Home smart home. Ma la sicurezza?
Le violazioni ai dispositivi delle smart home sono all'ordine del giorno, ricorda D-Link. Per prevenire gli attacchi bisogna scegliere i prodotti con attenzione e adottare semplici regole di prevenzione.
I dispositivi smart per la casa sono una comodità. Il problema è che molti cyber criminali si sono specializzati negli attacchi proprio contro questa categoria merceologica. Complice il fatto che spesso si tratta di oggetti IoT con scarse misure di sicurezza, e che gli utenti non si preoccupano di verificare e cambiare nome utente e password, gli attacchi crescono in maniera esponenziale.
La lista degli incidenti occorsi con i dispositivi smart home è molto lunga. D-Link ne ha ricordati alcuni per rinfrescare la memoria ai consumatori e sottolineare l'importanza di un'attenta selezione in fase di scelta, che consideri anche la sicurezza.
Era il 2014 quando due genitori furono svegliati nel cuore della notte a un forte rumore proveniente dalla stanza del loro bambino di 10 mesi. Accorsi nella stanza, si resero conto che il rumore era la voce di un uomo adulto che gridava "Svegliati bambino!" tramite la telecamera di monitoraggio del bambino. Era evidente che il baby monitor era stato violato e qualcuno ne aveva preso il controllo attraverso Internet.
Passiamo all'ottobre 2016, quando centinaia di migliaia di dispositivi in Stati Uniti ed Europa furono dirottati nell'ambito di un gigantesco attacco DDoS condotto utilizzando la botnet Mirai. I cyber criminali avevano dirottato dispositivi connessi come SMART DVR e webcam e li avevano impiegati per sopraffare i server di Dyn, l'azienda che allora controllava gran parte dell'infrastruttura DNS. Il risultato fu che siti web tra cui Twitter, The Guardian, Netflix, Reddit, CNN e molti altri in Europa e negli Stati Uniti restarono inaccessibili per la maggior parte della giornata.
Sempre nel 2016 si verificò un altro attacco DDoS che coinvolse due condomini in Finlandia, prendendo di mira i sistemi che controllavano il riscaldamento centralizzato e la circolazione dell'acqua calda negli edifici. Gli impianti di riscaldamento entrarono in un ciclo di riavvio senza fine, lasciando di fatto le persone senza riscaldamento quando le temperature esterne erano sotto lo zero. Fu necessario disconnettere da Internet i sistemi interessati per riattivare il riscaldamento.
Due anni dopo un casinò fu hackerato tramite un termometro smart installato nell'acquario della hall. Gli attaccanti sfruttarono questo dispositivo connesso a Internet per entrare nella rete e accedere a dati sensibili.
Nel 2015 i ricercatori di sicurezza crearono un proof of concept per dimostrare quanto fosse facile hackerare una Jeep Cherokeee e prenderne il controllo. Senza entrare in contatto con il veicolo, fu possibile attivare il condizionatore, cambiare le stazioni radio, regolare il volume, attivare i tergicristalli e altro.
È facile liquidare alcuni di questi attacchi smart home e IoT come scenari improbabili, ma è ormai chiaro che non è così. I cyber criminali specializzati nella violazione di dispositivi IoT sferrano attacchi sempre più sofisticati sfruttando anche le più piccole falle.
Per questo motivo, quando si scelgono e si installano dispositivi smart per la casa ci sono alcune semplici regole da seguire per ridurre i rischi. Ad esempio, quando si scelgono telecamere per monitorare la casa o babymonitor, è meglio optare per soluzioni cloud con crittografia end-to-end, che abbassano il rischio di hacking. Inoltre, queste soluzioni possono offrire un ecosistema completo con altri sensori e spine intelligenti per accendere e spegnere gli elettrodomestici.
Un altro accorgimento importante è aggiornare sempre password e firmware, e cambiare eventuali password predefinite. I dispositivi meno recenti spesso hanno una password predefinita impostata dai produttori: se non modificata, può rendere il dispositivo estremamente suscettibile agli attacchi.
È inoltre consigliato familiarizzare con i controlli di sicurezza del router domestico per regolare l'esposizione a Internet. Ad esempio, la semplice disabilitazione dell'accesso remoto sul router può impedire che un attaccante ne prenda il controllo.
Ovviamente è imprescindibile l'installazione di un'adeguata protezione antivirus e antimalware sui computer di casa, poiché questi ultimi possono costituire per gli attaccanti un punto di ingresso nella rete domestica. Infine, prima di acquistare un nuovo dispositivo per la casa, è fondamentale capire quali garanzie di qualità e sicurezza offre.
