I prodotti connessi tramite IoT semplificano la vita ma creano seri problemi di sicurezza

Sentite questa: i ricercatori della sicurezza dei dati presso l’Università dell’Indiana, durante uno studio per verificare la vulnerabilità agli attacchi hacker di una pentola Crock-Pot connessa a Internet, hanno preso facilmente il controllo dell’apparecchio e di altri dispositivi che condividono il suo router Wi-Fi, ma non hanno rilevato alcun rischio di attacco da remoto avviando la cottura. Questa è la buona notizia.

Ora, la cattiva notizia: la connettività Internet è prevista per molti più dispositivi di quelli che i consumatori possano immaginare, compresi gli apparecchi da cucina in standby, i sistemi di intrattenimento domestico e i giocattoli per bambini. Per ottimizzare il consumo di energia e semplificarsi la vita, i consumatori hanno adottato uno sciame di robot che genera, raccoglie e condivide i dati tramite l’Internet delle cose (IoT).

Stiamo arrivando al punto in cui gli acquirenti generano dati senza rendersene conto e senza chiedersi chi può avere accesso a questi dati e quali rischi questo possa comportare per la privacy, la sicurezza e perfino per l’incolumità fisica. Ed è sempre più difficile decidere di restarne fuori.

I ricercatori del centro di Security and Privacy in Informatics, Computing and Engineering (SPICE) dell’Università dell’Indiana e il suo centro di ricerca IoT a Bloomington, Indiana, hanno già lanciato l’allarme.

Il Centro di ricerca IoT ha creato un living lab chiamato IoT House, finanziato da una sovvenzione quinquennale della National Science Foundation. Le case sono letteralmente piene di allarmi antifumo, termostati, sistemi di illuminazione, giocattoli, elettrodomestici e altri dispositivi, tutti collegati tramite IoT.

“L’università ci ha messo a disposizione una rete in cui molti meccanismi di difesa sono limitati, per riprodurre una casa tipica”, afferma Joshua Streiff, project manager presso IoT House. Questo ambiente è accuratamente separato dalla rete dell’università per evitare di esporre gli altri utenti accademici al traffico Internet poco protetto che attraversa una tipica casa suburbana. I ricercatori informano l’industria e il mondo accademico ogni volta che scoprono delle falle nella sicurezza dei prodotti.

Streiff ci mostra un variopinto unicorno giocattolo imbottito, chiamato CloudPet, che consente ai bambini di inviare e ricevere messaggi vocali tramite un modulo Bluetooth a bassa energia (BLE) che è contenuto nel suo corpo morbido ed è abbinato a un’app mobile che collega i dati a un server cloud. È adorabile eppure infame.

“I ricercatori hanno lanciato l’allarme per l’unicorno CloudPet da anni. È stato progettato praticamente senza alcuna sicurezza”. – Joshua Streiff, Project Manager, IoT House

“I ricercatori hanno lanciato l’allarme per l’unicorno CloudPet da anni,” afferma Streiff. “È stato progettato praticamente senza alcuna sicurezza. Mozilla alla fine ha convinto Amazon e eBay a ritirarlo e, successivamente, il marchio è stato bloccato, ma il giocattolo è ancora in giro. A volte i produttori smettono di vendere dispositivi IoT come questo ma, in pratica, non li richiamano mai”.

Il problema è che questo giocattolo può essere usato per tracciare la posizione di un bambino e gli hacker possono utilizzarlo per inviare messaggi fasulli. “Se avessi cattive intenzioni, potrei attraversare un quartiere e individuare dove vivono i bambini”, dice Streiff. “Potrei trovare il modulo BLE dell’unicorno e inviare messaggi vocali per convincere il bambino che sono uno dei suoi genitori e farlo uscire di casa”.

A dicembre, il Washington Post ha riportato che alcuni genitori hanno trovato un hacker che urlava oscenità e minacce attraverso la loro Nest Cam, usata come baby monitor. “Non è stato Nest ad essere violato”, dice Behnood Momenzadeh, un dottorando che lavora presso la IoT House. “Sono stati gli account e-mail delle persone ad essere hackerati ed a permettere agli hacker di avere accesso ai loro account Nest e modificare i permessi. Quindi è stata una combinazione di tecnologie a mettere a rischio quella famiglia. ”

Lo Smart Toy Bear di Fisher-Price offre un’altra dimostrazione pratica. Il giocattolo è progettato per “parlare, ascoltare e imparare” e ha una videocamera installata nel naso che, anche quando non sta registrando, è sempre accesa. “L’orsacchiotto rappresenta un rischio perché i progettisti hanno pensato che nessuno si sarebbe mai preso la briga di aprirlo per guardarci dentro”, dice Streiff.

L’orso contiene essenzialmente un tablet Android completo. “Può fare tutto ciò che può fare un tablet, inclusi video ed e-mail”, afferma Streiff. “Ha una porta dati hardware e si può comunicare con lui usando una tastiera remota. Per violare realmente il dispositivo bisogna aprire l’orso. Se ci riesco, dopo tre minuti l’orso è mio, in qualsiasi parte del mondo io mi trovi”.

