Come possiamo evitare che il frigorifero ci rubi la carta di credito?
La Cyber Security, cioè la sicurezza dei dati che ogni giorno condividiamo più o meno consapevolmente attraverso i dispositivi tecnologici, non è solamente un problema da ingegneri informatici. Spinti dall’entusiasmo delle nuove possibilità che si creano ogni giorno affidiamo il nostro lavoro, i nostri soldi, i nostri ricordi e le nostre conversazioni più o meno segrete a strumenti che, in realtà, conosciamo ben poco.
Il 21 ottobre del 2016 servizi quali Twitter, Spotify, Netflix, Reddit e molti altri sono stati resi inaccessibili da esercito di dispositivi “zombie” (una botnet) controllati a distanza attraverso un malaware. Si trattava, in gran parte, di camere di videosorveglianza, quelle che possiamo comprare online o al negozio del nostro quartiere per controllare cosa succede in casa in nostra assenza. Questo attacco mostra come in realtà un hacker non sia necessariamente interessato ad accedere ai nostri dati ma punti soprattutto al controllo dei dispositivi che possediamo e che pensiamo di controllare.
Facciamo un esempio. Su Youtube, cercando “ipcamera trolling” è possibile trovare un filone di video che mostrano innumerevoli scherzi fatti da hacker che sono entrati in possesso degli speakers delle ipcamera appartenenti a privati cittadini. Nel loro utilizzo “normale”, infatti, tale speaker dovrebbe servire a un utente remoto per parlare con chi si trova vicino la telecamera ma, nel caso di questi scherzi, sentiamo la voce o i suoni degli hacker svegliano le persone nel cuore della notte con rumori sinistri o lanciando allarmi di imminenti attacchi nucleari.
https://www.youtube.com/watch?v=K8UVJRnlkes&t=75s
Il problema, però, non si limita a questi semplici scherzi. Infatti, questi attacchi potrebbero riguardare oggetti che sono in grado di avere degli effetti nel mondo fisico come, ad esempio, l’impianto frenante di un’auto o un pacemaker. In una ricerca di uno studente del MIT emerge come i dispositivi elettromedicali connessi possano essere soggetti ad attacchi potenzialmente molto pericolosi.
Tutto ciò è possibile a causa delle vulnerabilità software dei dispositivi connessi ma anche dalle cattive pratiche degli utenti. Molte ricerche, infatti, ci dicono che la maggior parte degli utenti non cambia le password di default (quelle impostate in fabbrica) dei propri dispositivi (es. router, ipcam ecc) perché la ritiene un’operazione inutile troppo difficile. La maggior parte degli scherzi fatti con le ipcamera, infatti, sono possibili perché gli ignari utenti hanno lasciato le username e password di fabbrica (di solito “admin” e “admin”).
Il fatto che questa operazione sia percepita come difficile ci segnala che l’interfaccia non è stata progettata correttamente mentre, la scarsa percezione dell’importanza di tale operazione deriva, dalla bassa consapevolezza dell’utente e da una mancata segnalazione del pericolo. Spesso, infatti, non siamo preparati ad annusare il pericolo negli ambienti dematerializzati della rete. Ma le cose possono cambiare. Come ci comporteremmo se il router che abbiamo in casa continuasse a emettere un bip fin quando non avessimo cambiato la password di default? O se tale operazione potesse essere fatta prendendo il router e scuotendolo invece che accendendo a una fredda interfaccia su uno schermo?
Nuove generazioni di designer si troveranno presto a progettare interfacce innovative degli oggetti connessi. Iniziamo, dunque, ad applicare buone regole di progettazione in questo nuovo dominio che vede l’ibridazione di mondo digitale e mondo fisico.
di Massimiliano Dibitonto, ricercatore DASIC