Nell’ambito del rivoluzionario Internet delle cose, che prevede abitazioni e aziende sempre connesse, le videocamere di sicurezza hanno riscosso successo da subito, e continuano ad averlo. Dopotutto, la possibilità di osservare da remoto e ad un costo conveniente ciò che succede a casa o in ufficio è una proposta molto allettante. Ma chi ti osserva? I ricercatori hanno dimostrato che l’attività della videocamera di sicurezza non è seguita solo da te: ci pensano anche gli hacker a farlo.
Un dato statistico “solo interessante”? Non proprio.
La sicurezza è al primo posto delle caratteristiche richieste all’IoT e le videocamere ne sono una parte importante. Gartner, una società leader di ricerca e consulenza, ha stimato che, nel 2017, il numero complessivo di dispositivi connessi potrebbe essere pari a 8,4 miliardi di unità, un’impennata considerevole del 31% rispetto al 2016. Ciò significa che il numero di dispositivi connessi è ben superiore a 7,5 miliardi, cioè il numero delle persone sulla Terra, e che non si tratta solo di un dato statistico interessante.
Dispositivi intrinsecamente non sicuri
Moltissimi dispositivi IoT, comprese le videocamere a circuito chiuso, sono intrinsecamente non sicuri. Non è nemmeno possibile innalzare il loro livello di sicurezza, perché sono stati realizzati con nomi dell’account e password a codifica fissa impossibili da cambiare. Con questo approccio, la “sicurezza” si trasforma in una grande vulnerabilità che attende solo di essere sfruttata. Molti dispositivi trascurano anche la procedura basilare di sicurezza che richiede all’utente di modificare le impostazioni al primo utilizzo. Eppure, anche quando è possibile cambiare le password, gli utenti preferiscono non farlo. È come modificare le impostazioni del Wi-Fi: se ci viene data la possibilità di farlo, preferiamo non complicarci la vita.
Diluvio in arrivo
In passato, i ricercatori hanno scoperto svariati casi di particolari videocamere IoT hackerate le cui funzioni venivano sovvertite. Ma si trattava in larga misura di episodi singoli, relativi ad esempio a un determinato dispositivo oppure a una rete individuale.
La diffusione di Mirai ha modificato nettamente la situazione. Questo malware scansiona Internet alla ricerca di dispositivi online protetti solo dalle impostazioni predefinite. Appena individua questi dispositivi, li asservisce a una botnet affinché siano pronti a eseguire i comandi di chi la controlla. Come spiegato da KrebsonSecurity, la “Hit List” di questa botnet comprende quasi settanta combinazioni di username e password utilizzate dai produttori; alcune aziende, inoltre, impiegano le medesime impostazioni predefinite per tutta la loro gamma di prodotti.
Scusi, prof., che cos’è un DDoS?
Di solito, Internet funziona come un rapporto alunno-insegnante: il primo fa una domanda e il secondo risponde. Quando più studenti fanno domande, ognuno deve aspettare il proprio turno e ciò determina un leggero rallentamento. Ma quando si verifica un attacco DDoS (Distributed Denial of Service) con Mirai, chi lo compie ha a sua disposizione un’arena intera piena di dispositivi online a cui ordina di assillare in modo incessante l’insegnante con domande fino a quando quest’ultimo o la scuola crollano per lo sfinimento.
Mirai impartisce una dura lezione a Internet
Dopo aver asservito migliaia, se non milioni di dispositivi alla sua botnet, Mirai ha sferrato il più grande attacco DDoS mai compiuto nella storia di Internet. L’attacco contro Dyn, nell’ottobre del 2016, ha interrotto l’accesso a Internet in gran parte degli Stati Uniti. Inoltre, in linea teorica, ha potenzialmente comportato una responsabilità per alcuni provider di servizi Internet quando Dyn ha scoperto che ospitavano dispositivi all’interno di questa botnet. Cosa succede alle persone comuni, proprietarie dei dispositivi hackerati? Non è ancora chiaro come cambieranno le cose quando questi attacchi si moltiplicheranno. I provider di servizi Internet prenderanno in considerazione l’idea di penalizzare i propri clienti per i misfatti compiuti dai loro dispositivi?
La sicurezza inizia in casa
Il primo paradosso dell’attacco a Dyn è il fatto di essere stato provocato in larga misura da piccoli dispositivi poco difesi come le videocamere a circuito chiuso. Il secondo paradosso è la quasi impossibilità per un utente di sapere se i propri dispositivi sono sicuri o se sono stati obbligati a far parte di una botnet. Al momento, l’unica soluzione per saperlo è cercare online qualsiasi problematica associata a quel particolare modello o produttore. La vera identità dei dispositivi white label, cioè realizzati da un unico produttore ma venduti con diversi nomi commerciali, può nascondersi ben al di sotto della superficie.
Acquista il prossimo dispositivo IoT con consapevolezza. Hai valutato una di mettere al sicuro la rete e non semplicemente di connettervi i tuoi dispositivi smart? In fondo, non vorrai che la tua nuova videocamera sia scoperta a sferrare il prossimo maggiore attacco DDoS della storia.
Questo articolo è disponibile anche in: Francese