Una rete di router domestici zombie evidenzia l’importanza delle misure di sicurezza per le apparecchiature intelligenti.
di Glenn Fleishman
La fantascienza è piena di racconti in cui gli elettrodomestici iniziano a ribellarsi. In un episodio di Futurama, i tostapane e i robot domestici si rivoltano contro i loro oppressori umani.
Due trend stanno facendo sembrare questi scenari più realistici: Il primo è l’ondata di dispositivi per l’Internet delle Cose domestico – cosa evidente al recente CES. Il secondo è l’incremento degli attacchi hacker ai network domestici – come dimostrato dal gran numero di router zombie scoperti di recente.
Al CES, dozzine di aziende hanno esibito dispositivi e apparecchiature connesse a Internet, dalle lampadine intelligenti alle lavatrici gestibili con uno smartphone. Samsung si è persino spinta oltre, e ha dichiarato che entro il 2020 tutti i suoi prodotti saranno connessi (si veda “CES 2015: l’Internet di pressoché tutte le cose”).
Nel frattempo, l’esperto di sicurezza e scrittore Brian Krebs ha rivelato la settimana scorsa che alcuni hacker hanno realizzato un network, chiamato Lizard Stressor, che può essere usato per mandare offline siti web al fine di creare disagi o anche commettere crimini. Le reti di computer o di server trasformati in “bot” non sono una novità. Krebs ha però scoperto che il Lizard Stressor si appoggia ai router usati nelle abitazioni. Dispositivi infetti o compromessi che sono connessi a una rete domestica potrebbero essere usati per scopi ancora più riprovevoli. Potrebbero diventare le basi da cui attaccare i computer, e potrebbero anche essere usati per intercettare i dati che transitano nella connessione di casa, incluse password e dati delle carte di credito.
La facilità con cui questi router possono essere compromessi non sorprende. Si sa che la maggior parte dei router domestici utilizza software facili da violare o pannelli di controllo che usano username e password come generiche come “admin”.
I dispositivi smart presentano solitamente delle caratteristiche di networking simili. E con l’aumentare degli elettrodomestici connessi a Internet, gli hacker potrebbero prendere sempre più di mira questi nuovi bersagli.
Sono diversi i fattori che rendono insicuri i dispositivi domestici. Di solito, i consumatori non comprano apparecchiature con misure di sicurezza pari a quelle richieste dai professionisti dell’IT, come aggiornamenti al sistema operativo per periodi di tempo predeterminati. Al contrario, sono i prezzi bassi a condizionare gli acquisti, e le configurazioni sono distribuite in maniera disuniforme tra i dispositivi più economici, inclusi quelli venduti dalle società più importanti.
è poi difficile rafforzare i livelli di sicurezza e senza oberare gli utenti di richieste. La predisposizione di account e password uniche per ciascun router dovrebbe essere abbastanza semplice, così come richiedere un passaggio fisico (come inserire una chiave USB) durante il processo di autenticazione. Tuttavia, requisiti di sicurezza simili risultano frustranti per molti utenti, che così chiamano il servizio clienti e restituiscono il dispositivo.
E anche se i dispositivi sono progettati in modo sicuro, presentano comunque delle porte aperte. Di solito, queste servono per consentire le comunicazioni con altri computer, ma possono essere usate per accessi remoti non pianificati o presentare software non aggiornati. Nel mese di settembre, un’azienda ha rivelato che è molto facile violare almeno 1,2 milioni di router che operano con un protocollo diffuso. A dicembre si è scoperto poi che un bug, già corretto nel 2002, era ancora presente in più di 12 milioni di router domestici. Probabilmente, anche un metodo normalmente utilizzato dagli ISP per accedere ai router dei propri clienti può essere utilizzato per manipolare milioni di dispositivi.
Tendenzialmente, i dispositivi – persino quelli prodotti dalle aziende più grandi – non vengono aggiornati per tre motivi: i produttori interrompono il servizio di assistenza per tenere bassi i costi; i produttori sono in crisi o falliscono; gli utenti non hanno le competenza necessarie per aggiornare i software, come scaricare o caricare patch utilizzando un’interfaccia amministrativa su un browser.
Nelle case e negli uffici di tutto il mondo ci sono già centinaia di milioni di router. Si stima che già oggi ci siano tra i 4 e i 5 miliardi di dispositivi per l’Internet delle cose, e che entro i prossimi 5 anni potrebbero diventare 25-50 miliardi. Questi dispositivi potrebbero avere gli stessi punti deboli delle apparecchiature per le reti domestiche, specie se le aziende si lanceranno nella corsa a realizzare nuovi prodotti.
Alcuni rappresentanti delle autorità di regolamentazione sembrano consapevoli dei rischi, e sembrano intenzionati a ridurre le vulnerabilità che caratterizzano i vecchi dispositivi incorporati. Durante il CES, Edith Ramirez, presidente della U.S. Federal Trade Commission, ha presentato un documento di 8 pagine in cui, dopo aver illustrato i timori della sua agenzia su privacy, raccolta di dati e sicurezza, ha fatto suonare l’allarme per i produttori di dispositivi per l’Internet delle cose. Forse, questa volta, staranno a sentire.