La lista degli incidenti occorsi con i dispositivi smart home è molto lunga. D-Link ne ha ricordati alcuni per rinfrescare la memoria ai consumatori e sottolineare l'importanza di un'attenta selezione in fase di scelta, che consideri anche la sicurezza.
Il monitor smart per il bebé
Era il 2014 quando due genitori furono svegliati nel cuore della notte a un forte rumore proveniente dalla stanza del loro bambino di 10 mesi. Accorsi nella stanza, si resero conto che il rumore era la voce di un uomo adulto che gridava "Svegliati bambino!" tramite la telecamera di monitoraggio del bambino. Era evidente che il baby monitor era stato violato e qualcuno ne aveva preso il controllo attraverso Internet.
Un DDoS storico
Passiamo all'ottobre 2016, quando centinaia di migliaia di dispositivi in Stati Uniti ed Europa furono dirottati nell'ambito di un gigantesco attacco DDoS condotto utilizzando la botnet Mirai. I cyber criminali avevano dirottato dispositivi connessi come SMART DVR e webcam e li avevano impiegati per sopraffare i server di Dyn, l'azienda che allora controllava gran parte dell'infrastruttura DNS. Il risultato fu che siti web tra cui Twitter, The Guardian, Netflix, Reddit, CNN e molti altri in Europa e negli Stati Uniti restarono inaccessibili per la maggior parte della giornata.
Riscaldamento che congela
Sempre nel 2016 si verificò un altro attacco DDoS che coinvolse due condomini in Finlandia, prendendo di mira i sistemi che controllavano il riscaldamento centralizzato e la circolazione dell'acqua calda negli edifici. Gli impianti di riscaldamento entrarono in un ciclo di riavvio senza fine, lasciando di fatto le persone senza riscaldamento quando le temperature esterne erano sotto lo zero. Fu necessario disconnettere da Internet i sistemi interessati per riattivare il riscaldamento.
Dal termometro alle slot machines
Due anni dopo un casinò fu hackerato tramite un termometro smart installato nell'acquario della hall. Gli attaccanti sfruttarono questo dispositivo connesso a Internet per entrare nella rete e accedere a dati sensibili.
Le smart car
Nel 2015 i ricercatori di sicurezza crearono un proof of concept per dimostrare quanto fosse facile hackerare una Jeep Cherokeee e prenderne il controllo. Senza entrare in contatto con il veicolo, fu possibile attivare il condizionatore, cambiare le stazioni radio, regolare il volume, attivare i tergicristalli e altro.
Conclusioni
È facile liquidare alcuni di questi attacchi smart home e IoT come scenari improbabili, ma è ormai chiaro che non è così. I cyber criminali specializzati nella violazione di dispositivi IoT sferrano attacchi sempre più sofisticati sfruttando anche le più piccole falle.Per questo motivo, quando si scelgono e si installano dispositivi smart per la casa ci sono alcune semplici regole da seguire per ridurre i rischi. Ad esempio, quando si scelgono telecamere per monitorare la casa o babymonitor, è meglio optare per soluzioni cloud con crittografia end-to-end, che abbassano il rischio di hacking. Inoltre, queste soluzioni possono offrire un ecosistema completo con altri sensori e spine intelligenti per accendere e spegnere gli elettrodomestici.
Un altro accorgimento importante è aggiornare sempre password e firmware, e cambiare eventuali password predefinite. I dispositivi meno recenti spesso hanno una password predefinita impostata dai produttori: se non modificata, può rendere il dispositivo estremamente suscettibile agli attacchi.
È inoltre consigliato familiarizzare con i controlli di sicurezza del router domestico per regolare l'esposizione a Internet. Ad esempio, la semplice disabilitazione dell'accesso remoto sul router può impedire che un attaccante ne prenda il controllo.
Ovviamente è imprescindibile l'installazione di un'adeguata protezione antivirus e antimalware sui computer di casa, poiché questi ultimi possono costituire per gli attaccanti un punto di ingresso nella rete domestica. Infine, prima di acquistare un nuovo dispositivo per la casa, è fondamentale capire quali garanzie di qualità e sicurezza offre.
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 21
WithSecure - Gestione delle Vulnerabilità e Regolamentazione NIS2
Mag 23
AWS Summit 2024 - Milano
Mag 30
Be Connected Day
Magazine Tutti i numeri
G11 Media Networks
ImpresaCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
