The Economist

Molti non vedono l’ora di poter collegare alla rete il televisore, la lavatrice o il termostato. Ma dal punto di vista tecnologico la sicurezza di questi apparecchi è spesso debole o inesistente.

(Siede Preis, Getty Images)

L’internet delle cose è uno degli argomenti più chiacchierati nel mondo dell’elettronica di consumo. L’idea è quella di inserire un computer in qualunque tipo di elettrodomestico – come televisori, lavatrici, termostati o frigoriferi – e poi collegarlo in rete.

Per chi lavora nel marketing è una trovata geniale: dare la possibilità di far partire la lavatrice dall’ufficio o di ricevere un’email dal frigo quando il succo d’arancia sta finendo è un modo per vendere più lavatrici e frigoriferi.

Ma per chi si occupa di sicurezza informatica il fenomeno è un po’ preoccupante. Sappiamo bene che internet è una strada a doppio senso: quando un dispositivo si collega alla rete, degli sconosciuti potrebbero riuscire a entrare e a fargli eseguire i propri ordini.

Il 16 gennaio una società di sicurezza informatica chiamata Proofpoint ha dichiarato che un episodio simile è già successo ed è rimasto compromesso un gruppo di computer formato almeno in parte da dispositivi intelligenti come router casalinghi, impianti antifurto, webcam e un frigorifero.

Questi apparecchi erano usati per spedire spam ed email che contenevano malware (un software creato per causare danni a un computer) in grado di trafugare informazioni utili come le password.

Per il momento questa rete non è molto estesa: è costituita da circa centomila dispositivi e ha inviato circa 750mila email. Ma è la dimostrazione che questi attacchi sono possibili e potrebbero preannunciare scenari anche peggiori, perché i computer contenuti nei dispositivi intelligenti sono obiettivi allettanti per i creatori di malware. La sicurezza di questi apparecchi è spesso debole o inesistente.

A quanto pare, molti dei computer identificati da Proofpoint sarebbero stati infettati usando il nome dell’utente e la password impostati dal fabbricante, che dovrebbero essere modificati subito dal cliente (ma quasi nessuno lo fa).

I computer contenuti in questi dispositivi sono composti da componenti economici facilmente reperibili sul mercato, su cui in genere gira del software standard. Quindi una volta che uno di questi dispositivi è stato violato tutti gli altri sono a rischio. Inoltre nei dispositivi intelligenti mancano molte delle protezioni che si usano nei computer, dove è possibile installare antivirus regolarmente aggiornati dai produttori di software.

Ross Anderson, uno studioso di sicurezza informatica che lavora all’università di Cambridge, è preoccupato dei rischi di questi questi dispositivi: sono a tutti gli effetti dei computer, e quindi potrebbero anche memorizzare file pedopornografici o prendere in ostaggio un sito web inondandolo di dati inutili.

“Cosa succederebbe, per esempio, se qualcuno scrivesse un malware per assumere il controllo dei condizionatori e accenderli e spegnerli a distanza?”, domanda Anderson. “Si potrebbe disattivare un’intera rete elettrica”.

Queste affermazioni possono sembrare paranoiche, ma nel mondo della sicurezza informatica le paranoie di oggi sono spesso la realtà di domani. Per ora, osserva Anderson, pochi produttori di dispositivi intelligenti prendono sul serio la questione della sicurezza. In fondo rendere un computer davvero sicuro costa molto e rallenta la commercializzazione dei prodotti.

Anderson auspica che la legge obblighi i venditori a garantire che tutti i dispositivi che si possono collegare a internet siano sicuri. In questo modo sarebbero loro ad avere la responsabilità di qualsiasi attacco informatico. Finora nessuno gli ha dato ascolto, ma è difficile che la scoperta di Proofpoint resti un caso isolato.

(traduzione di Floriana Pagano)

Questo articolo è uscito sull’Economist con il titolo Spam in the fridge.