Le vulnerabilità dell’ecosistema IoT della smart home possono essere una seria minaccia. Ecco che cosa succede quando ci hackerano la casa.
«Una tipica casa moderna ha circa 5 dispositivi connessi alla rete che non sono pc e smartphone. La maggior parte di loro sono suscettibili ad attacchi» (Kaspersky Lab)
Nell’era dell’Internet of Things oltre agli smartwatch e alle automobili che si guidano da sole appare anche l’ecosistema della Smart Home. Ecosistema perché il termine “smart home” in realtà identifica un paradigma composto non da un solo prodotto, come può essere l’autovettura, ma da una serie di dispositivi che interagiscono sia tra di loro sia con l’esterno.
Spesso ci occupiamo di sicurezza nell’ambito dell’Industrial Internet of Things (IIoT), anche illustrando soluzioni architetturali e tecnologie che permettono ai responsabili IT delle aziende di dotarsi delle adeguate protezioni. È il caso del NaaS proposto dalla startup americana IoTium, di cui abbiamo parlato recentemente.
Ma che cosa succede se i problemi di sicurezza in ambito IoT si manifestano nell’ambiente domestico? Il consumatore finale dispone della cultura e degli strumenti necessari per difendersi da possibili attacchi? La crescita dei dispositivi IoT in generale ha una curva esponenziale e si pensa che oggetti che rendono la casa “intelligente” avranno una crescita analoga. Infatti l’integrazione con le abitazioni è stata resa possibile anche dalla facilità di implementazione di queste tecnologie nei dispositivi che fino ad oggi erano considerati off-line, come ad esempio tv e frigoriferi.
Da parte dei produttori e dei loro partner (pensiamo ad esempio Apple HomeKit o Google Home) una certa enfasi viene posta su tutti i vantaggi di avere una casa connessa e controllabile da smartphone. Gli spot e il marketing vengono focalizzati sul controllo remoto dell’allarme, sulla stampa wireless e via dicendo, ma poca importanza viene data al tema della sicurezza. Infatti ogni dispositivo connesso a una rete – se non adeguatamente protetto – rappresenta un possibile buco alla sicurezza all’interno della propria rete.
Esperimento: hackerare la propria casa
David Jacoby, lavora da oltre 15 anni nell’industria della sicurezza informatica e collabora con Kaspersky Lab, una delle più grandi aziende mondiali produttrici di soluzioni in materia di IT security. Egli si è posto il problema e ha provato ad hackerare la propria casa.
L’abitazione oggetto di test aveva i seguenti dispositivi connessi alla rete di casa:
-2 HDD di rete condivisi
-Smart TV
-Ricevitore satellitare
-Router dal proprio ISP
-Stampante
Come si può vedere, sono dispositivi ormai comuni in tutte le abitazioni.
L’approccio utilizzato da David Jacoby è quello del penetration testing, ovvero evidenziare i problemi di sicurezza tentando di violarla, esattamente come farebbe un hacker malintenzionato.
Innanzitutto si è assicurato che i firmware dei dispositivi fossero aggiornati all’ultima versione.
Il problema più comune in ambito di sicurezza IT è che tendiamo a proteggere solo i computer, dimenticandoci del fatto che ogni dispositivo connesso alla rete è un potenziale mezzo di infezione.
Infatti nell’esperimento in questione è stata sfruttata proprio questa vulnerabilità della smart home:
1- Ha installato un malware sugli HDD di rete trasformandoli in una backdoor, ovvero un software malevolo che permette l’accesso clandestino ai file o all’attività dell’utente. L’antivirus non rileva questa minaccia perché il codice maligno in esecuzione su questi device non è controllato.
2- La smart TV si connette con il server del produttore per scaricare le thumbnail delle icone dei servizi online. Tuttavia non utilizza un protocollo HTTPS con certificato, ma una connessione HTTP non crittografata. L’esperto di Kaspersky ha eseguito un MITM (attacco Man-In-The-Middle) in cui ha sostituito le immagini “ufficiali” con altre immagini. Il problema sta nel fatto che si può incorporare un codice JavaScript che il software delle TV esegue senza essere identificato.
3- Esplorando la pagina di configurazione del router fornito dall’ISP ha trovato molte funzioni di tunnelling per connettere alcuni dispositivi direttamente alla rete, come telecamere web, tv etc. Ha evidenziato il fatto che l’ISP in teoria ha il controllo completo su tutte le funzionalità del router. La domanda è: cosa succederebbe se l’accesso al router finisse in mani sbagliate? Un hacker avrebbe la possibilità di monitorare e reindirizzare il traffico di una casa altrui per fini criminosi.
In questi semplici esperimenti l’obiettivo è stato dimostrare come può essere possibile utilizzare un dispositivo della smart home come step stone per violare una seconda macchina protetta da software antivirus, oltre a evidenziare vulnerabilità intrinseche della progettazione dei dispositivi stessi.
Come difendere la smart home
Come sempre, prevenire è meglio che curare, soprattutto se si tratta della propria vita privata. La smart home non sfugge alla madre di tutte le regole. L’aspetto più ricorrente negli articoli che trattano questo tema si focalizza sul ruolo dell’utente in quanto primo veicolo di infezione. Infatti la maggior parte delle persone usa password composte da parole esistenti e che sono riconducibili all’identità della persona, come ad esempio parti del nome, del cognome o della data di nascita. A questo proposito per comprendere meglio il significato di password forte, esiste un utile tool di Kaspersky che simula il tempo necessario per violare una password tramite un attacco a forza bruta.
Kaspersky Password Check
Proteggere gli accessi alle pagine di settario dei dispositivi IoT è già un buon modo per cominciare.
In secondo luogo, è molto importante mantenere aggiornati i propri sistemi. Infatti la recente infezione di WannaCry ha sfruttato una vulnerabilità dei sistemi Windows non aggiornati all’ultima versione. Come evidenziato in precedenza, potrebbe essere sufficiente un dispositivo con delle falle per compromettere l’intero sistema.
L’obiettivo da raggiungere è pertanto integrare le soluzioni di sicurezza parallelamente allo sviluppo dei sistemi IoT in modo tale da avere una difesa nativa fin dal principio. La sensibilità al tema della cybersecurity infatti non è ancora diffusa tra la maggioranza degli utenti internet. In questi termini sarebbe utile una certa sensibilizzazione a partire dalle scuole per evitare danni futuri di un certo rilievo come nei recenti attacchi hacker.
Una best practice per ridurre il rischio di attacco è quella di mettere in sicurezza la propria rete smart home mettendo in atto semplici accorgimenti che spesso possono fare la differenza:
-Predisporre e impostare un firewall di rete
-Mantenere aggiornati i software antivirus e i sistemi operativi di tutti i devices
-Filtrare gli indirizzi MAC in modo che si possano connettere alla rete solo i dispositivi “autenticati”
-Impostare password forti alle pagine di amministrazione e del Wi-Fi
Infine prima di acquistare un nuovo dispositivo IoT la cosa migliore è informarsi, sentendo diversi pareri di esperti che si possono facilmente reperire sul web, come anche video recensioni in cui vengono mostrate le varie funzionalità e dove si può valutare l’attenzione che il produttore ha dato alla sicurezza.