Spesso gli apparecchi connessi espongono a rischi sul fronte della sicurezza. Se interconnessi poi, creano un ecosistema integrato di dispositivi informatizzati: più questo è vasto, maggiori sono le possibilità di violazione.
Secondo diversi studi, nel primo semestre del 2020 gli attacchi rivolti ai dispositivi IoT sono aumentati del 35% rispetto alla seconda metà del 2019. Dietro al cyber crime ci sono gruppi criminali ben organizzati con un fatturato che si aggira mediamente sui 1.500 miliardi di dollari all’anno.
Smart TV, assistenti vocali, proiettori fotografici, diffusori audio, dispositivi ad uso personale, smart watch, fitness tracker, console per videogiochi, lampadine e prese intelligenti, sensori di movimento connessi a sistemi di riscaldamento smart: tutti regali che potrebbero esporredirettamente chi li riceve ad attacchi alla “persona” ( phishing), con furto di dati personali (preferenze e abitudini quotidiane, navigazione, ma anche dati riguardanti la salute, come il battito cardiaco o l’ossigenazione del sangue) o redirezione della navigazione verso contenuti malevoli.
Anche i device “smart” per la domotica – elettrodomestici come il frigorifero, allarmi casalinghi, termostati e cancelli, oggetti domestici singolarmente governabili tramite una connessione Internet – espongono l’utente a rischi, ma indirettamente perché potrebbero essere il veicolo per attacchi volti a causare un disservizio, come il blocco delle funzionalità che offrono, l’inattivazione di un allarme o lo spegnimento di un frigorifero.
“Quando pensiamo ai rischi cyber connessi al mondo IoT, in particolare legato ai dispositivi domestici, ci sono due ambiti di preoccupazione”, spiegano gli esperti in cyber e software security appartenenti a IMQ Intuity e IMQ Minded Security, le due società di riferimento internazionale nel campo della sicurezza informatica, entrate di recente a far parte del Gruppo IMQ.
“La privacy – ossia quali informazioni i dispositivi raccolgono, come vengono trattate e usate – e la sicurezza in senso stretto. Ovvero: questi dispositivi consentono a qualcuno o qualcosa di entrare nella mia vita, nella mia abitazione o usare i miei dispositivi per arrecare un danno a terzi?”
Un attaccante potrebbe anche abusare della potenza di calcolo o della connessione a Internet dei dispositivi: esempi sono il mining di bitcoin (la creazione di cryptomonete), la partecipazione a botnet (reti di dispositivi compromessi) usate per altri scopi, mettendo così la vittima in condizione di diventare intermediaria inconsapevole nell’esecuzione di attacchi informatici o movimentazioni di dati non autorizzati.
“I device IoT attuali non sempre offrono livelli di sicurezza adeguati rispetto alla sicurezza nativa di un dispositivo desktop o di un dispositivo mobile come un cellulare o un tablet e questo fa lievitare i rischi” aggiungono gli esperti del Gruppo IMQ. Spesso, poi, i dispositivi sono coperti da una garanzia di prodotto di tipo tradizionale, che non si estende alle falle di sicurezza nel software dell’apparecchio. Ciò si traduce all’atto pratico in una minor frequenza di rilascio di aggiornamenti software che possano sanare bug noti o vulnerabilità del software scoperte nel corso della vita di un device IoT”.
Ci sono poi alcuni comportamenti culturali e inconsapevoli che possono esporre a un attacco informatico. Per esempio, sottovalutare il device “smart” senza considerare che si sta parlando di piccoli computer, connessi ad Internet e di conseguenza possibile obiettivo di un attacco informatico.
“L’informatizzazione degli oggetti è qualcosa di molto recente ed ha contaminato in maniera rapidissima un mondo che non era culturalmente vicino alla sicurezza informatica. L’elettricista che ha sempre realizzato impianti tradizionali, d’improvviso si è trovato tra le mani dispositivi connessi, senza che questo cambiamento, in alcuni casi, sia stato preceduto da adeguata preparazione sui pericoli ad esso associati”.
I consigli per la rete wi-fi
Nella casa connessa, se possibile creare nella rete domestica un network Wi-Fi secondario, dedicato esclusivamente agli smart device connessi, per proteggere i dispositivi connessi all’altra Rete (ad esempio il pc di lavoro).
Se possibile fare in modo che l’SSID di casa (Service Set Identifier – in pratica il nome della rete Wi-Fi) non sia visibile: in questo modo si riduce ulteriormente il rischio di intrusioni.
I consigli per gli oggetti “smart”
- Non lasciare le impostazioni o le password di default, preimpostate dall’installatore/ produttore;
- Utilizzare una nuova password e cambiarla periodicamente;
- Impostare password difficili da compromettere, non necessariamente complesse: è meglio una password lunga ma facile da ricordare che una password troppo complessa: MiPiaceAndareAlMareInInverno è molto meglio di P5:/R32@,1
- Se presente, attivare sempre l’autenticazione a due fattori per proteggere le credenziali di accesso;
- Aggiornare sempre il software dell’apparecchio quando il produttore ne rilascia uno nuovo e usare sempre e solo l’app ufficiale del produttore per configurare e gestire il dispositivo;
- Adottare gli standard WPA2 per le reti wireless;
- Se possibile utilizzare un account dedicato al (o ai) device smart, in modo che in caso di compromissione, ciò non comporti un furto di identità esteso ad altri aspetti della sfera personale della vittima.
