L’Internet delle cose è fatta di cose troppo vulnerabili

L'espressione un po' modaiola Internet delle cose indica la tendenza odierna a collegare a Internet qualunque cosa: non soltanto i classici computer, tablet, telefonini, ma anche altri dispositivi di ogni genere, come televisori, frigoriferi, tostapane, sensori antifurto e antincendio, e altro ancora. Se non è connesso, non è cool.

L'idea in sé non è malvagia: è la sua realizzazione pratica che lascia molto a desiderare. I dispositivi che vengono connessi a Internet, infatti, sono troppo spesso dei colabrodo in termini di sicurezza. Connetterli significa che un'aggressione, invece di fare dei danni ai nostri dati, può fare dei danni alle nostre cose materiali. Immaginate, per esempio, un sensore di fumo che viene disattivato da un attacco informatico, o una webcam antifurto che diventa uno strumento per spiare in casa perché la sua password è scavalcabile.

Ci sono due problemi di fondo. Il primo è che chi produce il software di questi oggetti non ha l'abitudine di pensare alla sicurezza, come invece ce l'hanno i produttori di software per computer, che a furia di prendere bastonate e collezionare figuracce e cause legali si sono resi conto che la sicurezza non è un optional. Il secondo è che queste “cose” hanno quindi bisogno di correzioni e aggiornamenti del proprio software esattamente come i normali computer, ma non siamo abituati a pensare che una lampadina o una lavatrice debbano essere aggiornati e quindi spesso i dispositivi restano vulnerabili anche dopo che il produttore ha realizzato l'aggiornamento, semplicemente perché gli utenti non sanno di dover cercare del software più recente.

Alla carrellata di “cose” vulnerabili si aggiunge ora il termostato “intelligente” (si fa per dire) Heatmiser, che si collega alla rete Wi-Fi domestica e che secondo il ricercatore di sicurezza Andrew Tierney è pieno di falle di sicurezza. Una fra tutte: l'accesso via Internet è protetto (si fa sempre per dire) da un PIN a quattro cifre e non ci sono limitazioni al numero di tentativi di immetterlo, per cui in un'ora e mezza si possono far passare tutti i PIN possibili fino a trovare quello giusto. Ma in realtà non serve tentare d'indovinare questa password, perché basa visitare l'indirizzo IP del termostato con la stringa http://[indirizzoip]/left.htm. Il motore di ricerca Shodan trova migliaia di questi termostati che sono potenzialmente manipolabili da chiunque se non vengono aggiornati.

Non è l'unico esempio, purtroppo: oltre alle “smart TV” ficcanaso e aggredibili di LG, Samsung e Philips ci sono anche i telefoni Cisco vulnerabili e le stampanti HP alle quali basta far stampare un documento appositamente confezionato per prenderne il comando e farsi mandare via Internet copia di tutto quello che viene stampato.