La privacy al tempo dell’Internet of Things: gran finale

La teoria è tanto bella ma la pratica permette di capire molto di più.

Si può parlare all’infinito dei rischi associati a certi comportamenti su internet, ma finché non ci si sbatte contro si tenderà sempre a minimizzare e a pensare che non ci riguardino.

Usare password banali per accedere ai siti è rischioso? Lo sanno tutti ma (quasi) tutti le usano lo stesso. Almeno finché non scoprono con stupore che l’email e la password che usano sempre si trovano anche su internet, pronti per essere usati da qualche figuro senza scrupoli per farci passare guai seri.

Lo stesso succede con i dispositivi IoT. Sono insicuri, lo sappiamo, lo abbiamo visto fino a stufarci nel corso di questa lunga serie (primo tempo, interludio, secondo tempo, secondo interludio e terzo tempo).

Ma tendiamo sempre a pensare che la cosa non ci riguardi finché, novelli San Tommaso, non tocchiamo direttamente con mano quello che può succedere.

Shodan è un motore di ricerca per i dispositivi IoT, con il quale si possono trovare con facilità i dispositivi accessibili pubblicamente su internet e quindi potenzialmente vulnerabili all’attacco di un qualunque cracker.

Questo articolo di parecchi anni fa spiega molto bene come usare Shodan per craccare un certo tipo di videocamere di sorveglianza. Ho provato a rifare la procedura descritta e dopo quasi 10 anni funziona ancora perfettamente, a dimostrazione che il tempo non ha aumentato la consapevolezza dei rischi presenti sulla rete.

Quest’altro articolo più recente è ancora più dettagliato, ci sono perfino i dati di autenticazione di default di parecchi produttori di videocamere, chi avesse tempo e voglia di provare ad usarli potrebbe trovare di tutto.

Ma non c’è bisogno di essere così sofisticati. Le funzioni di ricerca di Shodan permettono agli account gratuiti di visualizzare solo due pagine di risultati (ma bastano 49 dollari per ottenere l’accesso completo), ma basta usare la mappa mondiale per analizzare velocemente e senza limitazioni un gran numero di dispositivi potenzialmente attaccabili.

Affinando progressivamente la ricerca in base alla nazione, alla città o al servizio che ci interessa, si possono anche superare i limiti degli account gratuiti.

Qualunque metodo si usi, la quantità di informazioni che si possono ottenere è stupefacente. Niente che non si possa già ottenere con i metodi classici di penetrazione (nmap e simili), ma vedere tutto messo in bella mostra su una pagina web sa quasi di magia.

Se provo a cercare su Shodan con la parola chiave “sonos” ottengo più di 10.000 risultati, distribuiti con poca sorpresa soprattutto nell’Europa del Nord e nel Nord America. Con “thermostat” o “nest” i risultati sono decisamente meno numerosi, ma non vorrei essere nei panni di quello a cui spengono il riscaldamento a distanza in pieno inverno.

Le cose diventano ancora più interessanti se si usa la parola chiave “webcam”. Shodan ne trova solo 5.000, magari perché sono intrinsecamente più sicure dei dispositivi Sonos, magari perché questi ultimi sono più di diffusi di quanto ci si possa aspettare. Sta di fatto che ci sono almeno 5.000 videocamere di sorveglianza in giro per il mondo che possono potenzialmente mostrare a tutti quello che “vedono”.

In parecchi casi lo mostrano già nella pagina di ricerca o cliccando su uno dei puntini rossi della mappa (l’immagine di anteprima è probabilmente quella visualizzata al momento dell’ultima analisi del motore di ricerca). Queste videocamere sono esposte sulla rete senza nemmeno la protezione di una password di default e basta un click per entrare in casa e vedere quello che stanno inquadrando in questo preciso momento.





In alcuni casi funziona anche il microfono, per cui non solo si vede ma si sente anche tutto quello che succede nei dintorni della videocamera. Come questa nonna latino-americana che guarda la televisione con la nipotina o la bambina che mette in ordine la cuccia del cane. Volendo si può registrare un video di quello che stiamo vedendo o andare a curiosare fra le immagini e i video salvati nella memoria della videocamera.1

A me sembra inquietante. E a voi?

Ancora più inquietante è rendersi conto che uno bravo può fare praticamente quello che vuole con i dispositivi IoT esposti sulla rete. Può accedere ai router, ai semafori, ai sistemi di controllo degli impianti idraulici, elettrici e, Dio non voglia!, nucleari. Sembra incredibile, ma tante installazioni professionali hanno livelli di sicurezza praticamente nulli.

Un hacker si limita a guardare, a studiare e ad informare, senza fare danni. Ma cosa succede se ci si imbatte in un cracker cattivo? Ci sono delle contromisure che possiamo prendere?

Se abbiamo in casa qualche dispositivo IoT in funzione, possiamo usare questo servizio web per controllare se è visibile su internet. Non so quanto sia efficace, ma di sicuro è meglio che non fare niente.

Nel lungo periodo, è chiaro che le aziende che producono i dispositivi IoT devono decidersi a curare di più (e meglio) la sicurezza del software di gestione dei loro dispositivi, rendendosi pienamente conto dei rischi associati al loro uso. I dispositivit IoT non saranno pericolosi quanto una macchina lanciata a piena velocità in autostrada, ma è sempre meglio non sfidare la sorte.


  1. Io l’ho fatto per scrivere questo articolo ma non mi è piaciuto per niente. E comunque poi ho cercato di rimettere tutto a posto. 
Annunci
Tagged with: , , , , , ,
Pubblicato su hardware
5 comments on “La privacy al tempo dell’Internet of Things: gran finale
  1. Matteo Tibolla ha detto:

    Bell’articolo! Ma questo tipo di servizio è legale? E se lo è la colpa è di chi non si protegge abbastanza?

    Mi piace

  2. The Lupus ha detto:

    Grazie davvero per questa carrellata sulla privacy & IoT.

    L’ho riletta tutta d’un fiato stamattina e, pur ritenendomi attento al tema, sono contento di non essere ancora IoT addicted.

    Se ne riparla al prossimo trasloco…

    Mi piace

    • Sabino Maggi ha detto:

      Grazie a te per l’apprezzamento!

      Il bello è che non ho niente contro l’IoT, anzi sono convinto che sia potenzialmente è molto utile. Purtroppo le implementazioni fanno spesso semplicemente schifo, sia a livello di sicurezza che di altro.

      Tanto per fare un esempio banale, pochi giorni fa sono tornato a Fasteweb e mi hanno mandato un modem/router con chiave di accesso personalizzata inserita nella scatola. Naturalmente l’ho cambiata subito, ma anche se non è sicura al 100% (anzi!), di certo è molto meglio che la solita coppia admin/password o admin/admin per il login nei router commerciali (che pochissimi cambiano durante la configurazione, anche perché spesso la configurazione la fa un tecnico annoiato e che non vede l’ora di finire).

      Che ci vuole a fare una piccola cosa come questa per i router e i dispositivi IoT in generale? Un piccolo fastidio per l’azienda, ma un grande vantaggio per l’utente finale (lo so, l’ha già detto qualcuno…)

      E non parliamo del software di gestione, che nella maggior parte dei casi è veramente penoso.

      Liked by 1 persona

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

w

Connessione a %s...

Informativa
Questo sito utilizza cookie di terze parti per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, clicca qui. Scorrendo questa pagina, cliccando su un link o su qualunque altro elemento o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie.
Follow Melabit on WordPress.com
Categorie
%d blogger hanno fatto clic su Mi Piace per questo: