Come proteggere le smart TV e gli elettrodomestici collegati dagli hacker

Forno intelligente hackerato

DEF CON e Black Hat non sono rapper con posti come ospiti nel nuovo album di Jay-Z; sono un paio di conferenze sulla sicurezza, di cui probabilmente non hai mai sentito parlare o a cui non hai prestato attenzione. Potresti volerlo cambiare quest'anno. Una parte importante di queste conferenze sono presentazioni di professionisti della sicurezza (che si pronuncia "hacker") che passano le loro giornate a penetrare in tutto ciò che è digitale e le agende di quest'anno sono piene di dimostrazioni di exploit contro la tecnologia domestica connessa. L'esplosione di dispositivi abilitati a Internet altrimenti banali - termostati, lampadine, forni, TV, l'elenco potrebbe continuare - ha tutti, dagli script kiddies alle agenzie di intelligence, altrettanto entusiasti delle nuove vie di attacco aperte da questi gadget ed elettrodomestici.Qualsiasi dispositivo in grado di parlare con un altro dispositivo o Internet può essere potenzialmente compromesso per fare qualcosa non intenzionale dal suo creatore o proprietario, e questo sarà presto dimostrato pubblicamente su Black Hat #Fouladi e DEF CON.

Perché preoccuparsi?

Certo, un hacker che insegue il tuo tostapane abilitato a Internet potrebbe non essere redditizio nello stesso modo in cui potrebbe esserlo rubare la tua identità o le credenziali bancarie, ma il denaro non è sempre il motivo nei circoli degli hacker. Molti degli attacchi più dannosi ai computer sono stati perpetrati per valore shock, credibilità sotterranea o reputazione professionale. Bruciare una casa hackerando gli elettrodomestici collegati varrebbe molto più credito che spaccare il computer della nonna. Questo è certamente lo scenario peggiore, ma ci sono innumerevoli modi in cui una casa connessa compromessa potrebbe essere utilizzata per rovinare la tua giornata. Un baby monitor hackerato potrebbe essere utilizzato dagli aspiranti ladri per capire quando non sei a casa, lo script kiddie della porta accanto potrebbe spegnere il tuo riscaldamento a metà inverno e far scoppiare i tubi hackerando il tuo termostato connesso a Internet,oppure spegni il tuo frigorifero abilitato alla smart grid e rovina tutto il cibo. Alcuni anni fa, gli attacchi proof-of-concept contro stampanti laser in rete compromesse sono stati in grado di trasformarle in carta singola. Ai tempi in cui avevo gli interruttori abilitati all'automazione X10 in tutta la casa, gli amici passavano di lì e scherzavano con le luci della mia casa, solo per divertimento. Gli exploit contro un successore di X10, Z-Wave, saranno presto dimostrati su BlackHat e DEF CON.

Il punto: questa non è solo roba di stagnola; ci sono molti attacchi plausibili contro una casa connessa. A differenza del fattore di fastidio quando un computer viene violato, ci possono essere conseguenze fisiche nel mondo reale quando vengono sfruttate apparecchiature connesse non protette.

Insicuro per impostazione predefinita

La vera sicurezza consiste nel bilanciare rischio e ricompensa

La sicurezza è spesso un elemento secondario nella progettazione dei dispositivi connessi. Non è qualcosa su cui la maggior parte dei consumatori è istruita ed è spesso difficile da descrivere in un punto elenco o in una casella di controllo ("Sicurezza: Sì"). Inoltre, molti dei produttori di vecchia linea che stanno entrando nello spazio dei dispositivi connessi non hanno conoscenze istituzionali sulla sicurezza; storicamente non è stato un problema per, diciamo, i frigoriferi. Nel tiro alla fune dello sviluppo del prodotto tra sicurezza e convenienza, la sicurezza è generalmente la perdente. Un ottimo esempio può essere visto quando si accoppia il telefono a un auricolare Bluetooth o alla propria auto. Spesso ti verrà richiesto un codice PIN, ma di solito è tutto zeri (in effetti, è così comune che alcuni nuovi dispositivi provano solo tutti zeri e non richiedono mai un PIN se funziona).Il PIN di accoppiamento è una funzione di sicurezza integrata nel Bluetooth per impedire a un utente malintenzionato di interferire in un modo che consenta l'intercettazione successiva della connessione crittografata, ma è stato efficacemente neutralizzato dai molti produttori che scelgono di non utilizzarlo in nome della convenienza. Un attacco a un auricolare potrebbe semplicemente provocare dei pettegolezzi succosi dalle tue telefonate in giro al prossimo party di blocco, ma le conseguenze di un attacco di accoppiamento potrebbero essere molto peggiori con qualcosa come una serratura o un apriporta da garage.Un attacco a un auricolare potrebbe semplicemente provocare dei pettegolezzi succosi dalle tue telefonate in giro al prossimo party di blocco, ma le conseguenze di un attacco di accoppiamento potrebbero essere molto peggiori con qualcosa come una serratura o un apriporta da garage.Un attacco a un auricolare potrebbe semplicemente provocare dei pettegolezzi succosi dalle tue telefonate in giro al prossimo party di blocco, ma le conseguenze di un attacco di accoppiamento potrebbero essere molto peggiori con qualcosa come una serratura o un apriporta da garage.

