Activate-the-world-mike-flickr
Sicurezza

Abbiamo davvero bisogno dell’Internet delle Cose?

Gli oggetti interconnessi ci aiuteranno a vivere meglio ma diranno anche molto (troppo) di ciò che siamo agli hacker. Anzi alcuni già lo fanno

Partiamo da un punto fermo: il giorno dell’Internet delle Cose (in gergo IoT – Internet of Things) è adesso. Non arriverà tra un mese, un anno, un decennio. Stiamo già vivendo nell’era degli oggetti interconnessi: frigoriferi che parlano, orologi che ci guidano e videocamere che ci spiano. Anche voi che leggete avrete già in salotto un prodotto che rientra nella categoria di Internet delle Cose, scommettiamo? La Smart TV, il braccialetto per il fitness, le luci di Natale che si accendono con lo smartphone, la console next-gen (come Xbox One e PS4) oppure la videocamera di sorveglianza Wi-Fi. Oggetti che usate da mesi e che ricadono, anche se non ci avete mai pensato, nel particolare campo dell’IoT. Questo cosa vuol dire? Che i consumatori sono già pronti a rivoluzionare la propria vita, raccogliendo e producendo informazioni che viaggiano attraverso internet e che, in teoria, dovrebbero semplificarci l'esistenza.

Orologi parlanti

Un esempio? L’orologio con Android Wear può avvisarci di un appuntamento anche se non abbiamo visto la notifica sullo smartphone, oppure con Fitbit possiamo fare una media dei passi che compiamo ogni giorno, per cercare di farne di più, oppure contenerci. E ancora: la televisione può registrare la puntata del telefilm preferito se non rientriamo in casa in orario oppure si può comandare al forno di spegnersi o accendersi a chilometri di distanza. Tutto bello vero? Ma c’è un prezzo da pagare, spesso molto alto. Si tratta della possibilità che un individuo esterno, spesso sconosciuto, possa rubare le informazioni che gli oggetti IoT inviano attraverso internet o, peggio, scambiano tra di loro per attivare alcune funzioni. È il caso dello smartwatch che viene abbinato, tramite Bluetooth, ad uno smartphone o tablet per ricevere le notifiche da mostrare sullo schermo e accedere alla trasmissione dati sul web.

Hacker al lavoro

Il panorama sembra catastrofico ma, purtroppo, reale. I ricercatori di sicurezza di Bitdefender, una società specializzata nella protezione informatica, hanno provato ad hackerare le trasmissioni inviate da un orologio Samsung Gear Live ad un Google Nexus 4. Gli esperti hanno scoperto che la password che protegge le comunicazioni tra i due è facilmente violabile, utilizzando gli strumenti giusti, con la possibilità di monitorare le informazioni scambiate tra orologio e telefono. I danni non sarebbero per nulla banali. Pensate a quelli relativi lo status di salute, ma anche le attività quotidiane, gli appuntamenti in agenda. Basterebbe davvero poco per permettere ai ladri di capire quando (e per quanto tempo) siamo fuori casa, così da intervenire e svaligiare l’appartamento.


internet delle cose casa

– Credits: Scott Lewis, Flickr

Webcam e console poco private

Lo stesso discorso vale per il resto degli oggetti interconnessi attualmente in uso. Se hackerate, le trasmissioni della webcam piazzata in soggiorno possono raccontare le abitudini della famiglia e catturare momenti intimi che si vorrebbe rimanessero privati (magari per poi ricattare le persone riprese). E' quello che hanno fatto gli hacker russi con Insecam, spiando anche le telecamere Wi-Fi degli italiani. Inoltre i criminali informatici potrebbero hackerare i server delle aziende che producono console videoludiche per poi intrufolarsi negli account degli iscritti e da li risalire alla casella di posta, contatti e tanto altro. Basta chiedere a Sony e Microsoft, ad esempio.

Cosa fare per difendersi

Ma non c’è soluzione? Siamo costretti a comprare oggetti che, prima o poi, ci inganneranno? In realtà no, ed è la stessa Bitdefender a dirlo. Ci sono almeno tre diverse strade che si possono seguire per migliorare le difese dell’Internet delle Cose. Il primo rimedio sarebbe quello di utilizzare una password da immettere fisicamente su un oggetto, ogni volta che lo si connette alla rete. Si tratta di una soluzione sicura ma scomoda. Immaginate di dover reimpostare ogni volta la televisione oppure il rilevatore di fumo quando lo si vuole utilizzare connesso al web. Se la tecnica può andare bene per gli smartwatch, dove il digitare una password non è un problema, può risultare sgradita sulla maggior parte degli oggetti IoT.

Utilizzare l'NFC in locale

Una seconda soluzione potrebbe essere quella di sbloccare in automatico un dispositivo (abilitandolo alla trasmissione dati) solo attraverso l’NFC. È quello che accade con Android Lollipop che permette di utilizzare lo smartwatch Android Wear abbinato solo quando è ad una distanza tale da poter inviare un segnale NFC. In questo modo gli hacker non potrebbero accedere alle informazioni sul dispositivo non avendo tra le mani lo smartphone che può sbloccarlo. Il difetto? Se la funzione può andar bene per l’orologio, lo stesso non si può dire per gli altri oggetti connessi presenti in casa a cui si vorrebbe accedere anche a chilometri di distanza (quindi molto fuori il raggio NFC).

Doppia autenticazione Bluetooth

Un’ultima opzione potrebbe essere l’aumento della sicurezza del segnale Bluetooth (fondamentale per far “parlare” Internet delle Cose con un altro dispositivo o un router per l’accesso ad internet) con l’introduzione di un secondo livello di crittografia da gestire via smartphone o tablet. È un po’ quello che avviene con l’autenticazione a due fattori promossa, tra l’altro, da Google. Oltre al nome utente e password, la doppia autenticazione permette di ricevere un codice temporaneo sul telefono cellulare così da sbloccare l’accesso alla posta o ad altri servizi abilitati. In questo modo si potrebbe connettere in un primo momento l’oggetto ad internet con le normali credenziali e poi richiedere l’inserimento di un codice ulteriore ricevuto su un numero di cellulare, indicato in fase di registrazione al servizio. Un esempio? Se si esce di casa e si dimentica di attivare la videocamera, si può accedere al portale dell’azienda costruttrice e attivarla, ma solo dopo aver effettuato l'accesso con i propri dati (nome utente e password) e aver inserito un codice ricevuto in un secondo momento via SMS. In questo modo si evita che gli hacker possano intrufolarsi nel proprio account e sfruttare tutte le potenzialità del dispositivo connesso ad internet. Che poi ci riescano lo stesso (magari attraverso lo "sniffing" della rete) è una probabilità da tener presente. Ma questa è un'altra storia.

© Riproduzione Riservata

Commenti