Stories

Non servono i superpoteri per prevenire gli attacchi a router, telecamere e smart cars

La sicurezza degli oggetti connessi è una questione culturale. Molti dispositivi sono prodotti in serie con password preimpostate e misure di sicurezza scarse o assenti (video)

Quando si dice le coincidenze! L’altra sera ero seduto con due amici (un designer, uno sviluppatore e un maker, io) in un makerspace di Roma a parlare di lavoro, di futuro e di nuove idee. In particolare si parlava di come progettare prodotti connessi, cioè oggetti capaci di elaborare informazioni e di connettersi a internet (in una scala che va dal termostato di casa alle automobili del car-sharing), e delle implicazioni a livello di esperienza d’uso, interazione, usabilità e sicurezza.

jeep_hacks

Comincia l’attacco alla rete

Dai nostri smartphone ci siamo accorti che alcuni siti e servizi web si stavano comportando in modo “strano”, qualcosa rallentava, qualcosa non caricava.  Un po’ come quando va via la luce nel palazzo e ci si affaccia sul pianerottolo o si bussa al vicino per chiedere se c’è corrente.
Così, sui social network, abbiamo iniziato a trovare informazioni su un attacco DDoS in corso. Cosa voleva dire? La disponibilità di servizi e informazioni digitali, pur essendo elementi intangibili e potenzialmente effimeri, è diventata qualcosa a cui siamo abituati, che diamo per scontato come l’elettricità nelle nostre lampadine. Ma, a differenza delle lampadine, alla maggior parte degli utenti è ignoto cosa faccia funzionare quell’insieme di servizi su cui probabilmente spendono gran parte del loro tempo.

Che cos’è un attacco DDoS

Un attacco DDOS, cioè un Distributed Denial of Service, è un attacco concettualmente molto semplice ma efficace. Tanti dispositivi iniziano a “contattare” un sistema online, creando una quantità di traffico tale da impedire al sistema colpito di rispondere ad ulteriori richieste, rendendo il servizio non disponibile. L’attacco è difficile da bloccare perché significherebbe distinguere tra il traffico reale (legittimo) e quello malevolo.

Per sferrare un attacco DDoS è quindi necessario avere a disposizione una botnet, ossia una rete di macchine infette (bot) che, a insaputa dell’utente, iniziano a eseguire i comandi inviati da qualcun altro sulla rete. Più la botnet è nutrita e distribuita più l’attacco sarà efficace.

botnet

Una delle particolarità di quest’attacco è stata quella di aver utilizzato una IoT botnet ossia una rete fatta non di computer “tradizionali” ma di oggetti connessi, in particolare router, sistemi di videosorveglianza, IP camera e DVR.

Anche se nel linguaggio comune il “computer” resta quello con tastiera, mouse monitor, il nostro mondo e le nostre vite si stanno riempendo di oggetti dotati di microprocessori e, soprattutto, connettività. Si tratta quindi di computer a tutti gli effetti incorporati e nascosti dentro automobili, elettrodomestici, giocattoli, semafori, dispositivi di sicurezza e una serie infinita di altri oggetti e, come tutti gli altri computer possono essere vulnerabili, o forse lo sono di più.

Qualche giorno fa Cybersecurity aveva pubblicato un interessante articolo di Arturo Di Corinto sulla checklist dell’OTA su come rendere sicuri i propri dispositivi connessi.

I rischi connessi all’uso di smart device

Altri casi famosi sono serviti ad allertare sul potenziale pericolo e la sostanziale incoscienza intorno alla sicurezza dell’IoT: l’hacking della Jeep che è costato a Chrysler il richiamo di 1,4 milioni di veicoli (immaginate che la vostra auto all’improvviso sia “telecomandata” da qualcuno), e i noti problemi di sicurezza delle ip cam e relative implicazioni per la privacy (cercate su Youtube “ip cam trolling” per una lista di scherzi fatti con ip cam hackerate).

Molti dispositivi sono prodotti in serie con password preimpostate e misure di sicurezza scarse o assenti, con conseguenze facilmente immaginabili. Il problema, tuttavia, è soprattutto di tipo culturale: la mancata percezione del pericolo e le scarse competenze sul funzionamento di alcuni sistemi fa si che gli utenti non si preoccupino di proteggere i propri dispositivi.

La sicurezza è anzitutto un problema culturale

Il problema culturale riguarda anche la progettazione dell’esperienza utente (UX) e delle interfacce che consentono di interagire con il dispositivo. Per molti, infatti, l’esperienza di configurare un router ma anche un semplice termostato può essere disastrosa e generatrice di ansia.

ipcam_pwd

La difficoltà di progettare un’interfaccia di questo tipo è riuscire a ridurre  la complessità di un modello tecnologico utilizzando un linguaggio e delle metafore “amichevoli” per l’utente . Semplificare e chiarificare, garantendo il feedback e controllo completo su tutti i parametri “vitali”, senza nascondere opzioni e senza ricadere in una salomonica imposizione di impostazioni di default

La soluzione, come sempre, è nel mezzo. Tornando all’esempio della corrente elettrica, come abbiamo imparato a distinguere una lampadina fulminata da un blackout, così dovremo imparare a riconoscere un oggetto connesso poco sicuro.

Allo stesso tempo, se per cambiare una lampadina bastano una scala e un po’ di attenzione così, per configurare e rendere sicuro un oggetto connesso, non  dovrà essere necessario avere super poteri tecnologici.

MASSIMILIANO DIBITONTO
Ricercatore, Link Campus University, Roma

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

In Giordania è stato realizzato il primo impianto fotovoltaico in un campo per rifugiati

I pannelli solari installati ad Azraq assicureranno elettricità 24 ore al giorno a circa 20mila persone e consentiranno di migliorare le loro condizioni di vita. L’obiettivo è portare questa innovazione anche in campi più grandi come quello di Zaatari

AXA Innovation Hub, la startup interna ad AXA che trasforma le idee in servizi concreti

20 collaboratori di AXA Italia diventano startupper e si mettono alla prova degli esperti del settore. Patrick Cohen “E’ un nuovo modo di lavorare agile e innovativo per liberare l’energia e la creatività. Senza paura di sbagliare”