La casa è diventata una smart home e si apre a una ridda di nuovi problemi di sicurezza, per fortuna minimizzabili con qualche accortezza.
Il punto principale è ponderare con la massima accortezza – spesso lo si fa poco, o troppo tardi – la scelta degli accessori IT, fondamentale in ottica di sicurezza.
Partiamo dalle basi.
Quale router scegliere
Per prima cosa direi che bisogna valutare quale device mi permetterà di realizzare la mia casa connessa. Ora io so che il prezzo la fa da padrone ma cerchiamo almeno di informarci bene su quale device intendiamo adottare.
Dando per scontato che comprerò un router che sarà anche l’access point per i miei device domestici dovrò informarmi molto bene sulle caratteristiche.
L’approccio utile è quello di pensare sempre in modalità “security”, vale a dire orientarsi nelle scelte per il device che mi garantisce la sicurezza migliore.
Molti brand in passato hanno avuto dei grossi problemi di vulnerabilità nei firmware di propri prodotti, complice forse anche il presupposto che l’ambito residenziale si potesse un po’ trascurare. Ciò non toglie che, come per altri settori, è bene affidarsi ad un brand conosciuto. Questo più che altro perché sarà più facile reperire informazioni e caratteristiche sia sul sito corporate sia nei vari siti che svolgono test sui prodotti di ambito domestico.
Oggi sul mercato sono a disposizione modelli per tutte le esigenze: da preferire i modelli che hanno dotazione di sicurezza: quindi firewall attivi e configurabili, la possibilità di gestire i MAC address dei device che saranno agganciati (giusto per una sicurezza in più).
Orienterei, inoltre, la scelta su un prodotto che provveda ad aggiornarsi autonomamente e che si possa monitorare con una semplice app sullo smartphone: questo ha molteplici vantaggi. Per prima cosa consente al brand di rilasciare aggiornamenti in vista di vulnerabilità rilevate ed il prodotto si aggiornerebbe immediatamente senza bisogno del mio intervento. In più, potendo monitorare il router tramite una semplice app, posso verificare se qualcuno ha “bucato” il mio wi-fi ed è connesso alla mi rete.
Ci sono modelli disponibili sul mercato che offrono, compreso nel prezzo, soluzioni software antivirus cross platform (ad esempio licenza fino a 5 device che si collegano al router come pc, smartphone ecc.).
Non dimentichiamoci che la sicurezza deve essere garantita da protocollo WPA e WPS. Il WPA sarebbe da preferire nella versione 3 che garantisce in ogni caso accesso anche ai device che sono ancora individuabili nella versione precedente del protocollo. Ci sono alcune vulnerabilità (come quella che consentirebbe attacchi di tipo side-channel) mai brand sono in uscita (o sono già usciti) con gli aggiornamenti del caso.
Per ciò che riguarda il protocollo WPS consente connessioni solo di tipo infrastruttura isolando il perimetro dei device solamente in un ambito interno, proprio per l’interazione fisica che ci dev’essere per connettere i dispositivi (cioè premere il pulsante WPS per attivare la negoziazione tra i device da collegare). Da tenere in considerazione che si sconsiglia il metodo PIN in quanto è accertata la vulnerabilità ad attacchi brute force.
Casa connessa: lo storage
Effettuata la scelta del router, per molti il secondo device in termini di importanza sarà sicuramente lo storage o, a seconda delle priorità, altri device che si possono definire veri e proprio IoT.
Molte considerazioni si possono fare ma, anche in questo caso, il mio consiglio rimane sempre quello di attuare una visione principale sulla parte di sicurezza. Come per i router, le riviste specializzate sono piene di articoli sulle vulnerabilità che si sono verificate nei dispositivi che comunemente potremmo installare a casa nostra.
Ad esempio, anche alcuni NAS hanno avuto alcune problematiche legate alla sicurezza dei dati: dobbiamo porre massima attenzione poiché se decidessimo di mantenere i nostri dati su uno storage a valle del router dovremmo scegliere un modello di una marca conosciuta per poter ricercare sul web prove e test effettuati da riviste specializzate.
Abbiamo deciso, quindi, di conservare i dati a casa nostra e, personalmente, ritengo una scelta che condivido: molti decidono piuttosto di spendere il proprio denaro in un cloud storage ma tenete sempre in considerazione che il cloud che io utilizzo è semplicemente lo storage nel server di qualcun altro.
Che lo utilizzi dal pc o da un’app devo sempre ricordarmi di mantenere sano il mio device con gli strumenti software (antivirus ecc.) che posso installare per evitare di scaricare software malevolo. Soprattutto sullo smartphone e sui tablet, la possibilità di incorrere in software malevoli camuffati da app che risultano apparentemente affidabili è molto frequente: la conseguenza è l’apertura di una breccia nella nostra sicurezza (proveniente proprio da un device che dovrebbe essere affidabile) con la possibilità che i nostri dati possano essere resi indisponibili o, peggio ancora, sottratti.
