L’IoT (Internet of Things), italianizzato in “internet delle cose“, è una realtà che ormai diamo per scontata. Gli oggetti smart, ovvero quegli oggetti – piccoli e grandi – con la possibilità di connettersi alla rete internet, ci circondano e difficilmente riusciremmo a farne a meno. Smartphone, smartTv, automobili, frigoriferi, forni a microonde, caldaie, orologi, giocattoli. L’elenco potrebbe essere lungo. Se volete fare un esercizio, distogliete lo sguardo dallo schermo dell’oggetto smart che stringete tra le mani in questo momento e guardatevi intorno: provate a contare gli oggetti smart da cui siete circondati. Non riuscireste a scovarli tutti.
Numero destinati a crescere
Nel 2021 (e a distanza di tre anni i numeri non possono che essere aumentati) gli smartphone connessi alla rete IT in Italia erano 55 milioni, a fronte di 20 milioni di computer. Nel 2023 gli oggetti smart connessi erano 140 milioni. Numeri che difficilmente diminuiranno.
Se tutto questo rappresenta il futuro verso cui andiamo incontro, se è vero che l’IoT ha per certi aspetti migliorato la nostra vita, è altrettanto vero che – con questi numeri – la superficie di attacco offerta a un qualsiasi cyber criminale è sconfinata. Qualche esempio?
Una superficie di attacco sconfinata
Il DefCon è un importante convegno hacker che si tiene ogni anno a Las Vegas, durante il quale (tra le altre cose) diversi esperti in materia testano la sicurezza dei dispositivi elettronici usciti in commercio. Nel 2016, per il secondo anno consecutivo, è stato dedicato uno spazio al tema dell’internet delle cose. I risultati dell’anno precedente erano stati sconfortanti: 66 diverse vulnerabilità scoperte in 28 dispositivi prodotti da 18 aziende. Si sperava dunque che i produttori fossero corsi ai ripari. E invece no. Il 2016 registrò 47 falle nella sicurezza di 23 sistemi messi in commercio da 21 diversi produttori. Nel 2017 il numero delle vulnerabilità era semplicemente eccessivo, così come eccessivo era il numero delle aziende coinvolte.
In quel contesto, i ricercatori sono riusciti in vario modo a prendere il controllo e sabotare gli oggetti più insoliti: un virus è stato installato nei termostati di un impianto di climatizzazione domestico, invertendone il funzionamento. Il messaggio che appariva sul monitor al malcapitato proprietario lo invitava a pagare un riscatto in Bitcoin per riprendere il controllo della temperatura di casa. Altri sono riusciti a sfruttare dei baby monitor per inviare messaggi audio degni di un film dell’orrore. Per non parlare delle automobili.
L’automobile che si trasforma in arma
Proprio nell’ambito dell’automotive, gli attacchi simulati nel corso degli anni hanno dato risultati inquietanti. Gli attacchi hanno consentito, per esempio, di dirottare il veicolo intervenendo sul sistema di navigazione o di guida automatica; di scatenare un incendio durante la fase di ricarica elettrica. Un’automobile è stata addirittura utilizzata come vettore per iniettare un malware destinato alla rete elettrica.
La sfida del futuro
Uno scenario piuttosto preoccupante. E se valutiamo l’accessibilità dei sistemi, la loro complessità gestita spesso da diverse intelligenze artificiali che dialogano tra loro, e a questo aggiungiamo le diverse debolezze e vulnerabilità di ognuna delle tecnologie in gioco, possiamo ben renderci conto della moltiplicazione e dilatazione dei rischi, che è proporzionale alle opportunità offerte.
La sfida dei prossimi anni sembra proprio questa: da un lato implementare la sicurezza e la sostenibilità degli oggetti smart che ci circondano; dall’altro sensibilizzare l’utente finale, il cittadino che di questi oggetti si serve quotidianamente avendo ben chiari i benefici, ma ignorando completamente i pericoli che potrebbero annidarsi.
