Attacco dei dispositivi Smart Home

Non si può negare che l’Internet delle cose (IoT) è diventata una categoria di prodotti molto richiesta, come dimostra il vasto assortimento di offerte IoT al recente CES, da TV, altoparlanti e prodotti di automazione domestica come telecamere e termostati a frigoriferi e, credete, esso o no, specchi. Se possiedi già un dispositivo smart o stai addirittura pensando di acquistarne uno (o più), tieni presente che ognuno di essi porta con sé minacce alla privacy e alla sicurezza, secondo gli esperti del settore della sicurezza.

Questa preoccupazione è stata sottolineata di recente quando WikiLeaks ha pubblicato documenti online in cui si affermava che la CIA ha violato i dispositivi intelligenti, comprese le smart TV Samsung . L’hacking di questi televisori ha confermato le peggiori paure di chiunque fosse già nervoso per i microfoni integrati utilizzati per capire i comandi vocali delle persone. Chiunque ottenga il controllo di questi televisori può apparentemente sentire tutto ciò che stiamo dicendo mentre si trova nelle vicinanze.

Da parte sua, Samsung ha rilasciato questa dichiarazione: "La protezione della privacy dei consumatori e della sicurezza dei nostri dispositivi è una priorità assoluta per Samsung. Siamo a conoscenza della relazione in questione e stiamo esaminando urgentemente la questione". La società ha affermato che il software "dannoso" descritto da WikiLeaks è stato installato tramite un’unità USB collegata fisicamente che si applicava al firmware sui televisori venduti nel 2012 e nel 2013, "la maggior parte dei quali è già stata patchata tramite un aggiornamento del firmware". Ha aggiunto che, a Samsung, "monitoriamo continuamente eventuali rischi per la sicurezza" attraverso la sua piattaforma smart TV e, "se ne troviamo uno, lo affrontiamo prontamente". Chiunque abbia dubbi sull’utilizzo delle smart TV Samsung può adottare misure per essere più sicuro, ha affermato, spiegando: "La migliore azione che i consumatori possono intraprendere per garantire la sicurezza di qualsiasi dispositivo è mantenere sempre aggiornati software e applicazioni in ogni momento".

Un numero crescente di consumatori sta sperimentando il concetto di controllo dei dispositivi AV e domotici attraverso un hub intelligente di qualche tipo, che si tratti di SmartThings di Samsung o di Amazon Echo, uno dei prodotti più venduti delle ultime festività natalizie. Dopotutto, è comodo e abbastanza ordinato controllare tutto dal tuo divano mentre guardi un film o una partita di calcio. Dopotutto, perché dovremmo davvero alzarci in piedi e attraversare la stanza per alzare o abbassare il termostato quando non abbiamo bisogno di un’altra birra o dobbiamo fare una pausa per il bagno?

Sia che tu stia utilizzando tali dispositivi nel tuo sistema home theater o altrove in casa, ci sono diversi modi in cui puoi proteggerti dalla privacy e dalle minacce alla sicurezza.

Pericolo, Will Robinson (o come ti chiami)! Pericolo!
Secondo Bryce Boland, Chief Technology Officer per l’Asia Pacifica presso la società di sicurezza informatica FireEye, "i consumatori devono attribuire un valore molto più alto alla loro sicurezza informatica rispetto a quanto non facciano oggi" perché "i dispositivi che metti su una rete domestica possono potenzialmente esporre tutti i dispositivi e i dati sulla rete ai criminali."

"Questi criminali possono sfruttare questo accesso per accedere al tuo conto bancario, tentare di estorcerti, sfruttare i tuoi dispositivi per condurre attacchi ad altri obiettivi o infliggere danni in altri modi", ha affermato, aggiungendo: "I consumatori devono essere consapevoli di questi rischi in evoluzione, perché se non lo sono, ne trarranno vantaggio".

La sicurezza informatica personale è oggi un "problema importante" e "diventerà più importante solo negli anni a venire", ha previsto. La maggior parte di noi tende a pensare molto di più alla sicurezza delle proprie case che alla sicurezza dei propri dispositivi e delle proprie informazioni. Ma "irrompere nelle case non è molto comune nella maggior parte dei luoghi perché è un’attività relativamente ad alto rischio: i ladri che vengono catturati vengono spesso perseguiti", ha detto Boland.

Gli attacchi informatici, d’altra parte, sono "abbastanza a basso rischio e spesso non sono perseguiti a causa della natura del crimine e della sua natura internazionale". Semplicemente non ci sono "grandi soluzioni sul mercato oggi", ha continuato a spiegare. Nell’arena aziendale, le aziende tendono a preferire sottoscrivere offerte di sicurezza che "aiutano a colmare il divario di sicurezza e ad affrontare i rischi", ma "siamo molto lontani dall’adozione diffusa di prodotti efficaci per la sicurezza personale oggi sul mercato".