Cosa fare?

Potremmo averti così spaventato ora che sei tentato di vivere semplicemente la vita luddista; stai certo che non è il nostro intento. Adoriamo l'idea della casa connessa, ma è necessario adottare misure ragionevoli per proteggerti dal fatto che venga utilizzata contro di te.

Proteggi la tua rete

Questo dovrebbe essere ovvio, ma sappi come proteggere la tua rete WiFi. Non ci sono quasi scuse per eseguire una rete WiFi aperta non crittografata. Se il tuo router ha più di qualche anno, è probabile che i suoi meccanismi di sicurezza siano probabilmente sfruttabili e dovrebbe essere sostituito. I router WiFi più recenti hanno funzionalità di rete guest integrate che possono isolare i dispositivi non attendibili l'uno dall'altro e dal resto della rete: una funzionalità utile per la maggior parte dei dispositivi che necessitano solo di accesso a Internet e non hanno bisogno di parlare con altri dispositivi. Potrebbe essere necessaria una configurazione aggiuntiva per proteggere adeguatamente i dispositivi che devono comunicare tra loro (come controller di automazione e telecamere di sicurezza), ma è possibile limitare tale comunicazione senza mettere a nudo il resto della rete domestica.

Scopri cosa c'è nella tua casa

Tenere un inventario dei dispositivi collegati e degli altri dispositivi (inclusi i nomi dei produttori e i numeri di modello). Ogni volta che porti a casa un nuovo gadget, aggiorna l'elenco. Informati su alcuni principi di sicurezza di base prima di accogliere in casa nuovi dispositivi connessi. Come si connette il dispositivo (Bluetooth, WiFi, GSM, qualcosa di proprietario)? Se è controllabile da un'app per tablet o da un computer, come funziona il processo di associazione? C'è un PIN o una password? Il processo è crittografato? Come funzionano gli aggiornamenti e per quanto tempo verranno forniti? Queste informazioni dovrebbero essere disponibili presso i produttori, pubblicate sui loro siti Web nelle specifiche tecniche o contattando l'assistenza clienti. Se un produttore non può o non vuole rispondere a queste domande per te, vota con il tuo portafoglio e porta i tuoi soldi altrove.

Cucina domestica connessa

I dispositivi che magicamente "funzionano" senza alcun tipo di processo di associazione sicura o crittografia potrebbero essere maturi per l'hacking. La vera sicurezza consiste nel bilanciare rischio e rendimento; la quantità di danno che potrebbe essere fatto da qualcuno che sfrutta una soundbar Bluetooth o una lampadina a LED abilitata per WiFi è probabilmente piuttosto minima rispetto ai vantaggi di avere queste cose in giro. Lo script kiddie della porta accanto potrebbe essere in grado di infastidirti sul tuo feticcio di Justin Bieber o eseguire uno spettacolo di luci improvvisato con le tue monetine, ma non è la fine del mondo. D'altra parte, le cose che un cattivo potrebbe fare con elettrodomestici più grandi, riscaldamento abilitato a Internet e sistemi di sicurezza meritano sicuramente una seria considerazione.

Tenere aggiornato

Imposta una pianificazione regolare per verificare la disponibilità di aggiornamenti ed exploit per gli elementi nell'elenco dei dispositivi collegati. Alcuni dispositivi potrebbero aggiornarsi automaticamente; anche meglio! I produttori ben educati dovrebbero fornire aggiornamenti di sicurezza per anni, ma altri lo definiscono fatto una volta spedito e passano al progetto successivo. Google in giro per noti exploit contro i dispositivi connessi di casa tua. Se ne trovi alcuni e il produttore non ha fornito aggiornamenti per risolverli, potrebbe essere il momento di ritirare quel particolare dispositivo. A volte vale la pena rischiare di continuare a utilizzare un dispositivo sfruttabile, ma è meglio essere informati.

Alla fine della giornata, la casa connessa è qui per restare. Proprio come le precedenti ondate di home computing e mobile computing, ci saranno sicuramente dei problemi crescenti mentre i produttori si fanno strada nella sicurezza. Speriamo che più produttori di dispositivi connessi prendano sul serio la sicurezza, prima che i partecipanti meno gustosi a Black Hat e DEF CON inizino a giocare con i tuoi nuovi giocattoli.