TaccolaBravi, compratevi gli smart toys che poi vi spiano e vi disattivano l’antifurto

Ci stiamo circondando di oggetti semplici da hackerare. Gli attacchi si moltiplicano e difendersi è complicato. L’esperto di cybersecurity Mirko Gatto: «Serve innanzitutto la consapevolezza dei rischi»

KAZUHIRO NOGI/AFP/Getty Images

Li avete presi, sono ancora impacchettati o appena scartati: sono i vostri smart toys, bambole o robot connessi alla rete, che si aggiungono agli altri oggetti collegati a Internet che cominciano a diffondersi nelle vostre case. Fanno cose divertenti: alcuni rispondono ai comandi vocali, ballano, cantano, registrano suoni, emettono luci e si comandano manualmente o da tablet. Altri robot sono in grado anche di imitare i movimenti grazie alla telecamera di cui dispongono. Spesso hanno un valore educativo e li avete comprati pensando ai tanti vantaggi che possono portare. È molto più difficile che abbiate pensato anche ai rischi a cui andate incontro. Eppure sarebbe il caso di farlo, perché la loro vulnerabilità rispetto ad attacchi da parte di hacker è alta. Lo spiega un’analisi di Yarix, una società di Montebelluna (Treviso) specializzata in sicurezza informatica e inserita dal ministero dell’Interno tra le aziende di interesse strategico nazionale.

«In misura crescente, la trasformazione digitale dei sistemi produttivi e di comunicazione presta il fianco alla criminalità informatica, che ne coglie gli aspetti di vulnerabilità – si legge in una nota della società -. È questo il caso dei dispositivi Internet of Things, grazie ai quali si sta realizzando la prospettiva di un mondo interconnesso tramite stampanti, smart TV, ma anche termostati, webcam, semafori, centrali elettriche, etc. Violando questi dispositivi – spesso protetti da semplici password predefinite – i cracker hanno facile accesso alle reti hardware e software nei pubblici uffici, nelle fabbriche e in altre infrastrutture potenzialmente sensibili».

Ma quanto è grave il fenomeno? Secondo la società Akamai, nel terzo trimestre 2016 gli attacchi Ddos (distributed denial of service) con una potenza di fuoco superiore ai 100 Gigabit al secondo sono stati 19. Rispetto allo stesso periodo del 2013 l’incremento è stato del 138%, mentre rispetto al terzo trimestre 2015 l’incremento è stato del 71 per cento. In questo contesto, spiegano da Yaris, l’Italia figura all’ottavo posto tra le nazioni più vulnerabili tramite i sistemi digitali di controllo industriale “Scada”. Lo ha evidenziato il motore di ricerca Shodan, che indicizza i dispositivi IoT per tipologia, produttore e modello, consentendo di individuare possibili falle di sicurezza a chiunque, in un click e senza costi.

I dispositivi IoT, come stampanti, smart Tv, termostati o smart toys, sono facilmente attaccabili, anche perché spesso sono protetti da semplici password predefinite

Secondo Mirko Gatto, fondatore di Yarix, «lo spartiacque è stato lo scorso 21 ottobre, quando c’è stato il primo attacco su scala mondiale basato sull’IoT». In quell’occasione ci fu un attacco DDos al provider Dyn, che fornisce servizi di Domain Name System a siti web come Netflix, Twitter o eBay. Facendo leva sulle vulnerabilità delle webcam prodotte da un’azienda cinese – spiega una nota di Yarix – , la botnet Mirai ha bombardato i server con richieste provenienti da oltre 10 milioni di indirizzi IP. «Per noi è stato un segnale – continua Gatto -. Abbiamo preso coscienza del fatto l’IoT sta raggiungendo un numeri importanti. È stato un attacco sincronizzato a 4 milioni di dispositivi e ha spostato di livello il problema della sicurezza». Più recente ancora è stato l’attacco di Mirai alla Telekom tedesca: sono state messe fuori uso le connessioni internet e telefoniche di circa un milione di utenti, con router trasformati in dispositivi zombie.

Ma se le aziende hanno da tempo imparato a convivere con il rischio di attacchi hacker, ora potrebbe toccare alle famiglie. «Ci sono state varie dimostrazioni della possibilità degli attacchi», spiega Gatto. Alcuni sono stati anche divertenti: negli Stati Uniti un bambino ha continuato a ripetere ai genitori di sentire delle voci di notte. È stato portato da uno psicologo e solo dopo qualche giorno i genitori hanno scoperto che degli hacker si erano collegati al baby monitor e parlavano effettivamente al bambino. Una burla, ma che fa capire quanto siano reali i pericoli che ci siano delle intrusioni. «Uno dei rischi più concreti è quello di essere spiati, perché molti di questi oggetti connessi, tra cui i giocattoli, hanno microfoni o telecamere – spiega Gatto -. Pensiamo a un dirigente d’azienda: con una intercettazione ambientale potrebbero essere captati discorsi riservati sulla strategia della sua società». Un altro rischio è legato alla disattivazione degli antifurti. Ma, man mano che aumentano i dispositivi connessi alla rete, dai termostati ai forni, si incrementano anche le potenziali fonti di attacco.

Come difendersi da questi attacchi? «La prima cosa da fare è prendere coscienza di cosa ci si sta portando a casa» risponde il fondatore di Yarix. Strumenti classici di difesa, quando ci sia la possibilità tecnica, sono i firewall e gli antivirus. Ma potrebbero non bastare: la verità è che, a meno di effetti macroscopici come lo spegnimento di luci o la disattivazione di antifurti, potremmo non accorgerci mai di essere sotto attacco, per esempio di essere spiati. «Bisognerebbe avere un sistema di monitoraggio attivo verso i dispositivi», dice Gatto. Il fatto, però, è che non parliamo di sistemi molto accessibili. La Yarix, che a Montebelluna è situata in un bunker isolato a prova di attacchi, fornisce questi servizi per le aziende. E le famiglie? «A casa si possono usare degli strumenti per difendersi, anche open source – commenta il consulente informatico -. Si può fare anche se se servono conoscenze tecniche non banali».

Uno dei rischi più concreti è quello di essere spiati, perché molti di questi oggetti connessi, tra cui i giocattoli, hanno microfoni o telecamere. Pensiamo a un dirigente d’azienda: con una intercettazione ambientale potrebbero essere captati discorsi riservati sulla strategia della sua società

Anche il fronte aziendale, tuttavia, è tutt’altro che preparato. Secondo la 19esima edizione dell’EY Global Information Security Survey (Giss), che ha coinvolto 1.735 organizzazioni a livello globale, solo il 50% degli intervistati a livello globale dichiara di avere oggi le capacità per rilevare un attacco informatico sofisticato; l’86% afferma che la propria funzione di cybersecurity non soddisfa ancora pienamente le esigenze dell’organizzazione di cui fa parte e il 42% delle aziende dichiara di non disporre di una strategia condivisa o di un piano da attuare in caso di un attacco con impatti significativi.

Eppure si tratta di un fenomeno concreto: alla domanda relativa ad incidenti di sicurezza recenti e di natura significativa, oltre la metà (57%) degli intervistati ha dichiarato di averne subito uno. E il 48% ha evidenziato come gli strumenti obsoleti per il controllo della cybersecurity e delle architetture di sicurezza costituiscano la maggior vulnerabilità per la propria organizzazione (+ 34% rispetto al 2015).

Va peggio in Italia, dove sale al 97% la percentuale di chi dichiara di avere una funzione di Cybersecurity non pienamente in linea con le proprie esigenze: quasi due terzi (65%) non dispone di un programma formale e strutturato di Threat Intelligence, mentre quasi la metà non possiede metodi e strumenti tecnologici adeguati per identificare le vulnerabilità.

X