La domanda di soluzioni per la casa intelligente è in grandissima crescita. Gli oggetti che permettono di rendere le nostre case più confortevoli e “servizievoli”, di automatizzare compiti prima relegati agli “umani”, sono sempre di più, e vanno dalle lampadine che possono essere accese direttamente dallo smartphone, essere comandate con la voce o cambiare colore a seconda dell’umore del proprietario di casa, ai televisori trasformati in contenitori di App e sempre connessi alla rete, agli elettrodomestici che si comandano da distanza, alle porte dotate di smart lock, che sbloccano automaticamente la porta quando arrivate a casa e la bloccano di nuovo quando uscite.
Per non parlare degli Assistenti, Google Home e Amazon Echo in primis, che oggi si rivolgono direttamente al consumatore finale (mentre in passato posizionare videocamere di sicurezza richiedeva comunque l’intervento di un installatore professionale), e quindi da un lato fanno crescere moltissimo la confidenza dell’utente con i device intelligenti per l’automazione domestica, ma dall’altro lato aggiungono complessità in termini di corretta gestione degli apparati.
Se quindi sono sempre di più le persone che si avvicinano a questi temi, e da un certo punto di vista già oggi tutti possediamo in casa qualche oggetto di questo tipo, quanto meno un router connesso a Internet, quello che dobbiamo però considerare è quale attenzione pongono oggi i produttori di oggetti per le Smart Home al tema della cybersecurity e della protezione della privacy. I device della Smart Home, se non protetti e gestiti in modo corretto, possono diventare infatti target di attacchi “cyber” e aprire le porte della Smart Home a utilizzi malintenzionati, furti di dati, manipolazione dei sistemi, ransomware, con impatti sulla privacy ma anche potenzialmente sulla sicurezza delle persone. Ricordiamo alcuni fatti:
- Webcam domestiche: hackerate in più occasioni, con i video registrati e messi su Internet
- Smart TV: nel 2015 si è scoperto che alcune di queste spiavano le persone, o avevano porte aperte ad app indesiderate, o ancora monitoravano le abitudini di consumo e inviavano le informazioni sui programmi visti a network pubblicitari
- Router domestici: colpiti più volte, infettati e utilizzati come Botnet per attacchi DDoS massivi, usati come vettore per accedere ad altri device domestici collegati in rete
- Termostati collegati a Internet: nel 2016 alcuni ricercatori riuscirono a installare un ransomware in un termostato facendo salire la temperatura a 99 gradi
- Frigoriferi Smart: più volte oggetto di attacchi riusciti, usati come vettori per diffondere attacchi nella rete domestica o infettati per Botnet e attacchi DDoS
- Smart Lock per porte: nel 2016 alcuni ricercatori di sicurezza sono riusciti ad aprirli
- Baby Monitor: sia nel 2013 che nel 2014 gli hacker sono riusciti a infiltrarsi, azionando gli speaker e spaventando bambini e genitori
- Smart Assistant: ultimi arrivati, ma non meno sicuri, anche i noti Smart Assistant sono stati oggetto di intrusioni. Nel 2018, ricercatori dell’Università della California a Berkeley hanno individuate delle vulnerabilità in tutti i principali assistenti digitali, compresi quelli di Google, Amazon e Apple, che permettevano agli hacker di inserire comandi non udibili dall’orecchio umano, registrarli nei device e usarli quindi per aprire porte, rubare denaro o effettuare acquisti.
Device non protetti e inseriti in contesti come quelli familiari possono diventare target molto ambiti per criminali o anche semplicemente per “furfanti digitali”, che puntano a sfruttare queste nuove debolezze per avere accesso alle nostre case. Non si tratta dell’unico scenario, perché come già visto, gli oggetti connessi si prestano anche bene per contribuire ad attacchi DDoS o in prospettiva a diventare oggetto di ransomware (come mostra con un po’ di ironia ma con altrettanta verosimiglianza, in ottica di scenari futuri, la figura successiva).
