Post

Internet of things: c’era una volta l’hacking “etico”

22 Maggio 2016 7 min lettura

author:

Internet of things: c’era una volta l’hacking “etico”

Iscriviti alla nostra Newsletter

6 min lettura

Non c'è dubbio che parlare di hacking nel 2016 sia molto, molto difficile. I tempi in cui Kevin Mitnick faceva notizia per essere uno dei primi veri hacker arrestati dopo anni di ricerche sono passati e ora il Condor, l'autore di "The art of Deception", è a capo di una azienda che fa consulenza sulla sicurezza informatica. Se leggete oggi il suo libro, pietra miliare dell'ingegneria sociale, vi sentirete trasportati negli anni '90 più che guardando un episodio di Non è la Rai.

Parlare di hacking oggi è tanto difficile anche perché, ora che il grande pubblico ha capito che la tecnologia è davvero così invasiva da non poterla ignorare, e ora che forse può essere afferrato il lato romantico del "mettere le mani dentro il motore" per vedere come funziona e farne qualcosa di meglio, quel tipo di personaggi sta lentamente scomparendo. Inevitabilmente con l'evoluzione tecnologica, l'ecosistema Internet ha attirato una quantità incredibile di soldi e di conseguenza anche gli hacker sono sempre più professionisti, mercenari. Oppure sono personaggi che hanno visto troppe volte Mr. Robot, così banali e inesperti che basterebbe monitorare i download delle immagini della maschera di Guy Fawkes per rintracciarli tutti.

Oggigiorno, le migliori teste sembrano assoldate da governi troppo curiosi o da società poi ingaggiate da governi troppo curiosi e poco legittimi che riescono a eludere ogni tipo di tecnica di sicurezza messa a punto oggi al solo scopo di scoprire, invadere, sorvegliare, tracciare e conservare. Aaron Swartz è forse l'ultimo ragazzo ad aver sposato la vera mentalità dell'hacker e il trattamento riservato a personaggi come Edward Snowden non incoraggia sicuramente a forzare le regole per ottenere un mondo migliore.

Miliardi di finestre aperte sulle nostre vite

Se tanto è cambiato a livello sociale, economico e politico nel mondo della tecnologia, c'è qualcosa che ha davvero segnato il passo nella pratica dell'hacking: questo qualcosa è stato denominato Internet of things (IoT). Questo termine sta a rappresentare la galassia di oggetti, più o meno piccoli, che sono connessi tra di loro e di conseguenza con Internet: gli smartphone ovviamente e gli smartwatch (in genere tutto quello che ironicamente comincia con smart), ma anche i frigoriferi, le auto, i termostati, l'irrigazione, la tv, la bilancia e tutto quello che in sostanza abbia delle lucine che si accendono. Tutti questi dispositivi, per raggiungere il nostro perfetto benessere, comunicano tra di loro e scambiano dati, i nostri dati, elaborazione dopo elaborazione, statistica dopo statistica, previsione dopo previsione.

Nel 2011 una ricerca commissionata da CISCO - che è il leader indiscusso nel far comunicare scatole di plastica tra di loro a livello mondiale, conteneva una (neanche troppo) grossolana previsione di quali saranno i numeri nel 2020: se il numero di dispositivi connessi nel 2015 è di 3,47 per ciascun essere umano, nel giro di 5 anni (3 e mezzo ormai) saranno 6,58. Se contiamo che nel novembre 2015 solo il 46,4% della popolazione mondiale utilizza Internet (fonte), ci possiamo rendere conto che in realtà, per noi della parte ricca del mondo, il dato è molto più alto: forse pensare a 30 dispositivi interconnessi a testa si avvicina di più alla realtà.

Evans (2011)
Evans (2011)

Tutti i dispositivi connessi non faranno (rectius, fanno già) che raccogliere, elaborare e scambiare dati sulla nostra vita: una quantità di informazioni che negli ultimi due anni ha superato il totale di quante ne siano mai state prodotte dall'uomo, a partire dai tempi dei graffiti, per avere una vaga idea di cosa si sta parlando. Più dati di quanti sia possibile conservare, senza dubbio. Solo un folle può pensare di garantire la sicurezza per una mole così grande di informazioni e di dispositivi di raccolta.

Fatto il programma, trovato l'inganno

Ciò che questi miliardi di apparati hanno in comune sono allo stesso tempo i loro punti di forza e le loro debolezze: in primis, tutti i device funzionano grazie a del software scritto da umani; secondo, per poterci servire al meglio, questi sono collegati a Internet per scambiare informazioni tra di loro, o con un servizio di elaborazione dati. Dove c'è un programma c'è un bug e dove c'è un programma fallato connesso alla rete c'è una possibilità di intrusione, una porta aperta con un biglietto di benvenuto. Ora rileggete quanti dispositivi interconnessi avremo in pochi anni e provate a pensare quante possibilità di intrusione nella vostra sfera privata avete messo a disposizione ai cosiddetti malintenzionati.

