Case più smart, auto senza conducente, orologi connessi: quanto ci costano in termini di sicurezza? In un mondo dove gli oggetti e le persone sono collegati online in una catena pressoché ininterrotta, gli anelli deboli dove malware e hacker possono insinuarsi si moltiplicano. La Internet of Things rischia di diventare uno dei maggiori problemi di sicurezza del prossimo futuro.
HACKER NEL FRIGO E NEI GIOCATTOLI
Gli esempi delle vulnerabilità insite nell’Internet delle cose sono già molti. Pochi mesi fa degli hacker sono riusciti a sfruttare una falla nel sistema di un frigorifero smart di Samsung per sottrarre credenziali Gmail degli utenti. Un caso più recente ha coinvolto i giocattoli elettronici prodotti dalla VTech Holdings, un’azienda di Hong Kong.
Il produttore di giocattoli hitech ha svelato che le informazioni di circa 5 milioni di persone, adulti e bambini (4,8 milioni di adulti e 200mila bambini secondo il sito Motherboard) sono state sottratte in un attacco hacker massiccio sferrato contro il portale usato per scaricare i giochi sui tablet. Motherboard ha scritto che gli hacker hanno prelevato anche foto e elementi delle chat dal servizio VTech Kid Connect. L’accaduto è oggetto di un’inchiesta in due Stati americani, Connecticut e Illinois.
INTERNET DELLE COSE NEL MIRINO
Il Garante della Privacy di Hong Kong Stephen Wong, che pure sta indagando, ha chiarito che al momento non ha sufficienti informazioni per indicare se dati e foto di bambini sono stati effettivamente sottratti e la VTech non ha confermato le cifre di Motherboard, ma spiegato che le informazioni rubate includono nomi, indirizzi email e di posta ordinaria, password, domande e risposte segrete per recuperare le password, cronologia dei download, nome, sesso e date di nascita dei bambini. Non sarebbero stati sottratti invece numeri delle carte di credito, numeri dei documenti di indentità, delle patenti e dei codici fiscali.
Ma intanto gli esperti di sicurezza mettono in guardia sul fatto che “l’incidente” alla VTech è solo il primo di una serie: gli hacker sono pronti a prendere di mira tutte le aziende che raccolgono dati dei clienti, non solo dai giochi digitali ma da tutti i device connessi alla Rete.
Per quanto l’hacker nel tostapane o nella macchina per il caffè possa sembrare un episodio trascurabile, una volta avvenuta l’intrusione i pirati informatici possono passare su altri device connessi della casa e imparare le abitudini di chi ci vive, per sapere quando la casa è vuota, per esempio, o spiare elementi molto privati. Il primo problema è che i produttori di molti settori industriali si stanno rapidamente convertendo alla IoT, ma non tutti riescono a includere nei loro prodotti le necessarie funzionalità di sicurezza.
“Oggi ci sono tantissimi device e servizi che si connettono a Internet offerti da aziende che non hanno l’esperienza delle tradizionali aziende del software”, dice Katie Moussouris, chief policy officer di HackerOne. “VTech fabbrica giocattoli, non ha grandi competenze nella sicurezza informatica”, aggiunge Tod Beardsley di Rapid7. I produttori di giocattoli non sono molto attenti quanto si tratta di sviluppare software a prova di intrusioni, rincara Chris Eng, vice president of research di Veracode. Secondo Larry Salibra, Ceo di Pay4Bugs, VTech probabilmente non ha criptato i dati.
CONNECTED CAR MANOMESSE
Lo scorso aprile, gli esperti di cybersecurity Charlie Miller and Chris Valasek hanno portato alla luce una falla software che ha permesso loro di prendere il controllo di una Jeep Cherokee che viaggiava su strada e comandarla a distanza, il tutto da un computer portatile. Fiat Chrysler Automobiles ha in seguito ritirato dal mercato 1,4 milioni di veicoli negli Usa.
Altri hacker sono riusciti, pur se con maggiori difficoltà, a manomettere una Tesla Model S, attraverso il sistema di intrattenimento dell’auto.
“Non è che l’inizio”, ha commentato il fondatore di Black Hat Jeff Moss. “I produttori di device della Internet of Things non hanno dei team dedicati per la sicurezza e gli hacker sono molto scaltri”. Tanto più che i device connessi hanno dei software che spesso non vengono aggiornati e quindi diventano sempre più vulnerabili.
ATTENZIONE ALLO SMART WATCH
Particolarmente a rischio sono i device indossabili, come bracciali e orologi smart: uno studio condotto da HP Fortify ha rilevato che il 100% degli smart watch testati presentava vulnerabilità significative, a causa di autenticazione insufficiente, mancanza di crittografia, problemi di privacy, mancati aggiornamenti.
Soprattutto, la maggior parte dei wearable è collegata allo smartphone, vero anello debole della catena, spiega Gary Davis di Intel: i nostri telefoni non sono solitamente ben protetti e intanto contengono tutte le nostre informazioni più importanti.
I DANNI POTENZIALI
Gartner prevede che ci saranno 6,4 miliardi di cose connesse in uso nel mondo nel 2016, una crescita del 30% rispetto al 2015. Gli oggetti connessi salirano a 20,8 miliardi nel 2020.
Sul mercato consumer, Trend Micro sottolinea nel suo ultimo report che “il 2015 ha registrato incidenti che hanno coinvolto dispositivi non protetti o vittime di hacker, a partire da baby monitor, smart Tv e auto con connessione a Internet” e, anche se “è improbabile che si verifichi un attacco di hacking su larga scala, “è comunque aumentata la probabilità che un guasto dei dispositivi smart di fascia consumer causi un danno fisico”: pensiamo ai droni, ai dispositivi utilizzati per servizi legati alla sanità, agli apparecchi domestici. Ma anche i dispositivi aziendali che si affidano alla connessione Internet per funzionare sono sempre più numerosi e potenzialmente a rischio.
La Internet of Things infatti non è solo rappresentata da automobili, elettrodomestici, giocattoli o orologi. Tutto è connesso e sempre più lo sarà, anche le infrastrutture aziendali, e le ripercussioni possono riguardare interi settori dell’economia. L’industria petrolifera, per esempio, è una delle più soggette a cyberattacchi, rivela Alexander Polyakov, fondatore di ERPscan. “Le aziende del’oil and gas sono un obiettivo molto attraente per i cyberattacchi perché rappresentano una larga fetta dell’economia in alcune nazioni”, spiega Polyakov.
Tra gli attacchi di proporzioni maggiori ci sono quello alla Saudi Aramco del 2012, che ha bloccato i computer e di conseguenza le operazioni di fornitura e relazioni con i clienti, e quelli alla Statoil e ad altre compagnie petrolifere norvegesi del 2014.
“Se è connesso è vulnerabile”, dice Yossi Atias, Ceo di Dojo Labs. “Se nel sistema ci sono vulnerabilità, gli hacker le troveranno e il device sarà compromesso”. Tanti sono i campi di applicazione della Internet of Things e gli oggetti connessi, altrettanti sono i pericoli. Come privati cittadini, possiamo rischiare intrusioni in casa, ricatti o furto di denaro, se vengono rubate le nostre credenziali. Le imprese potrebbero andare incontro a uno stop delle loro operazioni, a ritiro di prodotti, danno economico e di immagine, estorsione. Le nazioni potrebbero veder compromesse alcune infrastrutture critiche.
VERSO UNA MAGGIORE SICUREZZA
Ovviamente il mercato si sta attrezzando per rispondere alle sfide create dalla Internet of Things. Le società It cominciano a offrire soluzioni ad hoc per la sicurezza della IoT. Persino il produttore di chip Arm ha disegnato un chip più sicuro per gli oggetti connessi.
I produttori di apparecchi per la smart home sono più attenti a inserire protezioni nei loro prodotti e sono nate alcune start-up (come Dojo Labs o Cujo) che hanno creato dei device che servono specificamente a tenere gli hacker lontani dalla smart home.
Creare degli standard dovrebbe favorire la messa a punto di dispositivi più sicuri e per questo organismi internazionali come l’Iso (International Standards Organization) o la IEEE Standards Association hanno creato gruppi di lavoro dedicati allo sviluppo di parametri condivisi per la sicurezza e la privacy della IoT.
Anche diverse imprese tecnologiche si sono unite per lavorare sulla sicurezza della IoT: ci sono il Thread Group, l’Open Interconnect Consortium, la AllSeen Alliance, l’Industrial Internet Consortium. British Telecom ha anche messo un proprio team di esperti (BT Assure Ethical Hacking for vehicles) a disposizione delle case automobilistiche per aiutare a portare sul mercato veicoli con accessi al web sicuri, a prova di furti di dati e manomissioni.
Sono primi passi, non del tutto sufficienti ma importanti, per garantire che il moltiplicarsi delle cose connesse e dei canali di comunicazione non diventi un incubo hitech.