Stories

Non servono i superpoteri per prevenire gli attacchi a router, telecamere e smart cars

La sicurezza degli oggetti connessi è una questione culturale. Molti dispositivi sono prodotti in serie con password preimpostate e misure di sicurezza scarse o assenti (video)

Quando si dice le coincidenze! L’altra sera ero seduto con due amici (un designer, uno sviluppatore e un maker, io) in un makerspace di Roma a parlare di lavoro, di futuro e di nuove idee. In particolare si parlava di come progettare prodotti connessi, cioè oggetti capaci di elaborare informazioni e di connettersi a internet (in una scala che va dal termostato di casa alle automobili del car-sharing), e delle implicazioni a livello di esperienza d’uso, interazione, usabilità e sicurezza.

jeep_hacks

Comincia l’attacco alla rete

Dai nostri smartphone ci siamo accorti che alcuni siti e servizi web si stavano comportando in modo “strano”, qualcosa rallentava, qualcosa non caricava.  Un po’ come quando va via la luce nel palazzo e ci si affaccia sul pianerottolo o si bussa al vicino per chiedere se c’è corrente.
Così, sui social network, abbiamo iniziato a trovare informazioni su un attacco DDoS in corso. Cosa voleva dire? La disponibilità di servizi e informazioni digitali, pur essendo elementi intangibili e potenzialmente effimeri, è diventata qualcosa a cui siamo abituati, che diamo per scontato come l’elettricità nelle nostre lampadine. Ma, a differenza delle lampadine, alla maggior parte degli utenti è ignoto cosa faccia funzionare quell’insieme di servizi su cui probabilmente spendono gran parte del loro tempo.

Che cos’è un attacco DDoS

Un attacco DDOS, cioè un Distributed Denial of Service, è un attacco concettualmente molto semplice ma efficace. Tanti dispositivi iniziano a “contattare” un sistema online, creando una quantità di traffico tale da impedire al sistema colpito di rispondere ad ulteriori richieste, rendendo il servizio non disponibile. L’attacco è difficile da bloccare perché significherebbe distinguere tra il traffico reale (legittimo) e quello malevolo.

Per sferrare un attacco DDoS è quindi necessario avere a disposizione una botnet, ossia una rete di macchine infette (bot) che, a insaputa dell’utente, iniziano a eseguire i comandi inviati da qualcun altro sulla rete. Più la botnet è nutrita e distribuita più l’attacco sarà efficace.

botnet

Una delle particolarità di quest’attacco è stata quella di aver utilizzato una IoT botnet ossia una rete fatta non di computer “tradizionali” ma di oggetti connessi, in particolare router, sistemi di videosorveglianza, IP camera e DVR.

Anche se nel linguaggio comune il “computer” resta quello con tastiera, mouse monitor, il nostro mondo e le nostre vite si stanno riempendo di oggetti dotati di microprocessori e, soprattutto, connettività. Si tratta quindi di computer a tutti gli effetti incorporati e nascosti dentro automobili, elettrodomestici, giocattoli, semafori, dispositivi di sicurezza e una serie infinita di altri oggetti e, come tutti gli altri computer possono essere vulnerabili, o forse lo sono di più.

Qualche giorno fa Cybersecurity aveva pubblicato un interessante articolo di Arturo Di Corinto sulla checklist dell’OTA su come rendere sicuri i propri dispositivi connessi.

I rischi connessi all’uso di smart device

Altri casi famosi sono serviti ad allertare sul potenziale pericolo e la sostanziale incoscienza intorno alla sicurezza dell’IoT: l’hacking della Jeep che è costato a Chrysler il richiamo di 1,4 milioni di veicoli (immaginate che la vostra auto all’improvviso sia “telecomandata” da qualcuno), e i noti problemi di sicurezza delle ip cam e relative implicazioni per la privacy (cercate su Youtube “ip cam trolling” per una lista di scherzi fatti con ip cam hackerate).

Molti dispositivi sono prodotti in serie con password preimpostate e misure di sicurezza scarse o assenti, con conseguenze facilmente immaginabili. Il problema, tuttavia, è soprattutto di tipo culturale: la mancata percezione del pericolo e le scarse competenze sul funzionamento di alcuni sistemi fa si che gli utenti non si preoccupino di proteggere i propri dispositivi.

La sicurezza è anzitutto un problema culturale

Il problema culturale riguarda anche la progettazione dell’esperienza utente (UX) e delle interfacce che consentono di interagire con il dispositivo. Per molti, infatti, l’esperienza di configurare un router ma anche un semplice termostato può essere disastrosa e generatrice di ansia.

ipcam_pwd

La difficoltà di progettare un’interfaccia di questo tipo è riuscire a ridurre  la complessità di un modello tecnologico utilizzando un linguaggio e delle metafore “amichevoli” per l’utente . Semplificare e chiarificare, garantendo il feedback e controllo completo su tutti i parametri “vitali”, senza nascondere opzioni e senza ricadere in una salomonica imposizione di impostazioni di default

La soluzione, come sempre, è nel mezzo. Tornando all’esempio della corrente elettrica, come abbiamo imparato a distinguere una lampadina fulminata da un blackout, così dovremo imparare a riconoscere un oggetto connesso poco sicuro.

Allo stesso tempo, se per cambiare una lampadina bastano una scala e un po’ di attenzione così, per configurare e rendere sicuro un oggetto connesso, non  dovrà essere necessario avere super poteri tecnologici.

MASSIMILIANO DIBITONTO
Ricercatore, Link Campus University, Roma

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Dai banchi di scuola al pitch. I finalisti del progetto “A Scuola di Startup” a DigithON 2017

Il progetto realizzato da AuLab ha coinvolto per il terzo anno consecutivo studenti delle scuole secondarie superiori. Il team vincitore sarà premiato dal Gruppo Giovani Imprenditori di Confindustria Bari e Bat. Abbiamo intervistato Davide Neve, CEO di AuLab

Imparare a guidare con la realtà virtuale e aumentata. Il progetto di Guida e Vai

Salvatore Ambrosino, cofondatore e direttore commerciale di Guida e Vai, ha ideato un nuovo sistema di insegnamento per preparare all’esame di teoria le nuove generazioni. I ragazzi potranno simulare con smartphone e visore le situazioni che potrebbero incontrare su strada

Hephaestus Venture, il fondo che porta le startup italiane in Brasile

Il fondo ha la missione di supportare le startup nei processi di internazionalizzazione verso il Brasile, un mercato emergente e in forte crescita, se si pensa che il 57.4% dei finanziamenti in America Latina si concentra in questo Paese.

Cyber-Diplomacy | Che cos’è e qual è il ruolo dell’Italia (nel G7)

Le relazioni internazionali sono chiamate ad avere un ruolo specializzato al Cyber Spazio e devono agire al suo interno per supportare il complesso di accordi e regole di carattere internazionale oggi ancora incompleto in proposito