Lo scorso venerdì è stato un giorno difficile per gli utenti del web USA: diversi siti e servizi online anche importanti, come PayPal o eBay, sono stati a tratti impossibili da raggiungere a causa di un attacco al provider Dyn, che offre servizi DNS negli Stati Uniti. A finire sotto accusa sono alcuni tipi di dispositivi “smart” e in prospettiva il modo in cui i produttori stanno implementando il concetto delle Smart Home. E Apple potrebbe indirettamente trarne vantaggio.
Ma per capire lo scenario bisogna fare un passo indietro. Quello a Dyn è solo il più recente di alcuni attacchi che sono stati realizzati tramite le cosiddette botnet, ossia reti di dispositivi (di norma computer, ma non solo) di cui hacker ostili prendono il controllo e li usano per sovraccaricare siti specifici. Le botnet inviano richieste di connessione talmente numerose che il sito nel tentativo di soddisfarle tutte finisce per bloccarsi, o comunque per non essere raggiungibile dalle connessioni degli utenti normali.
Negli attacchi di queste settimane le botnet erano costituite, del tutto o in parte, da dispositivi che non erano PC, bensì oggetti più o meno “smart” come media player connessi in rete, videocamere di sicurezza e router internet. Da qui al resto delle Smart Home il passo è breve.
Un’insicurezza diffusa
Il problema di questi dispositivi è che in molti casi non hanno particolari funzioni di sicurezza, non sono stati progettati pensando che qualcuno avrebbe cercato di violarli e di prenderne il controllo. Non hanno sistemi di cifratura delle comunicazioni e talvolta si accede alla loro parte di gestione usando password di sistema molto semplici, che l’utente non modifica e che un attaccante può scoprire facilmente. Oppure queste password di sistema nemmeno si possono cambiare, perché sono codificate nel firmware.
In questo scenario era facile che hacker ostili sviluppassero programmi per violare questi dispositivi così poco protetti e prenderne il controllo. Così è stato e uno di questi malware, battezzato Mirai, è stato anche reso liberamente disponibile al pubblico. Così la probabilità che qualcuno scateni un attacco si è fatta ancora più elevata.
Ora il problema è noto ma la soluzione non è a portata di mano. Nella fretta di sviluppare prodotti “smart” molti produttori hanno trascurato l’aspetto sicurezza e devono ripensarci da zero. Almeno dovrebbero, ma molte case minori non ne avranno la convenienza economica e non ci sono (ancora) norme e certificazioni obbligatorie che spingano a farlo.
Perché Apple ha un vantaggio
Apple ha il suo approccio alla Smart Home, ma non è ancora molto diffuso: HomeKit. I più critici hanno visto nel poco successo di HomeKit un ritardo incolmabile, ma proprio una caratteristica che ha rallentato l’approccio Apple è ora un suo punto di forza: l’attenzione alla sicurezza.
In HomeKit infatti un singolo dispositivo smart non è “solo” di fronte alle minacce della rete. Le comunicazioni verso il singolo device devono transitare o attraverso un dispositivo iOS oppure attraverso iCloud ed in entrambi i casi la comunicazione è cifrata e basata su coppie di chiavi che non sono liberamente disponibili ma conservate in maniera sicura.
Inoltre ogni accessorio HomeKit certificato integra un processore crittografico per l’autenticazione delle comunicazioni che lo riguardano. Un processore che sicuramente ha fatto scegliere a molti produttori “low cost” di non affrontare la complessità della sua gestione ma che, in questa fase, mostra tutta la sua importanza.
HomeKit ovviamente non è l’unica piattaforma di Smart Home pensata sin dall’inizio con un occhio alla sicurezza, però gli attacchi di queste settimane fanno ben capire come quelle progettate con poca attenzione rappresentino un rischio che sempre meno saremo disposti a correre. Anche perché, molto probabilmente, dall’alto arriveranno normative e obblighi volti a impedire che qualche milione di webcam cinesi da pochi euro mettano sotto scacco il Web.
[…] in profili. Ad esempio si può avere un profilo per il controllo di un sistema di illuminazione compatibile HomeKit e un altro per il semplice controllo della riproduzione […]