Un esercito di piccoli robot che vivono e dormono nelle nostre case sono pronti ad attivarsi a comando. Fino a ieri si parlava di botnet di computer “zombi”, ma ora siamo ad una nuova frontiera: le botnet di sistemi IoT.
IoT o “Internet of Things” (Internet delle cose) è una sigla che appartiene più al mondo del marketing che delle tecnologie, e racchiude l’insieme di tutte quelle apparecchiature “domestiche” connesse ad Internet che possono essere controllate e comandate a distanza.
Lavatrici, sistemi di illuminazione, frigoriferi, condizionatori, televisori, automobili, webcam, sistemi di allarme e chi più ne ha più ne metta. Sono tutti esempi di sistemi elettromeccanici controllati da una parte digitale connessa ad Internet. La possibilità di controllare e comandare remotamente dispositivi in casa o in azienda è estremamente affascinante ed in qualche caso persino utile, purtroppo però è anche estremamente insicura per le tipologie di device utilizzati.
Da un punto di vista squisitamente tecnico l’insicurezza di questi sistemi è caratterizzata da tre fattori: limitatezza delle risorse hardware, economicità nei processi di produzione, impreparazione da parte degli sviluppatori del software di controllo.
Gli algoritmi che controllano una webcam o anche un’automobile non possono impiegare troppe risorse hardware, perché questo influirebbe sui consumi energetici o sui costi di produzione. Per esempio non possiamo scrivere del software troppo vorace di energia in un frigorifero che deve necessariamente avere la certificazione A+++; come non possiamo eccedere nell’implementazione di controlli in un software per l’entertainment di un’autovettura, che rischierebbe di essere poco responsiva e persino di rendere insicura la guida distraendo il conducente. Sono esempi quasi banali ma assai realistici di ciò che succede nella catena produttiva dei dispositivi IoT.
Il processo di produzione di un frigorifero o di un’automobile ha infatti come focus quello di garantire prima di tutto l’affidabilità, l’economicità e la sicurezza del prodotto. Dove per sicurezza però si intende quella che nella cultura anglosassone viene chiamata “safety” ovvero la sicurezza fisica degli esseri umani ed in generale dell’ambiente che ci circonda. Mentre paradossalmente viene del tutto ignorata la sicurezza logica di tali prodotti quando connessi ad Internet, che li rendono di fatto dei cavalli di troia in ogni casa o azienda che sia.
Non sono bastati quindi gli articoli urlati di giornale con automobili da decine di migliaia di euro comandabili da remoto dopo un hack, oppure le numerose applicazioni su smartphone che permettono di fare i guardoni digitali sfruttando Webcam “aperte” su Internet. Adesso siamo ad un punto di svolta: attacchi di tipo Distributed Denial of Service (DDoS) che utilizzano dispositivi “IoT” comandati per attaccare la vittima predestinata.
A differenza delle botnet di computer, i dipositivi IoT si prestano meglio a questo tipo di attività per una serie di fattori: contengono software maggiormente bacati anche perché sono difficili da aggiornare, non contengono antivirus o firewall di rete, sono in numero elevato e tipicamente non sono presidiate da umani.
Il recente attacco DDoS che ha reso inservibile numerosi siti Internet americani, tra cui Twitter, GitHub, Amazon Prime, Netflix, Pinterest, Etsy, Reddit, PayPal, and AirBnb, ha visto il coinvolgimento proprio di una botnet di sistemi IoT chiamata “Mirai”. Questa rete di zombie conta circa 100.000 dispositivi IoT tra cui webcam, registratori digitali e router di tipo industriale, che si sono attivati per bombardare il sito Dyn DNS (dyn.com) con pacchetti malevoli. Un fiume in piena di bit che ha inondato il servizio DNS utilizzato dai grandi portali di e-commerce rendendo i loro servizi inutilizzabili e provocando perdite economiche significative.
Ancora più recentemente tale botnet è stata utilizzata per mettere completamente offline un paese come la Liberia, segno che le finalità di queste Cyber-Weapon possono spaziare da attacchi di tipo speculativo finanziario, sino ad attacchi di tipo governativo.
Forse delle prove generali per attacchi più eclatanti in tempi di elezioni americane? Chissà.
L’insicurezza di tali sistemi IoT ha quindi costretto una delle società produttrici delle webcam incriminate a richiamare i propri dispositivi e contemporaneamente a rilasciare aggiornamenti di sicurezza. Ma quanti aggiorneranno quella webcam impolverata sull’armadio o cambieranno la password di default o porteranno la loro auto fiammante al concessionario per un update del software?
Anche qui, come nel caso del software per computer, è necessario implementare un ciclo di vita di sviluppo del software sicuro (SSDLC, Secure Software Development Life Cycle) con progettisti e sviluppatori capaci, che sappiano coniugare l’efficienza e l’efficacia richiesta nei dispositivi IoT con la sicurezza del software. Compito arduo che richiede un cambiamento di mentalità nei produttori e sforzi economici non indifferenti. Ma anche gli utenti devono essere educati ad implementare le misure minime di sicurezza, come cambiare le password di default nei loro router e webcam.
Nel frattempo rinunciamo magari ad un po’ di cyberspazio a vantaggio della nostra privacy e sicurezza, spegnendo qualche webcam o non attivando la connessione ad Internet se non proprio necessaria nel dispositivo IoT di turno.
