Quando siamo connessi, siamo consapevoli dei rischi?

Quando siamo connessi, siamo consapevoli dei rischi?

| Salvatore Todaro | cybersecurity month 2021
Articolo letto 435 volte

Ogni giorno tutti noi, spesso senza averne consapevolezza, siamo continuamente sotto attacco informatico ovunque ci troviamo e con qualunque cosa ci connettiamo.

Tutti noi oggi usiamo uno smartphone - che è un computer travestito da telefono, un router con un accesso Wi-Fi sempre attivo, delle webcam sempre accese magari con un sistema di registrazione, un assistente vocale che ci ascolta in continuazione per soddisfare i nostri desideri - un personal computer o notebook ed un tablet.

Ma probabilmente abbiamo anche una smart TV, uno smart watch, lavatrice o frigo intelligenti e connessi, altra domotica … tanta roba, sempre connessa.
Non vi parlerò dei problemi di privacy e di come noi utenti siamo diventati un prodotto, ma vorrei farvi vedere il lato oscuro dell’aver connesso ogni cosa.

A causa di questa vera e propria invasione di dispositivi intelligenti nella nostra vita quotidiana, la percezione che abbiamo dei device IoT (Internet of Things) risulta falsata, e questo si verifica ancora più tra i bambini e gli anziani e in generale tra gli utenti con meno competenze tecnologiche, più pronti a farsi affascinare dalla “magia” di questi strumenti e meno preparati a coglierne i rischi.

Ad esempio, quando mia figlia guarda la sua smart TV vede semplicemente una TV, non vede un computer; se mio nonno interagisce con un assistente vocale ne rimane affascinato, ma senza chiedersi come funzioni. I normali utenti vedono solo i lati positivi della tecnologia digitale, ma ogni innovazione porta con se un lato oscuro, anche i device IoT.

Molte persone sanno ormai che i computer sono vulnerabili e necessitano di protezione e controllo, ma è importante essere consapevoli che tutti gli oggetti smart, in quanto computer sotto mentite spoglie, sono o saranno quindi vulnerabili. Anche la nostra lavatrice, o la nostra televisione, che hanno un aspetto cosi familiare, possono diventare occhi indiscreti o zombie per un attacco informatico e possono essere utilizzati da malfattori (non chiamiamoli hacker, quelli sono un’altra cosa..).

Che significa che qualcosa è o sarà vulnerabile?

Per spiegare cosa significhi essere vulnerabile vi faccio un esempio meno tecnologico, più vicino alla vita di tutti: la porta blindata di casa, robusta e solida con una grossa serratura, ci può dare una certa sicurezza. Ma qualche tempo dopo averla installata, qualcuno scopre che con un piccolo arnese, la chiave bulgara (bulgaro key[1]) un attrezzo costruito ad hoc o comprato su web, la si riesce ad aprire in pochi secondi e senza scasso, e tutto ad un tratto quello che sembrava super sicuro diventa terribilmente insicuro. In una porta, basterebbe cambiare la serratura con una sicura, ma in un IoT device è necessario aggiornare il software, una faccenda ben più complicata per l'utente medio che telefonare al fabbro.

Per ipotesi, se tutti questi dispositivi sono o saranno vulnerabili, è possibile manipolarli e magari prenderne il controllo … qualcuno di voi potrebbe obiettare, ma cosa te ne fai di uno smart TV che non puoi vedere?

Le smart TV sono diffusissime [2]ed  hanno a bordo una telecamera e forse un microfono e qualche altro sensore. Se se ne prende il controllo, è possibile ad esempio attivarne la telecamera e spiare i proprietari mentre vedono un bel film. E loro non si accorgeranno mai di nulla!

Un esempio? Tempo fa qualche malintenzionato con spirito imprenditoriale non meno che criminale ha fatto qualche soldo con questo espediente: dapprima ha ottenuto un accesso non autorizzato a dispositivi dotati di telecamera (es. una Smart TV), poi ha chiamato l’antiterrorismo dicendo che in quell’abitazione si stava consumando un crimine. A quel punto, ha venduto i biglietti ad ignoti avventori del dark web che volevano assistere in diretta allo “spettacolo” degli ignari cittadini che si trovavano in casa le squadre speciali.
Tutto questo è successo davvero negli Stati Uniti [3] , a darne notizia è stata la stessa FBI in un comunicato, e non è escluso che succeda ancora in altre parti del mondo. Questo tipo di atto illegale è stato chiamato Swatting Attack [4].

Ovviamente lo stesso tipo di attacco può essere riprodotto utilizzando qualunque altro oggetto che abbia una telecamera, come un tablet o uno smartphone, il baby monitor, la webcam IP… , dal momento che tutti questi sistemi hanno porte finestre e serrature “tecnologiche”. Basta veramente poco,in termini di risorse e competenze, per avere accesso, sfruttando una vulnerabilità o più semplicemente utilizzando chiavi di accesso rubate utilizzando tecniche di phishing, ingegneria sociale o intrusioni più complesse.

Molto spesso ci si mette anche l’ingenuità di chi ha installato la webcam, che ignaro dei rischi e delle conseguenze, può lasciare il dispositivo con la password di default (uguale per tutti gli apparati di quel tipo venduti) contravvenendo a tutti gli avvertimenti del produttore che certamente dicono di cambiarla al primo accesso.Internet è piena di risorse e dispositivi di questo tipo con le password di default, deboli o facilmente violabili.

Ed molto semplice scovare questi dispositivi! Si possono utilizzare i Google dorks [5]o dei servizi come shodan.io che con 2 click e qualche minuto possono scovare tutte le telecamere con password di default di un determinata città o stato, o individuare in maniera precisa modelli di telecamera vulnerabili o in cui sono presenti backdoor (ossia delle utenze nascoste dai programmatori per permettere ad esempio di fare manutenzione o per scopi criminali).

Una volta venuti a conoscenza di una vulnerabilità, la prima cosa saggia da fare, dovrebbe consistere nell’aggiornare il sistema (sì, anche per la webcam o lo smart TV). Ma che succede se il produttore non fornisce gli aggiornamenti di sicurezza?
In questo caso, a meno di non voler accettare il rischio derivante da un accesso non autorizzato, si dovrebbe disabilitare se possibile la parte smart, oppure il prodotto ha terminato la sua vita utile.

Per questo motivo consiglio di acquistare prodotti premium o open-source, in quanto ci sono più possibilità che il supporto e gli aggiornamenti di sicurezza siano garantiti per un tempo più lungo e in generale che la qualità del sistema sia superiore.

Il device che più mi fa paura in questo senso è comunque lo smartphone: lo usiamo anche per lavoro, ci scattiamo foto e registriamo video, ci colleghiamo al sistema di home banking, lasciamo che tracci la nostra posizione e registri le nostre comunicazioni, lo usiamo come torcia, per vedere video e prenotare gli aerei, in pratica è un coltellino svizzero.

Eppure, quanti di noi hanno un antivirus o un sistema di protezione sullo smartphone? Quanti di noi prima di installare una applicazione fanno degli studi per capire se non abbia del malware dentro? Quanti di noi cambiano smartphone perché non ci sono più gli aggiornamenti di sicurezza del produttore? La risposta “nessuno” è la più popolare. In genere un cellulare viene sostituito perché il vetro si rompe, la batteria dà poca autonomia o molto più banalmente perché il modello nuovo è più di tendenza, ma la sicurezza sembra essere un motivo non sufficientemente valido per farlo.

Tuttavia, ci è mai capitato che la batteria duri veramente poco e che il cellulare sia sempre inspiegabilmente caldo?Il device potrebbe essere compromesso ed essere usato in quel momento da qualche malintenzionato per fare “bitcoin mining” utilizzando la potenza di calcolo del cellulare. E se è arrivato a fare questo, il malintenzionato ha probabilmente già accesso a tutti i nostri dati, foto, conti e messaggi.