Altri punti deboli dell'IoT sono purtroppo ben conosciuti e non sono assolutamente utilizzabili solo da hacker esperti: lo scarso aggiornamento del software (firmware) dei dispositivi cosparge il mondo reale di vecchie scatoline elettroniche così facili da forzare che può farlo anche automaticamente un sito internet, senza il minimo intervento umano (vedi qualche rigo più sotto). Allo stesso modo, nulla può la tecnologia più avanzata se poi, all'installazione del termostato o del servizio di video sorveglianza, si lascia impostata la password di default: Shodan.io è l'equivalente di Google per l'IoT.

Basta impostare qualche parametro e questo servizio cercherà tra tutti i dispositivi connessi alla rete: è sorprendente e pauroso allo stesso momento. Scorrendo tra le categorie di ricerca, si capisce la vastità del problema: sistemi industriali, database, video sorveglianza... Giocando con qualche parametro si possono ottenere esclusivamente i risultati dei sistemi con ancora le impostazioni di accesso di fabbrica o, per fare uno degli esempi più gettonati, con il sistema di controllo remoto senza alcuna password impostata.

È questione di qualche minuto prima che possiate essere in grado di fare qualsiasi operazione in qualsiasi parte del mondo: controllare la stampante e lo scanner di un ufficio, aumentare l'aria condizionata nell'abitazione di un ignaro indiano o azzerare il conto di qualche ristorante messicano, ma anche gestire da remoto un distributore di carburanti irlandese, una coltivazione di patate in Svezia e una serie infinita silos, motori elettrici e impianti termici. Tutto a pochi click di distanza.

Ma io ho ancora il termostato con i 'cavalieri' e uso Internet solo per Facebook!
Se da un lato gli scenari apocalittici da film americano sono l'immagine che ognuno di noi ha in testa - e in parte realistici, visto che a inizio anno un impianto nucleare ucraino è stato hackerato - chi fa un uso casalingo della rete potrebbe sembrare più immune a tali attacchi. O almeno, meno interessante. La brutta notizia è che tutti noi siamo bersagli, anche nella nostra profonda piccolezza nei confronti della vastità della rete.

Una delle prime e più diffuse forme di hacking dell'IoT primordiale, è stata (ed è ancora) lo sfruttamento di bug nel software di router e modem casalinghi - che ogni utente connesso a Internet per forza di cose possiede - per poter impiantare malware, piccoli programmini che, senza interrompere il normale funzionamento dell'apparecchio, ne prendono il controllo e lo utilizzano per scopi poco leciti. Basti pensare ai numerosi attacchi che gruppi organizzati portano contro siti, molto spesso a scopi di protesta o propagandistici. Questi attacchi denominati DDoS (Distributed Denial of Service) consistono nell'inondare un server che ospita un particolare sito web di richieste, tante richieste, troppe richieste per essere gestite.

La macchina ricevente smetterà di funzionare, un po' come il vostro vecchissimo computer che collassa sotto i click furiosi fatti su dieci programmi contemporaneamente. Per poter effettuare un attacco efficace, gli attaccanti utilizzano una enorme rete detta botnet di device sotto il loro controllo manovrata secondo l'esigenza. In parole povere: il vostro router bianco con i led azzurri molto probabilmente ha contribuito a far cadere uno di questi siti. Se fate un giro nei mercati illegali presenti sotto la rete Tor/Onion, con qualche centinaia di dollari in Bitcoin potrete noleggiare una botnet per mandare offline chiunque vogliate.

Iscriviti alla nostra Newsletter


Come revocare il consenso: Puoi revocare il consenso all’invio della newsletter in ogni momento, utilizzando l’apposito link di cancellazione nella email o scrivendo a info@valigiablu.it. Per maggiori informazioni leggi l’informativa privacy su www.valigiablu.it.

Può sembrare comunque inoffensiva nei vostri confronti un'intrusione di questo genere, ma se pensate che attraverso i vostri router passano tutti i dati che scambiate dai pc, capirete subito che furti di identità e di dati di pagamento sono estremamente facili, come se non fossero sufficienti i modi di ingannare un utente medio mentre naviga su internet. Chi ha anche un babymonitor wifi a questo punto avrà capito che qualcuno da qualche parte del globo sta osservando quello che accade dentro casa. Ma basta più semplicemente una Barbie o una smart-tv per avere accesso al flusso continuo di audio e video in diretta dal vostro salotto.

La soluzione non è fuggire dalla tecnologia e tornare a vivere nell'era pre Internet (i criminali c'erano lo stesso, e probabilmente era più difficile scovarli), ma fare un utilizzo cosciente degli strumenti che abbiamo in mano. O quantomeno, cambiare la password di sistema, senza utilizzare il proprio nome o la data di nascita. No, anche se la scrivete al contrario, non siete sicuri.

Nessun dispositivo è stato molestato nella scrittura di questo articolo. Le immagini sono solo screenshot provenienti da Internet e nessun sistema è stato violato.

Segnala un errore