Le case stanno diventando più intelligenti: i termostati intelligenti gestiscono il nostro riscaldamento, mentre i frigoriferi intelligenti possono monitorare il nostro consumo di cibo e aiutarci a ordinare la spesa. Alcune case hanno persino campanelli intelligenti che ci dicono chi è alle nostre porte. E, naturalmente, le smart TV ci consentono di trasmettere in streaming i contenuti che vogliamo guardare, quando vogliamo guardarli.
Se tutto ciò suona molto futuristico, ce lo dice un recente sondaggio 23% delle persone nell'Europa occidentale e il 42% delle persone negli Stati Uniti utilizza dispositivi intelligenti a casa.
Sebbene questi dispositivi intelligenti siano sicuramente convenienti, possono anche presentarsi rischi per la sicurezza. Qualsiasi dispositivo con una connessione Internet può essere compromesso e preso in consegna dagli aggressori.
Se un dispositivo smart compromesso dispone di una fotocamera o di un microfono, un utente malintenzionato può accedervi e tutti i dati sul dispositivo possono essere letti, visualizzati, copiati, modificati o cancellati. Il dispositivo intelligente compromesso potrebbe iniziare a guardare il tuo traffico di rete, cercando di trovare i tuoi nomi utente, password e dati finanziari. Potrebbe sembrare per rilevare altri dispositivi intelligenti che possiedi.
Ad esempio, un attaccante potrebbe regolare la temperatura su un termostato intelligente, rendendo la casa troppo calda, e chiedi il pagamento di un riscatto per farti riprendere il controllo del tuo riscaldamento centralizzato. In alternativa, un sistema TVCC intelligente può essere preso in consegna e i dati guardati da un utente malintenzionato o cancellati dopo un furto con scasso.
I dispositivi intelligenti possono anche essere realizzati per attaccare altri sistemi. Il tuo dispositivo smart può entrare a far parte di un "botnet” (una rete di dispositivi intelligenti compromessi sotto il controllo di una sola persona). Una volta compromesso, cercherà altri dispositivi intelligenti da infettare e reclutare nella botnet.
La forma più comune di attacco botnet è chiamata attacco DDoS (Distributed Denial of Service). È qui che la botnet invia centinaia di migliaia di richieste al secondo a un sito Web di destinazione, impedendo agli utenti legittimi di accedervi. Nel 2016 a botnet chiamata Mirai bloccato temporaneamente l'accesso a Internet per gran parte del Nord America e parti d'Europa.
Oltre agli attacchi DDoS, i tuoi dispositivi intelligenti possono essere utilizzati per diffondersi ransomware – software che crittografa un computer in modo che possa essere utilizzato solo dopo il pagamento di un riscatto. Possono anche essere coinvolti cryptomining (l'"estrazione" di valute digitali che fa guadagnare denaro all'attaccante) e la criminalità finanziaria.
Esistono due modi principali per compromettere un dispositivo intelligente. Il primo è tramite semplici credenziali predefinite, ovvero quando un dispositivo intelligente ha un nome utente e una password molto semplici preinstallati, come "admin" e "password", e l'utente non li ha modificati.
Il secondo è da errori nel codice del dispositivo intelligente, che un utente malintenzionato può utilizzare per ottenere l'accesso al dispositivo. Questi errori (chiamati vulnerabilità) può essere corretto solo da un aggiornamento di sicurezza rilasciato dal produttore del dispositivo e noto come "patch".
Come essere intelligenti E sicuri
Se stai pensando di acquistare un nuovo dispositivo smart, ecco cinque domande da tenere a mente che possono aiutarti ad aumentare la sicurezza del tuo nuovo dispositivo e della tua casa. Queste domande possono anche aiutarti a garantire che i dispositivi intelligenti che già possiedi siano sicuri.
1. Ho davvero bisogno di un dispositivo intelligente?
Mentre la connettività Internet può essere una comodità, è effettivamente un requisito per te? I dispositivi che non dispongono di una connessione remota non rappresentano un rischio per la sicurezza, quindi non dovresti acquistare un dispositivo intelligente a meno che tu non abbia effettivamente bisogno che il tuo dispositivo sia intelligente.
2. Il dispositivo ha credenziali predefinite semplici?
In tal caso, questo è un rischio serio fino a quando non si cambiano le credenziali. Se acquisti questo dispositivo e il nome utente e la password predefiniti sono facili da indovinare, dovrai cambiarli in qualcosa che solo tu conoscerai. In caso contrario, il dispositivo è molto vulnerabile all'essere preso in consegna da un utente malintenzionato.
3. È possibile aggiornare il dispositivo?
Se il dispositivo non può essere aggiornato e viene rilevata una vulnerabilità, né tu né il produttore sarete in grado di impedire a un utente malintenzionato di prenderne il controllo. Quindi verifica sempre con il venditore che il software del dispositivo possa essere aggiornato. Se hai una scelta, dovresti scegliere un dispositivo con aggiornamenti automatici, piuttosto che uno in cui devi installare gli aggiornamenti manualmente.
Se possiedi già dispositivi che non possono essere aggiornati, considera la possibilità di rimuovere il loro accesso a Internet (disconnettendoli dal tuo wifi) o di acquistarne di nuovi.
4. Per quanto tempo il produttore si è impegnato a supportare il dispositivo?
Se il produttore interrompe il rilascio degli aggiornamenti di sicurezza, il tuo dispositivo sarà soggetto a compromessi se successivamente viene rilevata una vulnerabilità. Dovresti confermare con il venditore che il dispositivo sarà supportato almeno per tutto il tempo che prevedi di usarlo.
5. Il produttore esegue un programma "bug bounty"?
Questi sono schemi in cui un'azienda pagherà una ricompensa a chiunque identifichi vulnerabilità nella propria base di codice. Non tutte le aziende li gestiscono, ma suggeriscono che il produttore prenda sul serio la sicurezza dei propri prodotti. I dettagli saranno sul sito Web del produttore.
Non è facile dire se il tuo dispositivo smart è stato violato. Ma fintanto che i tuoi dispositivi intelligenti sono supportati dai loro produttori, si aggiornano quando necessario e sono dotati di credenziali solide, non sarà facile per un utente malintenzionato ottenere l'accesso.
Se sei preoccupato che il tuo dispositivo sia stato violato, esegui un ripristino delle impostazioni di fabbrica, cambia il nome utente e la password in qualcosa di nuovo e unico e applica tutti gli aggiornamenti disponibili.
Circa l'autore
Ian Nash, dottorando, Centro Studi di diritto commerciale, Queen Mary University di Londra
Questo articolo è ripubblicato da The Conversation sotto una licenza Creative Commons. Leggi il articolo originale.