Qual è lo stato attuale delle vulnerabilità degli oggetti per le Smart Home? Come porvi rimedio? Ne parliamo con Raoul Brenna, Responsabile della Practice “Information Security & Infrastructures” presso Cefriel (centro di innovazione digitale auto-finanziato fondato dal Politecnico di Milano, www.cefriel.com ), che presenterà questi temi nel corso del Webinar QUANTO È SICURA LA TUA SMART HOME? Ridurre i rischi dell’Internet delle cose in ambienti Smart Building del prossimo 16 aprile, dalle ore 11.30 alle ore 12.30.
TIG. “Alexa! Apri quella porta!” È veramente così facile per un ladro riuscire ad entrare oggi nelle nostre case?
Raoul Brenna. Non banalizzerei… anche perché alcuni vendor, che magari hanno già vasta esperienza sul mondo dell’oggettistica consumer, stanno correndo ai ripari. Vedi Google, che nel suo Assistente ha introdotto la feature “voice match”. Ma certamente non sono oggetti che puoi “estrarre dalla scatola, appoggiare a una mensola e lasciargli le chiavi di casa”: occorrono precauzioni… e soprattutto buon senso!
TIG. Avremo quindi notevoli problemi di privacy per le smart home del futuro? I produttori di questi device non temono di incorrere in sanzioni?
Raoul Brenna. Al momento parlare di apparato sanzionatorio è prematuro, anche se nulla esclude ovviamente la possibilità di episodi individuali di rilevanza legale. L’evoluzione a livello europeo del framework di certificazione in ambito cybersecurity, guidata da ENISA, a cui seguiranno auspicabilmente le certificazioni specifiche, mi fa ben sperare.
TIG. A livello di sistema, ci sarà un’evoluzione verso una maggiore sicurezza di questi device? L’Europa, con il Cybersecurity Act, sembra preoccuparsi di questi temi – mentre forse gli USA sono più indietro.
Raoul Brenna. Il Cybersecurity Act stabilisce un passo importante nel percorso che delineavo poco fa. Inoltre, l’Europa è “spinta” dal tema Privacy che, pur non essendo coincidente con le problematiche di cui stiamo parlando, presenta elementi comuni, possibilità di soluzioni sinergiche ed in generale aumenta l’attenzione sull’ambito. Questo è importante. Negli USA magari per un certo periodo hanno prevalso altri driver, ma iniziative come il “Cybersecurity Enhancement Act” e il “Cybersecurity Information Sharing Act”, pur mantenendo una forte base di volontarietà, mi pare possano andare nella direzione giusta.
TIG. Nel frattempo, qualche raccomandazione per la sicurezza? ….
Raoul Brenna. Per iniziare, quelle generalmente applicabili ad ogni oggetto che ciascuno di noi interfaccia alla propria rete di casa e ai propri dati personali:
- segregazione,
- accessi limitati a quanto dovuto,
- abbinamento con utenze protette da secondo fattore e con limitazione dei permessi,
- applicazione degli aggiornamenti…
e ancora una volta …. buon senso e consapevolezza.
—————————————————
Come ridurre i rischi dell’Internet delle cose in ambienti Smart Building?
Il Webinar “Quanto è sicura la tua Smart Home?” del prossimo 16 Aprile, dalle ore 11.30 alle ore 12.30, con la partecipazione di Raoul Brenna, Responsabile della Practice “Information Security & Infrastructures” presso Cefriel (centro di innovazione digitale auto-finanziato fondato dal Politecnico di Milano, www.cefriel.com ) anticipando alcuni dei contenuti del CYBERSECURITY SUMMIT 2019 (il 22 maggio a Milano), ha l’obiettivo di far luce sui seguenti aspetti:
- Alcune casistiche eclatanti di compromissione in ambito Smart Home
- Perché è facile accedere a dati e a reti domestiche non protette
- L’evoluzione in tema di Certificazione di sicurezza e di security standard per l’Internet delle Cose
- Quali sono le best practice di sicurezza per configurare un ambiente Smart Building.
A conclusione del Webinar, durante una sessione interattiva di domande e risposte, i partecipanti potranno approfondire i temi presentati sulla base delle proprie esperienze e necessità.
