La sicurezza degli oggetti connessi è una questione culturale. Molti dispositivi sono prodotti in serie con password preimpostate e misure di sicurezza scarse o assenti (video)
Quando si dice le coincidenze! L’altra sera ero seduto con due amici (un designer, uno sviluppatore e un maker, io) in un makerspace di Roma a parlare di lavoro, di futuro e di nuove idee. In particolare si parlava di come progettare prodotti connessi, cioè oggetti capaci di elaborare informazioni e di connettersi a internet (in una scala che va dal termostato di casa alle automobili del car-sharing), e delle implicazioni a livello di esperienza d’uso, interazione, usabilità e sicurezza.
Comincia l’attacco alla rete
Dai nostri smartphone ci siamo accorti che alcuni siti e servizi web si stavano comportando in modo “strano”, qualcosa rallentava, qualcosa non caricava. Un po’ come quando va via la luce nel palazzo e ci si affaccia sul pianerottolo o si bussa al vicino per chiedere se c’è corrente.
Così, sui social network, abbiamo iniziato a trovare informazioni su un attacco DDoS in corso. Cosa voleva dire? La disponibilità di servizi e informazioni digitali, pur essendo elementi intangibili e potenzialmente effimeri, è diventata qualcosa a cui siamo abituati, che diamo per scontato come l’elettricità nelle nostre lampadine. Ma, a differenza delle lampadine, alla maggior parte degli utenti è ignoto cosa faccia funzionare quell’insieme di servizi su cui probabilmente spendono gran parte del loro tempo.
Che cos’è un attacco DDoS
Un attacco DDOS, cioè un Distributed Denial of Service, è un attacco concettualmente molto semplice ma efficace. Tanti dispositivi iniziano a “contattare” un sistema online, creando una quantità di traffico tale da impedire al sistema colpito di rispondere ad ulteriori richieste, rendendo il servizio non disponibile. L’attacco è difficile da bloccare perché significherebbe distinguere tra il traffico reale (legittimo) e quello malevolo.
Per sferrare un attacco DDoS è quindi necessario avere a disposizione una botnet, ossia una rete di macchine infette (bot) che, a insaputa dell’utente, iniziano a eseguire i comandi inviati da qualcun altro sulla rete. Più la botnet è nutrita e distribuita più l’attacco sarà efficace.
Una delle particolarità di quest’attacco è stata quella di aver utilizzato una IoT botnet ossia una rete fatta non di computer “tradizionali” ma di oggetti connessi, in particolare router, sistemi di videosorveglianza, IP camera e DVR.
Anche se nel linguaggio comune il “computer” resta quello con tastiera, mouse monitor, il nostro mondo e le nostre vite si stanno riempendo di oggetti dotati di microprocessori e, soprattutto, connettività. Si tratta quindi di computer a tutti gli effetti incorporati e nascosti dentro automobili, elettrodomestici, giocattoli, semafori, dispositivi di sicurezza e una serie infinita di altri oggetti e, come tutti gli altri computer possono essere vulnerabili, o forse lo sono di più.
Qualche giorno fa Cybersecurity aveva pubblicato un interessante articolo di Arturo Di Corinto sulla checklist dell’OTA su come rendere sicuri i propri dispositivi connessi.
I rischi connessi all’uso di smart device
Altri casi famosi sono serviti ad allertare sul potenziale pericolo e la sostanziale incoscienza intorno alla sicurezza dell’IoT: l’hacking della Jeep che è costato a Chrysler il richiamo di 1,4 milioni di veicoli (immaginate che la vostra auto all’improvviso sia “telecomandata” da qualcuno), e i noti problemi di sicurezza delle ip cam e relative implicazioni per la privacy (cercate su Youtube “ip cam trolling” per una lista di scherzi fatti con ip cam hackerate).
Molti dispositivi sono prodotti in serie con password preimpostate e misure di sicurezza scarse o assenti, con conseguenze facilmente immaginabili. Il problema, tuttavia, è soprattutto di tipo culturale: la mancata percezione del pericolo e le scarse competenze sul funzionamento di alcuni sistemi fa si che gli utenti non si preoccupino di proteggere i propri dispositivi.
La sicurezza è anzitutto un problema culturale
Il problema culturale riguarda anche la progettazione dell’esperienza utente (UX) e delle interfacce che consentono di interagire con il dispositivo. Per molti, infatti, l’esperienza di configurare un router ma anche un semplice termostato può essere disastrosa e generatrice di ansia.
La difficoltà di progettare un’interfaccia di questo tipo è riuscire a ridurre la complessità di un modello tecnologico utilizzando un linguaggio e delle metafore “amichevoli” per l’utente . Semplificare e chiarificare, garantendo il feedback e controllo completo su tutti i parametri “vitali”, senza nascondere opzioni e senza ricadere in una salomonica imposizione di impostazioni di default
La soluzione, come sempre, è nel mezzo. Tornando all’esempio della corrente elettrica, come abbiamo imparato a distinguere una lampadina fulminata da un blackout, così dovremo imparare a riconoscere un oggetto connesso poco sicuro.
Allo stesso tempo, se per cambiare una lampadina bastano una scala e un po’ di attenzione così, per configurare e rendere sicuro un oggetto connesso, non dovrà essere necessario avere super poteri tecnologici.
MASSIMILIANO DIBITONTO
Ricercatore, Link Campus University, Roma