Contatori intelligenti, sicurezza stupida? Hacking the Internet of Things

[ware_item id=33][/ware_item]

Contatori intelligenti, sicurezza stupida? Hacking the Internet of Things


Secondo il Dipartimento per l'energia e i cambiamenti climatici del Regno Unito, quasi 100.000 contatori intelligenti sono stati installati nelle case durante il secondo trimestre del 2014 - in Spagna, milioni di questi dispositivi di monitoraggio energetico sono pronti per essere installati entro il 2018. Come notato da una recente BBC l'articolo, tuttavia, sfruttando l'Internet of Things (IoT) non è privo di rischi: nonostante la loro "intelligenza", i contatori e altri tipi di tecnologia di automazione domestica possono essere facilmente hackerati.

Casa dolce casa?

I ricercatori indipendenti Javier Vidal e Alberto Illera hanno smontato un contatore intelligente per vedere se poteva essere compromesso. Hanno scoperto le chiavi di crittografia sepolte nel firmware del dispositivo che sono state utilizzate per comunicare con "nodi" più in alto nel sistema di distribuzione dell'alimentazione. Con le chiavi e il numero ID univoco del contatore in mano, Vidal e Illera hanno scoperto di poter inviare falsi messaggi alla compagnia elettrica, sotto o riportando in eccesso la quantità di energia utilizzata. Hanno anche avvertito che potrebbe essere possibile per i criminali falsificare gli ID utente ed evitare di pagare del tutto, o addirittura interrompere l'alimentazione a case specifiche. La coppia ha portato i loro risultati al produttore, che ora sta lavorando per risolvere il problema.

Ma come ha scoperto l'analista di Kaspersky Lab David Jacoby, i contatori intelligenti non sono le uniche macchine connesse a rischio nella tua casa. Ad agosto, Jacoby ha tentato di hackerare i dispositivi di casa sua e ha scoperto che "due dispositivi di archiviazione NAS (Network Attached Storage) popolari contenevano più di 14 vulnerabilità che potevano consentire l'esecuzione di comandi di sistema remoti con i più alti privilegi amministrativi". Inoltre, le password per i dispositivi erano sia deboli che non crittografati, offrendo agli aggressori un modo semplice per installare strumenti dannosi o eseguire attacchi sulla sua rete domestica. Anche il router DSL e la smart TV di Jacoby erano vulnerabili: il router aveva funzioni nascoste denominate "telecamere Web" e "controllo degli accessi", mentre la televisione non utilizzava autenticazione o crittografia durante il download di contenuti come miniature o widget, rendendolo sensibile all'uomo -in-the-middle (MitM) attacchi.

Di nuovo in viaggio

Se i dispositivi connessi a casa tua sono sotto assedio, puoi sempre scappare saltando in macchina e guidando verso il tramonto, giusto? Sfortunatamente no. L'economista osserva che "le auto moderne sono essenzialmente una collezione di computer su ruote" e i ricercatori hanno già dimostrato che è possibile hackerare questi sistemi e prendere il controllo. Ciò include piccoli fastidi come cambiare la stazione radio o regolare la temperatura in attività più pericolose come strappare la ruota da un lato o ridurre la potenza del motore. Fortunatamente, la maggior parte di questi attacchi richiede l'accesso diretto all'auto stessa, ma la velocità di adozione dell'IoT sta iniziando a superare anche questo tipo di sicurezza fisica.

E sì, peggiora. L'esperto di sicurezza Jay Radcliffe ha scoperto che era possibile hackerare la sua pompa per insulina wireless e modificare la quantità di insulina somministrata, rendendolo effettivamente un bersaglio per una specie di omicidio wireless. Billy Rios della società di sicurezza Qualys afferma che "in alcuni dispositivi medici ci sono solo difetti super semplici".

Ritorno all'età della pietra?

Non è tutto negativo, le aziende tendono ad essere ricettive quando i ricercatori scoprono difetti e molti ovvi problemi con dispositivi IoT domestici indossabili e connessi sono già stati risolti. Ma cosa possono fare gli utenti finali per limitare il rischio?

Un'opzione è quella di trasmettere l'IoT del tutto, ma con i governi che si affrettano a connettere in modalità wireless infrastrutture critiche e monitorare l'utilizzo domestico di energia, questo diventerà progressivamente più difficile. Parte della soluzione deriva dalla pressione sociale: gli utenti devono richiedere che i dispositivi che utilizzano siano dotati di sicurezza integrata che non salti mai la crittografia o offra backdoor amministrative. Per un maggiore controllo, prendi in carico la tua connessione: a casa e sui tuoi dispositivi mobili, scegli una connessione anonima completamente crittografata che indurisca efficacemente la tua casa contro gli aggressori. Stanno cercando un modo semplice per entrare attraverso misuratori "stupidi" o televisori non così intelligenti; renderlo difficile e andranno altrove.

L'Internet of Things offre vantaggi reali per case, veicoli e persino dispositivi medici ma quando i dati personali incontrano connessioni wireless, le cose possono complicarsi. Mantieni la semplicità: resta protetto.

Contatori intelligenti, sicurezza stupida? Hacking the Internet of Things
admin Author
Sorry! The Author has not filled his profile.