Il fatto che tali app siano disponibili al download sugli store, come già successo in passato, non garantisce sempre la loro affidabilità. L’unica possibilità per prevenire problemi è sempre una sola: informarsi.
Videocamere
Un passo importante arriva quando c’è la volontà (o la necessità) di installare una videocamera all’interno della rete di casa. I modelli più recenti sono dei veri e proprio server di videosorveglianza e sono dotati di ogni accessorio. Illuminazione IR, slot MicroSD, registrazione audio/video e software già dotato di motion detection con la possibilità di configurare gli eventi (ad esempio scatta la foto ed inviala via mail immediatamente al mio indirizzo).
Alcune cautele. Per prima cosa, se l’intento è quello di aumentare la sicurezza, bisogna osservare le regole che sono imposte per l’utilizzo della registrazione soprattutto per quel che riguarda il perimetro esterno. È buona cosa informarsi bene per non incorrere in spiacevoli conseguenze di fronte alla normativa vigente.
Se l’ambito dell’utilizzo rimane solo interno, bisogna assicurarsi che il software non presenti vulnerabilità. Ad esempio, nei giorni scorsi è emerso che i modelli di alcuni brand contenessero la password di default in chiaro. Un problema che affliggerebbe i Ring Doorbells Video di Amazon, consentirebbe agli hackers di intercettare le credenziali della rete Wi-Fi e bypassare la sicurezza domestica.
Per non parlare sempre delle vulnerabilità scoperte di Amazon Echo che ormai sono note a tutti.
Per rimanere ancora un attimo in ambito di videosorveglianza, è doveroso segnalare che sfruttare una vulnerabilità può causare delle conseguenze impreviste e gravi.
Non si può non considerare quanto successo tre anni fa, quando milioni di videocamere sono state violate per costituire una botnet al fine di perpetrare un attacco Denial. È stato il più grosso attacco utilizzando dei sistemi IoT: come tali i dispositivi si connettono tramite la nostra linea domestica e tale viene individuata se uno dei dispositivi ad essa connessi dovesse essere il mezzo con il quale si è realizzato un reato.
Ci tengo a ricordare, forse in maniera semplicistica ma rende l’idea, che le “botnet” sono delle reti di dispositivi che vengono trasformati in “zombie” digitali sotto il controllo di cyber criminali che possono utilizzarli come meglio credono e secondo le potenzialità di quel determinato device.
Quando un hacker sfrutta la nostra connettività, è l’IP della nostra linea che appare alla vittima e, in caso di tracciamento, mi troverò a dover dar conto a chi di dovere magari non essendo nemmeno consapevole di ciò che è successo bensì, reo di essere stato superficiale nella configurazione dei miei apparati.
Televisori, sistemi di allarme, climatizzatori, frigoriferi
Televisori smart, frigoriferi, climatizzazione remota, sistema di allarme intelligenti: sono oggetti interessanti e sicuramente utili ma bisogna essere consapevoli, come per altri prodotti, che è impensabile adottare una tecnologia e non doverla aggiornare quando è necessario: occorre tenere ben presente che qualsiasi device che possa avere un riscontro di vulnerabilità (e direi quasi tutti) necessita di cure e di manutenzione.
Va posta, inoltre, ancora maggiore attenzione su tutti quei sistemi di controllo intrusioni che si trovano sul mercato. Sono veri e propri sistemi di allarme che, se hackerati, possono subire modifiche sulla configurazione (ad. esempio chiamare un numero sbagliato in caso di intrusione) oppure venire disabilitati per permettere un accesso fraudolento senza allarmi.
Se qualcuno si domanda chi è perché dovrebbe proprio entrare nel mio sistema casalingo o a chi interessa farlo, vorrei solo portare all’attenzione il caso del Texas nel 2018 dove un uomo ha hackerato il baby monitor di una famiglia e quindi, oltre alle immagini video che vedevano anche i genitori, minacciava tramite l’altoparlante del device di rapire il bambino.
Questo è il motivo per il quale il Parlamento europeo ha chiesto nuove garanzie per gli utenti e la Commissione Ue ha introdotto il Cybersecurity Act. Si conta che le 2020 oltre il 95% degli oggetti sarà connesso: non solo IoT ma anche i giocattoli.
Voice recognition
Lungi dal voler fare del complottismo spicciolo, ritengo che l’introduzione del voice recognition è arrivata proprio nel momento giusto.