Le intrusioni via backdoor si verificano anche con siti apparentemente sicuri. L’anno scorso, gli addetti alla sicurezza hanno appreso di un furto di dati in cui i criminali informatici hanno rubato l’elenco dei giocatori abituali di un casinò dalla sua rete, ottenendo l’accesso attraverso una falla della sicurezza nel termostato collegato all’IoT dell’acquario presente nella sala del casinò. Praticamente nessuna casa è dotata del tipo di sicurezza dati professionale che ha a disposizione un casinò.

Torniamo alla Crock-Pot, un prodotto di Belkin che incorpora Wemo, la tecnologia di Belkin per la connettività IoT wireless. Il problema, afferma Streiff, è il presupposto della progettazione integrata del sistema secondo cui l’individuo che installa una Crock-Pot deve possedere anche tutto il resto presente in rete. Il software è progettato per cercare altri dispositivi wireless compatibili da connettere in modo da fornire all’installatore il pieno controllo e l’accesso a tali dispositivi. Inoltre, tale controllo può essere impostato per l’accesso remoto, permettendone l’uso da qualsiasi parte del mondo.

“Può essere affascinante poter controllare la Crock-Pot dal telefono, ma ciò significa che posso controllare tutto ciò che non è dotato di una sua password separata, cosa che potrebbe fare chiunque riuscisse ad accedere alla Crock-Pot”, dice Streiff. “Se il termostato e il frigorifero possono comunicare tra loro, l’utilizzo totale di energia in casa può essere enormemente migliorato. Il problema è che un hacker potrebbe deliberatamente far lievitare le nostre bollette elettriche (e di molto) attraverso oggetti come la Crock-Pot, senza mai mettere piede in casa”.

I progettisti scendono a patti. Gli ingegneri vogliono mantenere i clienti al sicuro e proteggere la loro privacy; i venditori vogliono solo che le persone si divertano a usare il dispositivo. E si cerca di trovare un compromesso tra sicurezza e facilità d’uso. Si vuole che i dispositivi di ogni produttore siano in grado di connettersi con tutti gli altri: per questo stesso motivo, è meglio un telecomando universale per la televisione che tre diversi telecomandi. “L’utente vuole una app unica per controllarli tutti”, afferma Streiff.

I ricercatori sono particolarmente preoccupati per i dispositivi con videocamera ma non nascondono simili timori per i dispositivi di registrazione audio, in particolare i sempre più utilizzati diffusori interattivi a comando vocale come Amazon’s Echo e i suoi concorrenti. I media hanno riferito più volte di “altoparlanti intelligenti” che hanno registrato conversazioni private e le hanno poi inviate ad altre persone. (“Racconti raccapriccianti di altoparlanti intelligenti” sono sempre presenti sulle bacheche di siti come Reddit).

Questi tipi di vulnerabilità possono essere eliminati dai dispositivi domestici IoT? E, nel frattempo, cosa possono fare i consumatori per evitare problemi?

Il team di ricerca SPICE offre alcuni suggerimenti. Il primo è cambiare le password predefinite. Molte violazioni di dispositivi partono da software bot come il famigerato Mirai, che esegue la scansione di Internet alla ricerca di dispositivi specifici e, una volta trovati, verifica se i proprietari hanno modificato le password predefinite, che sono note al proprietario del bot. Se le password non sono state modificate, l’hacker prende rapidamente il controllo di quel dispositivo.

Il team IoT House sta sviluppando e testando un sistema più avanzato che utilizza la Specifica di Descrizione di utilizzo del produttore (MUDS) per delineare le comunicazioni appropriate dai dispositivi IoT. Se un dispositivo IoT inizia a comunicare al di fuori del raggio previsto, il sistema interrompe la comunicazione e avvisa il proprietario. In questo modo, se un orsacchiotto che dovrebbe comunicare con un server cloud noto comunica con un server sconosciuto dell’Europa orientale, il sistema protegge la casa e i proprietari. Questo sistema attribuisce al produttore la responsabilità di prevedere dei comportamenti.

Mentre l’industria cerca di elaborare nuovi standard per limitare i rischi, gli utenti devono informarsi, facendo una ricerca sul dispositivo IoT prima di acquistarlo o installarlo. Quasi certamente una rapida ricerca su Google ci mostrerà le problematiche note di un dispositivo. Oppure, anche se non dovessero esistere delle problematiche specifiche, potrebbe mettere in luce episodi di falle nella sicurezza della società produttrice, quindi la nostra decisione dovrebbe essere ovvia. Per esempio, una società che utilizza comunicazioni sicure e crittografate offre più garanzie rispetto a una che non lo fa.

In entrambi i casi, gli utenti dovrebbero riflettere attentamente sulla limitazione dell’uso del dispositivo. Le famiglie dovrebbero usare i giocattoli dotati di macchina fotografica solo in certe stanze? La fotocamera dovrebbe essere coperta con del nastro opaco quando non è in uso? Il giocattolo dovrebbe restare spento la maggior parte del tempo?

In definitiva, un vero cambiamento da parte del produttore è improbabile finché i consumatori non svilupperanno livelli più elevati di preoccupazione per i dispositivi che introducono nelle loro vite. La maggior parte delle persone ha difficoltà a immaginarsi come un bersaglio di attacchi informatici: il preconcetto “perché io?” impedisce il pensiero critico. La domanda è: chi è disposto a pagare per avere informazioni su di te? “Molte persone lo sono,” afferma Streiff. “Le aziende stanno accumulando informazioni sulle persone senza neanche sapere come le potranno utilizzare, ora o in futuro”.