Si possono passare ore a guardare una cucina di una casa inglese, senza che gli abitanti lo sappiano. O la piazza di Lorsch, in Germania. C'è un bar da qualche parte in Lombardia: non sapete dov’è, ma magari chi vedrà la foto in questo pezzo lo potrebbe riconoscere. O un negozio di occhiali in Italia. Anzi due negozi, probabilmente della stessa catena: quelle telecamere le avrà installate la stessa persona.
Benvenuti nel mondo dell’IoT, l’internet delle cose, un mare di possibilità che abbiamo inquinato di superficialità, senza prendere sul serio il problema della sicurezza, della privacy, del possesso dei dati. Gli esempi fatti sopra non sono inventati: le telecamere di sicurezza di questi luoghi, insieme a migliaia di altre in tutto il mondo, trasmettono dati sulla rete e sono accessibili a chiunque sappia come cercarle. E c’è di tutto, comprese immagini potenzialmente riprese nelle camere da letto dei bambini, attraverso babycam connesse ma non protette.
“Il tema della sicurezza dell’Internet of Things riguarda tutti”, spiega Gianluca Varisco, Chief Information Security Officer di Arduino. “Ci riguarda tutti anche solo per una questione numerica. La stima è che nel 2019 esistano 20 miliardi di dispositivi connessi, ovvero qualsiasi dispositivo che ha una certa potenza computazionale e la possibilità di inviare o ricevere dati. Nel 2035 saranno mille miliardi. Questi dispositivi dovranno trasmettere dati sensibili per la nostra sicurezza e la privacy in maniera sicura”.
Varisco sarà a Roma l’8 novembre, in occasione di Code4Future, l’evento di due giorni organizzato da Html.it in collaborazone con Seedble di cui Repubblica e Mashable Italia sono media partner. Il suo intervento sulla sicurezza dell’IoT ha come titolo The Bad, the Ugly and the Weird of Iot, ovvero il Cattivo, il Brutto e lo Strano dell’Internet delle cose. Noi gli abbiamo chiesto di anticiparci quali sono, questi tre nemici della nostra sicurezza. E lui ci ha spaventato per bene.
Le telecamere vi spiano: il Cattivo dell'IoT
Potremmo dire che il fenomeno delle telecamere che abbiamo elencato all'inizio o le altre che vedete in questa pagina sono il Cattivo, anche se il sito da cui le abbiamo prese le espone online come denuncia. E mostra solo quelle più ‘innocue’, se così si può dire. Ma già nel 2015 alcuni esperti sono stati in grado di estrarre dati - nello specifico audio - registrati da una Barbie connessa a internet. Sì, le voci dei vostri bambini alla mercè di malintenzionati.
Il Brutto dell'IoT: entrare nei pacemaker
Siamo passati poi al Brutto, che più che brutto sembra proprio una trama uscita da un film horror. Per fortuna senza conseguenze reali. “I pacemaker sono dispositivi che mandano e ricevono informazioni - spiega Varisco - il problema è che in alcuni casi non sono sicuri: alcuni ricercatori, qualche anno fa, sono riusciti come esperimento a prendere da remoto il controllo di un chip non impiantato su nessun paziente e inviargli dei comandi”. In pratica i ricercatori sarebbero stati in grado di accedere a un pacemaker impiantato su un paziente e consumargli la batteria, accelerare o rallentare il battito del cuore o inviare degli shock. L’azienda che li aveva prodotti è stata costretta a sostituirli.
Lo Strano dell'IoT: entrare in un casinò attraverso l'acquario
Per sorridere un po’, siamo dovuti passare allo Strano, che sembra un film stile La Stangata, o se preferite Ocean’s Eleven. Infatti c’è stato un caso in cui dei malintenzionati sono riusciti a entrare nei sistemi informatici di un casinò di Las Vegas passando da un dispositivo connesso a internet che aveva il compito di dare cibo ai pesci di uno degli acquari dell’hotel. Una volta entrati lì dentro, hanno potuto muoversi in altri applicativi del casinò, compresi quelli che gestivano la contabilità e le carte di credito.
Le sfide per la sicurezza in questo settore sono molte: “Il fatto è che i dispositivi IoT – va avanti Varisco – non sono mai un prodotto unico, ma sono composti da elementi di più fornitori. Con livelli di sicurezza diversi. E’ un disastro di dipendenze e superfici di attacco”. Proviamo a farcelo spiegare in parole povere: un dispositivo di IoT può avere vulnerabilità a livello di software, di app, di sito web che lo gestisce, di comunicazione radio, di credenziali, di come i dati vengono salvati su cloud.
Il consumatore è in balia di tutta questa insicurezza, che non dipende da lui: “No, non ci sono bollini o certificazioni che dicano che quel dispositivo è sicuro. I cittadini hanno ragione a sentirsi impotenti, ma bisogna spingere su governi, produttori ed enti regolatori perché questi temi diventino centrali”. Dovrebbero essere immessi in commercio, continua Varisco, dispositivi che usino la cifratura come standard, che chiedano la rotazione delle password come default e che non espongano sul web servizi non necessari. E ancora: “E’ necessario fare ricerca ed è necessario che le aziende riconoscano il ruolo di chi trova vulnerabilità. Invece spesso denunciano il segnalatore per aver violato i loro dispositivi”.
Ma non c’è proprio nulla che possano fare gli utenti? “Come detto, gran parte del lavoro devono farlo altri soggetti. Ma i singoli cittadini devono certamente migliorare la consapevolezza della propria identità digitale. Non usare la stessa password per più account. Utilizzare l’autenticazione a due fattori, una cosa a cui con le banche ci stiamo abituando”. Insomma, per gli utenti finali intanto il consiglio è assicurarsi che i dispositivi abbiano password sicure.
Code4Future: partecipate all'evento (con lo sconto)
Code4Future è un evento che si svolgerà l'8 e il 9 novembre a Roma, al Talent Garden Ostiense (via Ostiense 92), uno spazio innovativo nel cuore della città. Si tratta di una due giorni (programma) di incontri e panel per capire come piattaforme digitali e tecnologie emergenti stanno impattando sul nostro modo di fare innovazione, e per formarsi in 4 aree di business chiave per facilitare la trasformazione digitale.
Fonte: Repubblica.it
Nessun commento:
Posta un commento