Internet of Things: il lato oscuro

Cibersecurity: il lato oscuro dell'Internet of Things

Avrai sentito parlare spesso dell'internet delle cose (Internet of Things), ma forse non conosci tutto ciò che devi sapere al riguardo. Se anche tu vuoi sapere che cos'è l'Internet of Things, quali sono gli aspettivi positivi e negativi di questo sviluppo tecnologico, sei nel posto giusto. Ma partiamo per gradi.

Nel 2016 un ospedale americano del Kentucky ha comunicato sul proprio sito web un piccolo messaggio. A seguito di un virus che aveva colpito i loro server, non era infatti possibile usufruire dei loro servizi. Non si trattava di un virus in realtà e non si trattava neanche di un caso isolato. Poco tempo dopo un altro ospedale americano ha dovuto pagare ben $17.000 per poter ripristinare l'utilizzo dei suoi sistemi dopo 10 giorni di blocco. Alcuni giorni dopo stesso problema in un altro ospedale fino a che nel settembre 2016 fu comunicato che in West Virginia e in Kentucky era in corso un cyber-attacco al sistema sanitario e che non sapevano quanto sarebbe durato.

Si iniziò così a parlare di epidemia di attacchi informatici verso gli ospedali, alcune riviste trattarono il tema, elaborando studi scientifici sul problema e sul pericolo che i pazienti incontravano con la minaccia dei ransomware. Attacchi di questo tipo vengono utilizzati chiedendo una somma in denaro per ripristinare il normale funzionamento del sistema compromesso. In questi casi bloccare il sistema di un ospedale può mettere a serio repentaglio la vita stessa dei pazienti.

Si sono verificati altri casi importanti. La casa automobilistica Chrysler dovette ritirare 1.4 milioni di autovetture perché era possibile intervenire sul sistema di controllo tramite un dispositivo esterno (come uno smartphone) e ad esempio far frenare l'auto contro la volontà del guidatore.

Il problema si può così estendere alle porte intelligenti delle nostre case, ai sistemi di riscaldamento controllabili da smartphone, agli elettrodomestici detti "smart". Ci sono elementi come i frigoriferi che inviano e-mail oppure i sistemi di sorveglianza stessi installati nelle case che potrebbero essere utilizzati da altri per spiare all'interno delle case.

È interessante notare che a proposito dei televisori smart con sistema di riconoscimento vocale attivo, Samsung ha espressamente consigliato di non parlare di argomenti riservati di fronte alla tv, perché "non è detto che le informazioni non siano ascoltate da qualcuno".

Il problema della sicurezza

Crescita dispositivi connessi

Pensiamo al fatto che oggi ci sono connessi nella rete internet miliardi di dispositivi intelligenti in grado di comunicare tra di loro. Per fare degli esempi ci sono 40+ miliardi di porte intelligenti, 35+ miliardi di terminali per il telecontrollo del riscaldamento, 30 miliardi di semafori etc.
Oggetti semplici come lampadine e automobili oppure complessi come sistemi di controllo dei treni, sistemi di controllo delle centrali di energia sono oggi tutti connessi in un unico mondo che viene chiamato l'internet delle cose (Internet of Things).

Apparentemente è tutto molto bello ma nasconde un lato pericoloso, oscuro. Soprattutto se consideriamo che tra questi oggetti ce ne sono alcuni molto delicati, che trasmettono dati sulla nostra salute ad esempio.

Perché succede tutto questo? Facciamoci aiutare da un esempio.

In Uruguay (e in Mauritania) c'è il minor rischio sismico al mondo. Non c'è mai stato un terremoto. Gli ingegneri ipoteticamente potrebbero costruire senza alcuna nozione di ingegneria antisismica semplicemente perché non ci sono terremoti. Non ne hanno mai avuto la necessità. Ora se un ingegnere uruguaiano, che fa case bellissime si trasferisse in Giappone, le sue costruzioni non sarebbero più adatte perché il Giappone è caratterizzato da un rischio intrinseco di terremoti molto elevato. Per costruire case in Giappone dovrebbe imparare dall'esperienza degli altri (meglio se giapponesi).
Noi siamo nella medesima situazione; di fronte all'internet delle cose dobbiamo imparare degli altri, da chi sta già combattendo da tempo contro gli attacchi alla sicurezza informatica.

Parlando di sicurezza distinguiamo due significati.

La safety cioè la sicurezza degli oggetti stessi, come ad esempio un pacemaker che è costruito in modo da non recare danni al paziente.

La security invece è la sicurezza degli oggetti che parlano tra di loro, che comunicano e possono di conseguenza essre intercettati, hackerati o controllati.

Quando oggi parliamo di internet delle cose (Internet of Things) è perché questi due mondi, quello della safety e della security convergono in realtà nello stesso punto.
Pensa alla gravità di poter controllare da remoto un pacemaker, una pompa di insulina, oggetti nati per essere assolutamente "safe" ma non "secure" perché all'epoca della loro progettazione non erano connessi in rete.

Come siamo arrivati a tutto questo? Utilizziamo l'esempio di un produttore di automobili.

Ad un certo punto qualcuno fornisce al produttore di automobili una bellissima centralina. Come la utilizza? Ad esempio per comandare un ABS, poi per ottimizzare i consumi attraverso opportuni calcoli della cpu, poi ci collega tutti i sistemi di controllo dell'auto come trazione, slittamento, cruise control etc. etc. Aggiunge poi il controllo della temperatura, luci di cortesia e tutti i comfort possibili. Si passa all'entertainment, quindi autoradio, TELEFONO...
Se il telefono parla verso l'esterno può anche far entrare qualcuno all'interno, ed ecco come è stato controllato il sistema della Chrysler dall'esterno attraverso il telefono installato all'interno dell'auto.
Una volta aperta una porta, un sistema che prima era isolato adesso parla con l'esterno, e questo è il problema. Se non facciamo attenzione tutti gli oggetti sono vulnerabili essendo comunicanti e tutti connessi alla rete.

Ma chi è il nemico che vuole approfittare di questa vulnerabilità. Gli hacker? Non necessariamente. Ci sono molte altre persone interessate a certe informazioni, anche se fa comodo dare la colpa agli "hacker russi" quando si scopre che alcuni dati sono stati rubati o pubblicati. C'è poi la criminalità organizzata che si tiene al passo con le vulnerabilità ed è pronta a fare soldi anche in questo modo ad esempio bloccando pc delle aziende e comunicando il riscatto per ripristinarne il funzionamento (sopracitato attacco ransomware).

Ma non è tutto qui.

Prima dell'11 settembre nessuno avrebbe immaginato che qualcuno facesse precipitare due aerei su edifici pieni di persone. Eppure è successo. Cosa dobbiamo aspettarci quindi vivendo nell'epoca dell'internet delle cose? Basterebbe pochissimo per scatenare il panico sfruttando le vulnerabilità di oggetti che interagiscono con la vita stessa delle persone.

Il problema della responsabilità

Chi deve intervenire in questo momento?

Pensiamo a ciò che è successo il 24 Marzo 2015 al volo 4U-9525 di Germanwings; il co-pilota in piena crisi depressiva decise di suicidarsi schiantando l'aereo sulle Alpi, uccidendo tutti i passeggeri. Come riuscì a farlo? Sfruttando un meccanismo di sicurezza. Il meccanismo avrebbe impedito ad un terrorista di entrare in cabina di pilotaggio per dirottarlo, in quel momento però c'era solo lui all'interno e la porta poteva essere aperta solo da lì. Nessuno dell'equipaggio poteva intervenire.
A seguito di quell'incidente sono stati fatti diversi studi del caso e qualcuno ha detto: per risolvere il problema dotiamo gli aerei di un sistema di telecontrollo così se il pilota perde il controllo, è possibile pilotare direttamente da terra...
Quindi si aprirebbero le porte di tutti gli aerei del mondo per essere pilotati da qualcuno da terra...follia pura.

Così oggi il problema è che le tecnologie belle, nuove, intelligenti, vengono utilizzate in modo pericoloso da criminali per ingenuità del progettista che non conosce i rischi. Non è possibile però imparare dai nostri errori, perché in questi casi i danni sarebbero enormi, si deve piuttosto imparare da errori fatti in altri campi.

Non si può certo vivere senza tecnologia, che è un fattore importante della crescita sociale. Gli ingegneri possono fare la differenza, imparando da chi si è occupato da molto tempo di sicurezza informatica e che quindi conosce già tutti i potenziali rischi di una determinata funzione di un oggetto.

Ma entriamo in gioco anche noi stessi. La principale via di difesa è l'utilizzo corretto, la consapevolezza dell'oggetto e del rischio.
Pensate a chi collega ad internet il forno che è in grado di inviare email al supermercato per fare la spesa in automatico in base alla ricetta. Lo controlla direttamente dallo smartphone, lo stesso smartphone che utilizza per gestire e controllare le operazioni bancarie oppure per vedere i risultati delle analisi mediche personali...

La chiave è il buon senso

Nessuno lascerebbe casa aperta perché sa che esistono i ladri; nessuno guida sempre al limite solo perché l'auto è dotata di ABS. La prima misura di difesa siamo noi, col nostro comportamento e con la nostra consapevolezza. Quindi se desideri avere il forno collegato al tuo smartphone sei libero di farlo, ma almeno fatti la domanda: è davvero una buona idea?

crediti: questo articolo è basato sull'intervento occorso al TEDx dal tema: "Cybersecurity: il lato oscuro dell'internet delle cose".

Informazioni