul momento pare che abbia generato “cinque minuti di vero terrore”.

Nelle ore successive Laura ha chiamato il servizio clienti di Nest – società controllata da Google – per chiedere spiegazioni; l’operatore le ha spiegato che lei e la sua famiglia sono stati vittime di “un hack”, e che tra l’altro non è nemmeno la prima volta che qualcuno si introduce nei sistemi di sicurezza altrui.

Già, ma non si tratta di un raffinato criminale che ha violato le misure di sicurezza di Nest per mettere in scena uno scherzone. Invece, per l’ennesima, volta siamo di fronte a un dispositivo connesso ma non protetto adeguatamente – una cosa di cui sono responsabili in egual misura sia Google sia le signore e i signori Lyons del mondo.

“I recenti fatti dipendono da clienti che usano password compromesse (esposte da violazioni su altri siti). In quasi tutti i casi, l’autenticazione a due fattori elimina questo tipo di rischio”, ha commentato un portavoce di Google, sentito dai reporter di The Verge.

Sullo sfondo, il possibile autore dello scherzo

Già, ma che significa? Che i clienti in questione hanno usato la stessa password più di una volta. Poi qualche sito, chissà quale, si è fatto rubare il suo archivio di password. L’archivio stesso non era ben protetto – è una cosa che succede abbastanza spesso, e l’ultimo caso riguarda circa 22 milioni di password. Una volta che il criminale ha ottenuto le password, o ancora meglio delle accoppiate con gli indirizzi email, non deve far altro che provare a usarle ovunque. Prima o poi troverà una porta che si apre con quelle chiavi, succede sempre.

L’acronimo è IOT, dove la esse sta ovviamente per sicurezza

E che c’entrano le videocamere di sicurezza? C’entrano perché sono oggetti connessi a Internet, fanno cioè parte di quella rete di dispositivi chiamata Internet of Things. L’acronimo è IOT, dove la esse sta ovviamente per sicurezza. Ognuno di questi oggetti, anche la videocamera, ha un suo indirizzo IP (infatti si chiamano anche videocamereIP) grazie al quale potete controllare casa vostra anche se siete dall’altra parte del mondo. E come fa il criminale a trovare l’IP della vostra videocamera? Ci sono diversi metodi relativamente semplici, ma il più ovvio di tutti è Shodan: è come Google ma cerca solo dispositivi connessi, ed è anche tanto gentile da segnalare quali sono i più esposti.

Una volta trovato l’indirizzo della videocamera e la password per entrare, collegarsi e mandare messaggi di ogni genere è una passeggiata. Ma ci si può limitare a spiare, magari raccogliendo informazioni per un ricatto o un attacco di social engineering più sofisticato.

Insomma, i protocolli di sicurezza di Nest non sono stati violati e non c’è nulla da recriminare a Google. O quasi nulla, perché dopotutto loro e qualsiasi altra azienda potrebbero senz’altro fare qualcosa di meglio per suggerire, o persino obbligare, le persone a usare password migliori. Se vi sembra una pazzia, pensate che in California hanno da poco approvato una legge apposta.

Se sapete come mettere la password, una videocamera di sicurezza Nest potrebbe essere utile.