Spesso, i motivi per cui i cellulari vengono facilmente compromessi sono legati ai nostri comportamenti:

  1. Scaricare app con bassa reputazione e che possono avere malware al loro interno. La rimozione di questo tipo di app avviene quotidianamente negli store, ma se sono già state scaricate nel nostro telefono, siamo noi i responsabili della loro rimozione. In questo, può essere utile un antivirus (premium).
  2. Non aggiornare le app. Se il nostro cellulare ci dice che ci sono app da aggiornare, è il momento di dargli retta! Significa, infatti, che ci sono delle vulnerabilità che sono state messe in sicurezza.
  3. Apertura di immagini o link arrivati via sms o Instant Message: non è un’eventualità che capita solo agli sprovveduti: basta un attimo di distrazione per abbassare la guardia! Attenzione ad aprire immagini, messaggi, link che annuncino ricchi premi o si presentino come avvertimenti di sicurezza, possono essere delle truffe!
  4. Non prestare attenzione ai permessi richiesti dalle app. È importante notare i permessi in fase di installazione delle app e valutare se siano appropriati alla loro funzione: se vogliamo un’app che funga da torcia, perché accodarle il permesso di accedere alla memoria o al microfono?

Aggiungo, poi, un ulteriore tassello, l’ultimo: cosa succede se usando il nostro smartphone prendiamo un malware e poi, con quello,ci colleghiamo alle risorse dell’azienda per cui lavoriamo? Semplicemente abbiamo aperto le porte a qualcuno di non autorizzato e non benintenzionato.

Se il mondo dei device IoT appare in una luce un po’ più sinistra dopo questa digressione, la buona notizia però è che prestando alcune accortezze possiamo diminuire di molto i rischi. Ecco alcuni consigli pratici per usare la tecnologia in modo sicuro:

  1. Comprare prodotti premium o con software open-source: sono manutenuti per più tempo
  2. Non installare webcam in posti molto privati, come la stanza da letto
  3. Disabilitare o oscurare fisicamente le telecamere quando non servono
  4. Non rendere visibili le proprie telecamere o IoT direttamente su Internet, per evitare di trovarsi completamente esposti alla prima vulnerabilità scoperta.
  5. Cambiare le credenziali di accesso, sempre e regolarmente: se usiamo le stesse credenziali per più servizi, queste potrebbero essere già state trovate! Possiamo facilmente verificare qui
  6. Non far utilizzare i nostri dispositivi ai nostri figli, soprattutto usati anche per lavoro,

Spegnere tutti i device quando non in uso. Limiteremo i rischi, consumeremo meno energia e...faremo un piacere anche al pianeta.Concludendo, sì, navigare in Internet ci espone a numerosi rischi, anche se a farlo è il nostro frigorifero. È però sufficiente essere consapevoli di ciò che utilizziamo per poter sfruttare al meglio la tecnologia che è a nostra disposizione, senza incorrere in spiacevoli incidenti.

Salvatore Todaro, Messina, Italia, è Responsabile dell’Unità Operativa “Sicurezza Informatica” dell'Università di Messina. Da 23 anni si occupa di tematiche relative a sicurezza informatica, identità digitale, convinto sostenitore dell’open source, del lavoro di gruppo e della condivisione della conoscenza.
Dal 2017 Responsabile Tecnico di Ateneo per la Federazione di Identità IDEM GARR di cui è anche membro del Comitato Tecnico Scientifico dal 2015, Co-founder del progetto GARRLab, all’interno della comunità GARR. Ha tenuto svariati talk e corsi su tematiche di sicurezza informatica, identità digitali e utilizzo di software open source in ambito governativo


Archivio GARR NEWS

Utilizzo dei cookie

Questo sito utilizza i cookie per migliorare servizi ed esperienza degli utenti. Puoi decidere se consentire o meno i cookie, ma se rifiuti non sarai in grado di utilizzare tutte le funzionalità del sito.