Spiare le persone attraverso i dispositivi smart, l’esperto di cybersicurezza spiega come difendersi
Con lo smartphone tra le mani possiamo fare di tutto. Possiamo avviare la lavatrice, tenere sotto controllo il termostato, accendere e spegnere il climatizzatore e perfino le lampadine. Se connessi a internet, si può anche tenere d'occhio il videocitofono e le telecamere di sorveglianza. In altre parole, questo è l'internet of things: l'internet delle cose meglio conosciuto come Iot. Una tecnologia che ci permette di avere il controllo di quasi ogni oggetto elettronico di casa a portata di mano. La nostra, o di chi riesce a entrare. È in poche parole quanto accaduto a quelle persone in tutta Italia che hanno scoperto di essere stati spiati attraverso i sistemi di videosorveglianza. "Spesso ci dimentichiamo di essere circondati dall'Iot, ne sottovalutiamo i pericoli", spiega a Fanpage.it Riccardo Meggiato, ex programmatore d'intelligenza artificiale, esperto di sicurezza informatica, consulente in digital forensics. "Tendenzialmente questi dispositivi non hanno alcun sistema di protezione e posso trasformarsi in porte d'accesso a chi cerca qualche informazione su di noi".
Come fanno a spiarci tramite i dispositivi smart
L'operazione "Rear Window" ha portato undici persone a essere indagate per associazione a delinquere in quanto spiavano nelle case di migliaia di persone sparse in almeno dieci città italiane. Per chi non conosce i pericoli della Iot, si direbbe quasi un lavoro da hacker. "Non è così, è più facile di quanto si pensi, può farlo praticamente chiunque", controbatte Meggiato. Ogni dispositivo capace di collegarsi a una rete internet, ha un suo specifico indirizzo Ip (Internet Protocol address). "Basta risalire all'Ip del dispositivo che vogliamo violare per collegarsi. Di solito i dispositivi di Iot non hanno nemmeno un sistema di autenticazione, quindi non serve alcuna password", osserva Meggiato. E risalire agli indirizzi Ip non è nemmeno così complicato. Esistono dei database che riportano non solo l'indirizzo, ma anche l'azienda produttrice di quel dispositivo. "Anche se dovesse esserci una password, nella maggioranza dei casi le persone lasciano quelle di impostazione di fabbrica, alle quali si può risalire senza troppa fatica".
Un metodo, quello dell'indirizzo Ip, che può essere replicato anche per i router: quelle scatolette che ci installano in casa per permettere la connessione a internet, e che sono già inserite anche nei nostri smartphone. Dalla sua esperienza professionale, l'esperto in sicurezza informatica fa notare che "se riescono a risalire all'Ip di un router, possono controllare tutto il flusso di informazioni inviate e ricevute da ogni dispositivo connesso". Dei dispositivi di Iot c'è una richiesta che cresce ogni giorno di più. La loro comodità è evidente, ci rende la casa sempre più controllabile sotto ogni aspetto. Tuttavia, la crisi di microchip di cui si è tanto parlato qualche effetto lo sta lasciando. "I magazzini delle aziende produttrici si stanno svuotando – commenta Meggiato – Questo comporta che quando compriamo uno di questi dispositivi, anche se all'esterno sembra nuovo di zecca, il circuito elettrico al suo interno è vecchio. Vuol dire che anche il sistema di sicurezza di cui è dotato è vecchio e, quindi, poco efficace".
Se da un lato la tecnologia si sta migliorando ogni giorni di più, dall'altro la sicurezza sta rimanendo indietro. Le statistiche parlano di casi di sfruttamento di vulnerabilità raddoppiati nel 2021 rispetto all'anno precedente. "Le vulnerabilità altro non sono che buchi di programmazione, errori che possono far entrare malintenzionati", spiega Meggiato. L'equazione anche in questo caso è semplice. Per realizzare software sempre più complessi, è necessario scrivere sempre più linee di codice. Questo comporta a più lavoro, quindi più possibilità per il programmatore di sbagliare. Ci sono due tipi di vulnerabilità: le zero-day e quelle di pubblico dominio. "Le zero-day sono quelle di cui lo sviluppatore non è ancora a conoscenza. Quindi, "zero giorni" da quando la vulnerabilità è conosciuta. Le altre, invece, sono quelle che vengono rilevate e corrette dagli sviluppatori in un secondo momento. Queste sono le più pericolose. Sono accessibili da chiunque". Come degli indirizzi Ip, anche in questo caso esistono database pieni di questi errori.
Come difendere la propria privacy?
Insomma, la tecnologia sembra esporci fin troppo a possibili attacchi. Esistono, però, alcune contromisure che si possono adottare. Ad esempio, la polizia postale nelle sue raccomandazioni ricorda come è bene usare password complesse, che non siano parole di senso compiuto, che abbiano numeri e caratteri speciali. Il consiglio spesso ignorato è quello di usare password diverse per ogni account. "Se proprio non ci si riesce, almeno di usarne di uniche per i dati sensibili come la posta elettronica", raccomanda Meggiato. Infatti, se è pur vero che multinazionali come Google e Apple hanno buoni sistemi di difesa, questa cosa non vale per altri tipi di siti. Quindi in cui qualcuno riuscisse a ottenere la password di un vostro account in un sito secondario, questo proverà a usarla anche per entrare in altri siti come, appunto, quello di posta elettronica.
"Non solo – aggiunge Meggiato – è importante anche aggiornare i sistemi operativi". Infatti, la prima mossa per evitare le vulnerabilità di pubblico dominio consiste nell'aggiornare il dispositivo. Se l'errore può cadere nelle mani di malintenzionati, può anche essere corretto dallo sviluppatore. Ma se non si aggiorna con l'ultima versione, questo non verrà mai corretto. "È vero che a volte questi sistemi di Iot sono difficili da aggiornare. Anzi, il più delle volte non ti arriva nemmeno una notifica quando devi farlo". Tuttavia, come nel progresso tecnologico è importante tenere il passo anche per quanto riguarda la sicurezza: "D'altronde, se le aziende spendono fior di soldi per avere un team che gli controlli gli aggiornamenti dei software, un motivo ci sarà".
Anche nella prevenzione, bisogna stare attenti a non cadere in bufale o facili suggestioni. "C'è stato un periodo in cui tutti avevano la psicosi delle telecamere dei pc", ricorda il consulente in digital forensics. Qualcuno copriva l'obiettivo della videocamera del portatile con del nastro adesivo, addirittura alcune compagnie hanno iniziato a commercializzare pc che hanno una "porticina" che la chiude. "Entrare nei pc è possibile solo attraverso virus di una certa importanza, dei trojan che costano diverse migliaia di euro. Se non siete persone a rischio di questi tipi di attacchi così costosi, non correte alcun pericolo".