Parliamo di Amazon Echo, di Alexa o di Google Home o più semplicemente di una funzionalità che dovrebbe rendere la nostra vita molto più smart, grazie alla quale possiamo delegare a degli oggetti alcune funzioni senza la scocciatura di dove interagire con il device se non con un semplice comando vocale.
Parliamo quindi di sintesi vocale, parliamo di intelligenza artificiale ma parliamo anche di un device che si interfaccia in maniera profonda nella nostra quotidianità e nella nostra casa e, non possiamo negarlo, col quale si instaura una sorta di fiducia (intesa come prova negativa del non fidarsi: se ho constatato che non è un pericolo, mi fido). Ancora di più se quel determinato device “intuisce” dal modo con il quale saluto entrando in casa che oggi sono stressato e decide di caricarmi una determinata musica. Perché semplicemente è una query che interroga dei dati che io ho fornito da quando l’ho attivato fino ad oggi e che l’oggetto ha conservato in memoria.
Ci ricorda qualcosa? Beh, sì.
Nel 2017 Kaspersky nel suo blog intitolava un articolo nel quale scriveva:
“Cosa succederebbe se non fosse solo il Grande Fratello a poter usare il teleschermo ma potesse farlo anche chiunque in possesso delle competenze adeguate? E cosa succederebbe se quel teleschermo venisse utilizzato non solo per la propaganda politica ma anche per trasmettere pubblicità personalizzata: ad esempio, vi lamentate con il vostro coniuge del mal di testa e vedete immediatamente uno spot di un antidolorifico? Non si tratta più della trama di un romanzo distopico; è quasi realtà (forse è un po’ futuristico ma ha tante opportunità di diventare reale nel prossimo futuro).
Siamo già circondati da aspiranti teleschermi e le loro nuove funzionalità (come gli assistenti vocali) possono diventare nuove minacce.
Gli assistenti virtuali come Apple Siri si trovano sugli smartphone, sui tablet e sui portatili oppure sui dispositivi fissi come gli altoparlanti di Amazon Echo o di Google Home. La gente utilizza questi dispositivi per accendere o spegnere la musica, controllare le previsioni meteo, modificare la temperatura della stanza, ordinare prodotti in rete e fare molte altre cose.
Questi attenti microfoni possono arrecare danni? Certo. La prima cosa che mi viene in mente è la fuga di dati personali e aziendali. Ma ce n’è un’altra che può far guadagnare molti soldi ai cybercriminali: dettate i numeri delle carte di credito e le password uniche quando compilate i moduli online sui siti?
Gli altoparlanti intelligenti sono in grado di interpretare le voci anche in ambienti rumorosi o con la musica ad alto volume. Non c’è bisogno nemmeno di parlare in maniera chiara per essere compresi: per esperienza personale vi dico che l’assistente vocale di Google di un comune tablet Android a volte comprende un bambino di tre anni meglio degli stessi genitori.
Ecco un paio di storie che potranno sembrare divertenti e preoccupanti allo stesso tempo. Riguardano tutte diversi assistenti vocali e gadget intelligenti. Gli autori di fantascienza hanno sempre sognato di avere macchine con cui poter parlare, ma nemmeno loro avrebbero potuto immaginare che situazioni del genere sarebbero potute diventare realtà.”
Oggi la tecnologia ha fatto progressi ed è innegabile che il voice recognition sia uno degli sviluppi principali dell’intelligenza artificiale. Quindi veri e propri strumenti di interazione con l’uomo anche se il loro funzionamento non è ancora del tutto chiaro.
Sembra, ad esempio, che Amazon impieghi migliaia di persone per lo sviluppo di Alexa. Cioè per essere più precisi, dietro ad Alexa c’è un nutrito gruppo di persone che ascoltano le registrazioni non tanto per entrare nelle case nelle persone (almeno non sarebbe lo scopo primario) bensì per permetter che il funzionamento di Alexa migliori in ambito di interazione.
Ciò e non altro comporterebbe una maggiore “affinità” e forse l’obiettivo è trasformare un dialogo che oggi è “Alexa ho fame” ad una conversazione sensata tra un essere umano e l’AI che ci sta ascoltando.
Bene, credo che se non consideriamo tutti le possibili connessioni con la profilazione predittiva (altro ambito in forte sviluppo permesso proprio grazie all’AI) la domanda è: quanto e cosa Alexa ascolta di noi? Quanto si potrebbe relazionare l’ascolto con l’insinuazione nei media casalinghi di messaggi che cercano di condizionare le mie scelte?
Quanto tutto ciò impatta sulle menti più giovani?
Io credo che alla fin fine si parta sempre da un punto: sapere. Credo che sia indispensabile che la decisione di dotarsi di questi strumenti debba essere valutata in tutti i suoi aspetti.