I dispositivi intelligenti che i produttori spediscono "dovrebbero essere protetti per impostazione predefinita, pronti all’uso" perché "se il consumatore non deve fare nulla per far funzionare il dispositivo, non dovrebbe fare nulla per far funzionare il dispositivo in modo sicuro ", ha affermato, aggiungendo: "Ciò significa che i produttori di dispositivi non dovrebbero utilizzare password hardcoded o predefinite".

Boland ha continuato dicendo che i produttori di dispositivi dovrebbero anche "assicurare che i dispositivi che spediscono possano essere facilmente mantenuti e aggiornati". I produttori devono utilizzare questa funzionalità per "risolvere le vulnerabilità scoperte di recente e le nuove minacce". Sfortunatamente, la maggior parte di loro oggi utilizza librerie di codice esterne. Ciò significa che, "anche se il loro codice è perfettamente sicuro, i loro clienti potrebbero essere esposti a vulnerabilità scoperte in queste librerie esterne", ha spiegato.

Sebbene i produttori di dispositivi "non possano fornire una sicurezza perfetta", ciò che possono fare è "investire in un team che garantisca che i loro dispositivi siano il più sicuri possibile per impostazione predefinita e che possano monitorare e rispondere alla sicurezza continua" del loro prodotto. Ogni produttore deve disporre di un team di persone che gestisca la sicurezza dei propri prodotti passati, attuali e futuri durante il ciclo di vita dei propri prodotti. "Se i produttori non lo fanno, dovrebbero presumere che i loro prodotti saranno compromessi dagli aggressori prima o poi", ha affermato Boland.

La maggior parte dei produttori oggi non ha nemmeno "team di sicurezza efficaci e dedicati" perché "l’economia non è favorevole alla sicurezza", quindi spesso è solo una "esternalità del mercato fino a quando le autorità di regolamentazione non vengono coinvolte", ha affermato. Ha previsto che "i governi dovranno rafforzare la loro regolamentazione dei produttori di dispositivi prima di vedere un miglioramento diffuso".

Nel frattempo, ha affermato, ci sono alcune cose che i consumatori possono fare per proteggersi dalle violazioni:
1 Assicurati che i tuoi dispositivi eseguano il firmware più recente.
2 Utilizza password complesse e univoche su tutti i tuoi dispositivi e account, incluso il Wi-Fi.
3 Disabilitare l’accesso alla rete sui dispositivi in ​​cui non è necessario. Ad esempio, se il tuo stereo non ha bisogno di essere online, non collegarlo.
4 Assicurati che il tuo router domestico provenga da un fornitore affidabile e stia eseguendo una versione corrente del suo software senza vulnerabilità note.
5 Utilizza una rete separata per i tuoi dispositivi mobili e computer rispetto a quella per i tuoi dispositivi IoT. Alcuni router dispongono di una funzione di rete ospite che può essere utilizzata per i dispositivi che necessitano di accesso a Internet ma non necessitano dell’accesso alla rete domestica.
6 Utilizzare solo dispositivi di produttori affidabili che rilasciano aggiornamenti.
7 Prendi in considerazione la disabilitazione del supporto/account cloud sui dispositivi in ​​cui non è necessario.
8 La rete domestica di oggi è complessa quasi quanto la rete delle piccole imprese di 10 anni fa. Se vuoi fare uno sforzo in più, puoi installare un router per piccole imprese nella tua rete domestica e utilizzare le LAN virtuali (VLAN) per segmentare ogni dispositivo nella propria rete, quindi controllare cosa può fare ogni dispositivo. Questo può migliorare sia le prestazioni che la sicurezza… ma viene fornito con una configurazione iniziale molto più complicata.

Fai attenzione con quell’appliance, Eugene (o chiunque tu sia)
Shagorika Dixit, senior manager di Norton Consumer IoT Security presso Symantec, ha convenuto che i consumatori dovrebbero davvero preoccuparsi dei problemi di sicurezza e privacy quando si tratta di dispositivi domestici intelligenti. Infatti, nei test, Symantec "ha rilevato vulnerabilità in 50 diversi tipi di dispositivi domestici connessi, che vanno dai termostati intelligenti agli hub intelligenti", ha affermato.

Ha aggiunto: "I consumatori dovrebbero essere ugualmente preoccupati per tutti i dispositivi connessi". Questo perché gli hacker possono accedere a una fotocamera intelligente, un lucchetto intelligente o una varietà di altri dispositivi. "Sebbene alcuni rischi possano sembrare più spaventosi di altri, la maggior parte dei dispositivi connessi rappresenta una qualche forma di rischio, sia che si tratti di un criminale informatico che ottiene l’accesso fisico a un dispositivo o che estrae informazioni personali", ha affermato. I consumatori dovrebbero, quindi, adottare "precauzioni per garantire che TUTTI i dispositivi connessi siano adeguatamente protetti, motivo per cui Norton suggerisce di proteggere i dispositivi a livello di rete", ci ha detto.

Poiché sempre più dispositivi connessi riempiono le nostre case, aumenta anche la quantità di punti di ingresso per i criminali informatici che possono infiltrarsi nei nostri gadget e rubare informazioni personali sensibili. Gli hacker hanno imparato a trarre vantaggio dal fatto che molti consumatori non modificano le impostazioni e le password predefinite sui loro dispositivi domestici intelligenti e molti dispositivi connessi non sono ancora realizzati pensando alla sicurezza, ha affermato Dixit.

"Non preoccuparti. La situazione è sotto controllo."
I rappresentanti dei produttori che abbiamo contattato per questa storia hanno ammesso che ci sono potenziali problemi di privacy e sicurezza con i dispositivi domestici intelligenti, ma hanno affermato che i consumatori non dovrebbero preoccuparsi troppo quando utilizzano i prodotti delle loro aziende (ovviamente).

Tecnologie come Smart ThinQ e Deep ThinQ di LG, insieme all’Hub Robot del produttore, "forniranno nuovi livelli di divertimento, praticità e risparmio energetico" per i consumatori, ha affermato John Taylor, vicepresidente degli affari pubblici di LG Electronics USA. "Allo stesso tempo, siamo sensibili ai problemi di privacy/sicurezza" e LG è "orgogliosa del suo track record nella protezione delle informazioni personali dei consumatori nell’arena delle smart TV, e lo stesso impegno si applica ai nostri elettrodomestici connessi, poiché bene", ha detto.

Taylor ci ha detto che "le misure di sicurezza e privacy dei dati all’avanguardia sono progettate fin dall’inizio" con i prodotti LG. "Detto questo, questo è un argomento caldo che, giustamente, riceverà una quantità crescente di attenzione a livello di settore mentre lo spazio IoT continua ad evolversi", ha affermato.

Ha aggiunto: "Un primo passo è educare i consumatori sui passi che possono intraprendere per proteggere i propri dispositivi e le reti domestiche". A tal fine, ha affermato, LG sta lavorando con la Consumer Technology Association su una campagna di servizio pubblico nazionale per incoraggiare i consumatori a utilizzare password complesse e fornire consigli su altre misure che possono adottare per aumentare la sicurezza delle loro reti e dispositivi. Taylor ci ha detto che non era a conoscenza di alcuna violazione della sicurezza con i dispositivi domestici intelligenti di LG.

"I consumatori dovrebbero essere consapevoli ma non eccessivamente preoccupati dei reali pericoli che esistono là fuori, ed è nostra responsabilità come settore guadagnarci la loro fiducia", ha affermato Sol Hedaya, category manager di Merkury Innovations, produttore della nuova linea Geeni di smart prodotti per la casa che includono una gamma di lampadine intelligenti, fotocamere e soluzioni di alimentazione.

"Man mano che ci abituiamo a tutto ciò che ci circonda è connesso a Internet, ci sono grandi vantaggi per la nostra società ma anche reali pericoli", ha ammesso Hedaya. "I problemi più comuni che abbiamo riscontrato nello spazio della casa intelligente sono per gli intrusi che attaccano i dispositivi (in particolare le telecamere) che hanno una password predefinita facile da indovinare o addirittura nessuna password". Ha aggiunto: "Qualsiasi dispositivo non protetto su Internet può essere rapidamente fiutato e sfruttato, e spesso diventa un veicolo inconsapevole per ulteriori attacchi agli altri. Pertanto, prendiamo molto sul serio la sicurezza, inclusa la crittografia dei dati AES di livello militare, algoritmi di crittografia durante l’autenticazione, canali crittografati HTTPS e altro."

Finora la società ha avuto solo una distribuzione limitata della nuova linea Geeni, ma "non sono state segnalate violazioni nei dispositivi che abbiamo là fuori", ha affermato.

Altri produttori non sono stati così fortunati. Dixit di Symantec ha indicato l’attacco Distributed Denial of Service (DDoS) ampiamente segnalato che si è verificato in ottobre, in cui gli hacker sono stati in grado di infettare una rete di dispositivi IoT per abbattere diversi siti Web. Le interruzioni sono state inizialmente segnalate principalmente sulla costa orientale degli Stati Uniti, ma sono stati colpiti anche i siti europei. I siti Web infettati includevano quelli di Netflix e Twitter.

Pertanto, proprio come nei film, se un produttore di dispositivi ti dice di non preoccuparti perché ha la situazione sotto controllo, prendilo almeno con le pinze. E assicurati di aver preso quante più precauzioni possibili durante la configurazione di qualsiasi dispositivo per la casa intelligente.