di lacasaimperfetta
Info utili, , , , , , , , , , , , ,

1 cosa cui non hai pensato e che rende vulnerabile casa tua

Lasceresti mai la porta di casa aperta per far entrare chiunque ne abbia voglia? Non credo… eppure ci sono un sacco di porte che lasciamo aperte, senza esserne consapevoli!

Quando si parla di “attacchi informatici” o “attacchi hacker” si pensa sempre di non essere tra le possibili vittime, perché si crede che quelli cui puntano gli attaccanti siano grandi aziende, enti privati o pubblici (v. la Regione Lazio in questi giorni), associazioni ecc. e non i singoli cittadini. Purtroppo, però, non è così.

Ma cosa potrebbe accadere se cadessimo nel tranello di un hacker? Facilmente, la prima cosa cui si pensa è di certo la tua mente va principalmente a pensare alla che ci possano rubare la password della casella e-mail e/o del profilo di un qualche social come Facebook o Instagram. Ti verrebbe mai in mente che l’attacco potrebbe consentire l’accesso a casa tua? Al tuo impianto di riscaldamento o di illuminazione? Alla tua automobile appena acquistata? Sinceramente, a me no, non era venuto in mente.

Ma partiamo con ordine. Partiamo dall’ “Internet delle cose” o, meglio, da “Internet of Things”.

Internet of Things (IoT)

L’espressione Internet of Things è stata utilizzata per la prima volta da Kevin Ashton nel 1999, parlando della capacità di oggetti connessi a internet di connettersi tra loro tramite dei sensori. Si riferiva a oggetti intelligenti, ossia “smart“.

Le nostre son sempre più delle “smart home” dove i vari oggetti interagiscono tra loro, scambiandosi informazioni tramite Wi-Fi con l’obiettivo di semplificare la vita domestica fino ad avere anche un risparmio energetico. Tra questi oggetti rientrano, per esempio:

  • gli smart home speaker come Amazon Echo con Alexa;
  • climatizzatori e impianti di riscaldamento comandabili a distanza tramite app;
  • elettrodomestici che si accendono/spengono a distanza tramite app o tramite la nostra voce;
  • luci/impianti di illuminazione che si possono accendere o spegnere o di cui si può regolare l’intensità “hands-free“, ossia con comandi vocali
  • impianti di video sorveglianza che consentono di vedere le immagini di quanto sta succedendo in casa in tempo reale; serrature intelligenti che avvisano in caso d’intrusione.

Cause di vulnerabilità dei dispositivi IoT

Il problema, però, è che questi oggetti intelligenti che usiamo quotidianamente, sono connessi a internet, ma hanno delle serie vulnerabilità, causate da:

  1. l’assenza di consapevolezza degli utilizzatori, ossia noi, che, in effetti, non abbiamo idea della vulnerabilità degli oggetti che abbiamo in casa e di come un malintenzionato possa usarli contro di noi;
  2. l’assenza di uniformità dei sistemi di trasmissione inseriti nei dispositivi IoT. Le tecnologie, infatti, sono molteplici e questa eterogeneità impedisce la creazione di standard di sicurezza cui attenersi;
  3. componenti di base vulnerabili del dispositivo che ricadono su tutta una serie di dispositivi ad esso collegati;
  4. gli oggetti intelligenti son pensati tendenzialmente per delle funzioni specifiche che richiedono limitate capacità di calcolo e che non danno spazio a un sistema di protezione robusto;
  5. infine, secondo Palo Alto Networks il 98% del traffico dei dispositivi IoT non è crittografato, cosa che consente di esporre dati personali e riservati in rete.

Possibili utilizzi

Ma, alla fine, un hacker che diamine se ne fa delle nostre mail o di sapere accendere e spegnere il nostro riscaldamento?! Ebbene, leggendo vari articoli mentre preparavo questo post mi sono resa conto di esser decisamente priva di fantasia e creatività se mi metto a confronto con un “attaccante”. Sì, perché i modi con cui possono usare informazioni e/o accessi che recuperano dai nostri IoT sono tantissimi. Mi si è aperto un mondo e le possibilità sono davvero infinite. Ecco alcuni esempi:

  • si potrebbe pensare che far accedere un estraneo al nostro sistema di illuminazione o di riscaldamento serva a poco o nulla: alla peggio abbiamo le luci che si accendono o spengono senza che diamo il comando o il riscaldamento che parte o si spegne senza che nessuno gli abbia detto di farlo. A parte il pensare di avere la casa infestata dai fantasmi, quale sarà mai il problema?! E invece il problema c’è eccome! Accedere ai dati dei dispositivi IoT che comandano luce e riscaldamento aiuta, per esempio, a capire se siamo o meno in casa… e il sapere se siamo lì o altrove, direi che è un’informazione preziosa, no?
  • nel 2017 il Romantik Seehotel Jägerwirt è stato vittima di un attacco hacker (ransomware) che ha messo fuori uso le chiavi elettroniche, chiudendo 180 ospiti fuori dalle proprie stanze e che sono riusciti a rientrarvi solo dopo il versamento di un riscatto di 1500€ in bitcoin. Cosa succederebbe se qualcuno si impadronisse del controllo di tutti i dispositivi smart che hai in casa, comandandoli al posto tuo e impedendoti di entrare in casa a meno di non pagare un riscatto?
  • e che dire della macchina? Le auto di nuova generazione fanno parte degli IoT e le loro componenti interne sono tutte connesse tra loro in modo da condividere le varie informazioni. Ad es. la frenata assistita: un raggio laser/radar vede l’ostacolo e dei sensori modificano la velocità della macchina. Due ricercatori italiani sono riusciti a entrare nel sistema informatico di un’auto avendo libero accesso a musica, rubrica, messaggi, attivare il microfono ambientale per ascoltare le conversazioni nell’abitacolo, ecc. Il loro obiettivo era quello di verificare la sicurezza delle auto, ma cosa succederebbe se un pirata informatico si impossessasse dello sterzo?

Quindi che fare?

Di seguito i suggerimenti di Kaspersky (azienda specializzata nella produzione di software per la sicurezza informatica) per tutelare noi e le nostre case:

  • Cambiare nome e password del router, evitando di usare quelle predefinite/di fabbrica o il nostro nome o indirizzo
  • scegliere password diverse per ogni IoT
  • utilizzare password casuali complesse che contengano numeri, lettere e caratteri speciali (più la password è lunga, meglio è!)
  • non usare reti Wi-Fi pubbliche con il proprio pc o smartphone a meno che l’accesso non sia possibile tramite VPN (Virtual Private Network) che consente di navigare in maniera protetta
  • creare delle reti “guest” agli ospiti che vengono a trovarci a casa e per i dispositivi IoT. In questo modo, rimangono fuori dalla rete principale e con loro anche l’eventuale hacker che riuscisse a bucare uno dei sistemi di sicurezza dei nostri oggetti intelligenti
  • accedere al Wi-Fi con un metodo crittografato robusto, come il WPA
  • creare una protezione di altissimo livello per la propria rete di IoT impostando, ad esempio, l’autenticazione a due fattori prevedendo, magari l’uso di una chiavetta di sicurezza o di un tesserino d’accesso, oltre che una password da digitare
  • in fase di acquisto, valutare anche il livello di sicurezza del dispositivo IoT oltre alle sue caratteristiche specifiche per fare ciò per cui è stato creato
  • verificare le impostazioni di privacy impostate di default. Per esempio, verificare se gli oggetti a comando vocale possono registrare quello che diciamo e, se si tratta di oggetti che non useremo mai con questo tipo comando, disattivare il microfono
  • valutare se ci sono dei dispositivi che non ha senso siano collegati in rete, perché questo collegamento non ci dà alcun valore aggiunto e, in questo caso, scollegarli dalla rete
  • disattivare, ove prevista, la funzionalità Universal Plug and Play (UPnP) che ha lo scopo di far rilevare a un dispositivo la presenza di altri dispositivi sulla rete, che, però, non serve per gli IoT
  • aggiornare firmware e software di ogni dispositivo andando a controllare di tanto in tanto sui siti del produttore per verificare che non ci siano stati degli aggiornamenti, in quanto non è detto che vengano inviati degli avvisi a chi ha acquistato il prodotto
  • mettere il nostro sistema di sicurezza di casa (es. telecamere; apertura/chiusura delle porte) su una rete separata da quella dello smart speaker
  • cambiare la parola/comando vocale per attivare lo smart speaker, onde evitare che venga utilizzato da altri al nostro posto per, ad esempio, aprire la porta dicendo semplicemente “Alexa apri la porta
  • tenere l’accesso al conto bancario ben separato dai dispositivi IoT
  • verificare dove sono memorizzati e con quale scopo i dati archiviati dagli smart speaker per capire come cancellarli se non si vuole vengano archiviati. Con Alexa basta accedere alla App, entrare nella cronologia e cancellare. Con quello di Google, invece, basta accedere al proprio account Google ed eliminarle da lì. L’ideale sarebbe di cancellarle tutte periodicamente
  • verificare se la smart TV archivia informazioni su quello che guardiamo, in che orari ecc. L’ideale è disattivare tale archiviazione e isolare la TV su una rete propria
  • coprire la webcam del proprio pc/portatile/tablet con un adesivo o, meglio, una “webcam cover” in modo da impedire che qualcuno possa spiarci proprio attraverso la webcam.

L’obiettivo di questo post non è assolutamente quello di fare terrorismo o farti iniziare a pensare che ci sia qualcuno lì che ti spia e non sentirti più sicura/o all’interno delle mura di casa. Assolutamente no! Il mio scopo è solo quello di portare la tua attenzione su un aspetto che non va sottovalutato, perché gli usi e la portata delle informazioni che ci riguardano sono davvero molto ampi ed è bene esserne consapevoli.
Spero davvero che questo post possa esserti utile. A presto!