…e se la vostra lampadina vi ascoltasse ? La sicurezza ai tempi dell’IoT

“When my light bulb can be listening to me, I have a problem”
Dean Souleles

Vi ricordate il selfie di Zuckerberg che mostrava, nello sfondo, la webcam del suo laptop coperta da nastro adesivo ? E forse, se siete appassionati di serie TV, avete anche visto la puntata “Zitto e balla” di Black Mirror (se non l’avete vista o se, peggio, non conoscete la serie, correte a rimediare immediatamente !).

Proprio in queste ore, al forum annuale ICIT, stanno ancora una volta affrontando il problema della sicurezza dovuto all’enorme diffusione di dispositivi IoT: dal frigorifero alla lampadina, sempre più dispositivi che consideravamo analogici si stanno evolvendo, collegandosi ad Internet ed offrendoci esperienze innovative. Ma, contemporaneamente, sono potenziali strumenti invasivi alla nostra privacy: microfoni, webcam, sensori che scrutano 24h al giorno nelle nostre case, ascoltando i nostri rumori, le nostre conversazioni, registrando la nostra vita e monitorizzando le nostre abitudini.

La prossima frontiera degli attacchi informatici sono proprio i dispositivi IoT: economici, non sempre sofisticati ma potenti abbastanza da contenere un sistema operativo ed uno stack TCP/IP capace di comunicare in Rete. Sono il bersaglio perfetto, tanto che con la diffusione del codice sorgente del malware Mirai, sviluppato proprio per i dispositivi IoT, il pericolo di attacchi DDoS che sfruttano tali dispsitivi è più concreto che mai.

La minaccia alla nostra privacy non arriva solamente da malintenzionati o “blackhat”: anche molti governi, come abbiamo visto ad esempio con il DDL Orlando, l’uso di trojan e malware di Stato viene autorizzato anche per indagini ed intercettazioni su reati minori. I dispositivi IoT, come ad esempio le smart TV che molti italiani ormai hanno nel salotto di casa, sono il bersaglio ideale (e la CIA lo sa…).

La questione, ormai, è come difendersi da invasioni non autorizzate alla nostra privacy. Rinunciare a molte comodità fornire dalla tecnologia non sembra ormai una strada praticabile: sono stati investiti miliardi di soldi pubblici per le infrastrutture di comunicazione e per il superamento del digital divide, aprendo la strada non solo a nuovi mercati ed opportunità ma anche a servizi innovativi per gli stessi cittadini. Rinunciarvi adesso non sembra la strada migliore. Quello che, invece, è necessario ed opportuno fare è escogitare strategie adeguate a difendersi da connessioni TCP/IP non desiderate. Una volta era abbastanza facile: le lucine del modem a 33.6Kbps lampeggiavano furiosamente anche senza apparente attività. Ma oggi, con connessioni da oltre 300Mbyte al secondo, come capire se c’è del traffico non autorizzato ? E, soprattutto, quanti degli oltre 39 milioni di utenti italiani connessi in Rete hanno anche solo la percezione del problema ?

Non è un problema nuovo: da qualche anno se ne parla, almeno da quando un pesante attacco DDoS ha colpito i big della Rete, scatenato anche attraverso i frigoriferi smart della Samsung. E gli stessi produttori di questi dispositivi inseriscono, nei manuali utente, l’avvertimento che audio e/o video catturato nelle abitazioni potrebbe essere trasmesso, attraverso la Rete, a server remoti per l’analisi vocale. Che poi, è esattamente ciò che spesso autorizziamo noi stessi a far fare da software come Google Now o Siri, i nuovi “assistenti virtuali” che analizzano la nostra voce ed elaborano le risposte, ovviamente sui server dei rispettivi produttori.

Qualcuno potrà pensare che “non ho niente da nascondere, quindi non mi devo preoccupare”. Invece, proprio perché non ho niente da nascondere, voglio poter decidere io cosa far sapere ed a chi. Si chiama privacy. 

“No one shall be subjected to arbitrary interference with his privacy, family, home, or correspondence.” – The Universal Declaration of Human Rights

Michele Pinassi

Nato a Siena nel 1978, dopo aver conseguito il diploma in "Elettronica e Telecomunicazioni" e la laurea in "Storia, Tradizione e Innovazione", attualmente è Responsabile del Sistema telefonico di Ateneo presso l'Università degli Studi di Siena ed esperto di sicurezza informatica nello staff del DPO. Utilizza quasi esclusivamente software libero.

Potrebbero interessarti anche...

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

%d blogger hanno fatto clic su Mi Piace per questo: