Hacking degli Iot è uno dei più grossi grattacapi per un responsabile di sicurezza informatica in ambito enterprise, ma lo è anche in ambito casalingo o dei piccoli uffici ma nessuno ne sa niente. Vi starete chiedendo che cos’è lo IoT: l’acronimo IoT sta per ‘Internet of Thing’ che tradotto è ‘Internet delle cose’, vale a dire smartphone, elettrodomestici, stampanti, router, termostati, automobili e pacemaker, tutti collegati a internet e tutti potenzialmente vulnerabili. Se me lo permettete vorrei anche spiegarvi che cos’è hacking: conoscere gli oggetti o programmi utilizzati e far uso di creatività e immaginazione nella soluzione di un problema che si è creato. Se un hacker vuole usare poi le sue conoscenze per delinquere è un blackhat, se invece usa le sue conoscenze in modo etico è un whitehat.
Tra i primi, negli anni 60, amanti della tecnologia, animati dalla curiosità sul funzionamento delle linee telefoniche, ci sono Steve Jobs e Steve Wozniak, successivamente fondatori della Apple; progettarono e costruirono la Blue Box, perfezionando la tecnica di John Thomas Draper, che usava un fischietto presente nella confezione dei cereali “Captain Crunch” per fare telefonate gratis. Addirittura Jobs raccontò in una intervista che Wozniak, imitando la voce di Kissinger, riuscì a chiamare in Vaticano per parlare con il Papa Paolo VI, riuscì a farlo svegliare e quasi ci riuscì a parlare, tradito da una risata all’ultimo.
Ma torniamo all’IoT, un grande ecosistema di oggetti che hanno una connessione a internet propria o sfruttano antenne wi-fi o bluetooth per collegarsi tramite router o smartphone a internet per scambiare dati o per essere accessibile dall’esterno, tipo:
- La smart tv che tanto avete bramato per vedere i film su Netflix;
- Il condizionatore, la lavatrice o l’aspirapolvere che potete accendere quando siete in ufficio;
- Il termostato o il sistema di videosorveglianza per controllare la casa;
- Lo stesso router adsl che lasciate sempre acceso e quindi sempre connesso a internet;
- Le autovetture intelligenti;
- I prodotti elettromedicali come pacemaker o le pompe di insulina che possono essere controllate da remoto dai medici.
Tutti questi prodotti al loro interno possono avere componenti che possono essere equiparate a computer con un loro sistema operativo, magari semplice e banale, ma pur sempre un sistema interattivo su cui posso scoprire bug o backdoor o addirittura è possibile sostituire parte del codice per renderlo un apparato zombie.
Ad esempio, è stato possibile l’hackeraggio di una Jeep Cherokee: inizialmente tramite la connessione wifi riuscivano a controllare il sistema multimediale della macchina, quindi alzare o abbassare il volume, cambiare stazione, controllare tutte le informazioni del gps per sapere dove si trovava l’automobile o cambiarne la destinazione senza che il conducente se ne accorgesse. Successivamente, sono riusciti ad hackerare l’elettronica dell’automobile seguendola da vicino: con una cella di telefonia mobile portatile riuscivano ad interagire con la dotazione di sicurezza della macchina, facendola frenare e spegnere in qualsiasi situazione; immaginatevi alla guida della vostra macchina che da sola inchioda in mezzo all’autostrada, si spegne e non si accende più.
Un secondo esempio sono i pacemaker che possono essere collegati a internet per la telemedicina, un controllo remoto da parte del medico; nel momento in cui venivano collegati al dispositivo di monitoraggio diventavano vulnerabili e più di un hacker nel corso degli anni ha dichiarato di poter causare scariche elettriche al paziente, fino all’arresto cardiaco. Il problema è talmente serio che è notizia di questi giorni, il richiamo di 750.000 mila pazienti per un aggiornamento del software dei loro pacemaker in America.
Poi ci sono i router con la loro connessione wifi, vera delizia per gli appassionati di war driving, che potremmo interpretarla come una scampagnata in macchina per mappare tutte le connessioni wifi aperte o protette, ma con router deboli, da poter essere comunque aperte e utilizzate. Oltre a sbirciare all’interno del vostro ecosistema domotico, possono utilizzare la vostra connessione internet per pianificare atti terroristici, attività pedopornografiche oppure come è successo qualche anno fa proprio qui a Bologna, sfruttando la connessione aperta di una associazione sindacale, venne inviata una mail anonima intimidatoria al Sindaco.
Altri esempi sono baby monitor, monitor cardiaci per i neonati e telecamere di videosorveglianza, tutti sistemi che sono stati presi di mira ampiamente, che abbiamo in casa e se non li abbiamo è sempre meglio informarsi prima di acquistarli.
Le regole per proteggersi sono le stesse dei computer, aggiornate i firmware, non usate le password standard e se potete quando siete fuori di casa spegnete il router adsl, almeno per un po’ tutti i vostri apparati non saranno connessi e violabili.
