Un’armata di spazzolini smart può attaccare la rete di casa e far crollare interi siti web? E invece, un bollitore connesso può essere più furbo di un cyber criminale? La prima è una fake news girata nei giorni scorsi su tre milioni di spazzolini elettrici connessi che sarebbero diventati lo strumento per un gigantesco attacco DDoS, ovvero un distributed denial-of-service, un tipo di attacco informatico in cui un cybercriminale sovraccarica un sito web, un server o una risorsa di rete con traffico dannoso generato da apparecchi zombie (gli spazzolini, in questo caso) di cui ha preso il controllo.
Il secondo, invece, è il titolo (in inglese) di un articolo scientifico curato da un gruppo di ricercatori italiani che è stato accettato da una delle più autorevoli conferenze di cybersicurezza di settore: la IEEE International Conference on Pervasive Computing and Communication.
Il gruppo, composto da Francesco Buccafurri, professore ordinario di cybersecurity all’Università Mediterranea di Reggio Calabria, Sara Lazzaro (dottoranda di ricerca alla stessa Università), Vincenzo De Angelis (ricercatore all’Università della Calabria) e Anna Maria Mandalari (assistant professor alla University College London) ha affrontato un problema semplice ma insidioso: come accorgersi se la rete di casa, dove convivono oramai decine di apparecchi connessi di varia provenienza e grado di intelligenza, è vulnerabile a pericolosi attacchi cyber?
Un terzo dei dispositivi è vulnerabile
Il gruppo ha sviluppato un modello di analisi proattiva, basato su un tool software, Repliot, capace di effettuare lo stesso tipo di attacchi che potrebbero essere fatti da un ipotetico malintenzionato, per verificare se gli apparecchi connessi alla rete domestica, che provengono da aziende e fornitori molto differenti, sono effettivamente sicuri. Il risultato? Nei test è risultato vulnerabile un terzo dei dispositivi testati, quasi tutti di produttori diversi (dal bollitore dell’acqua al sensore di apertura del cancello del garage, dagli speaker audio al baby-monitor per sentire se il neonato si è svegliato nell’altra stanza). Con dei rischi potenziali piuttosto gravi.
Il problema è il moltiplicarsi degli apparecchi collegati alla rete. Dalle lampadine intelligenti alle strisce led di luci per il relax, dalle prese smart alle webcam di sicurezza, dalle serrature elettroniche ai robot per pulire i pavimenti di casa, ci sono decine e decine di possibili “bersagli” che possono essere attaccati e compromessi. Bersagli mobili, oltretutto, perché dotati di firmware e sistemi operativi in costante aggiornamento da remoto, che una versione dopo l’altra possono chiudere delle “falle” di sicurezza ma anche aprirne altre.
“Quando abbiamo verificato che una serie di apparecchi non era sicura – dice Buccafurri – abbiamo fatto una “divulgazione responsabile”, come si dice nel settore, informando le aziende coinvolte”. Ma è solo la punta dell’iceberg, perché gli apparecchi sono letteralmente decine di migliaia, impossibile analizzarli e tantomeno metterli tutti in sicurezza. “La compliance andrebbe fatta in continuazione, senza mai fermarsi”, dice Buccafurri.
Attacco “replay” alla rete di casa
Il modello di attacco analizzato non passa da internet, invece coinvolge lo scenario della rete locale: l’utente è in casa e si connette tramite una app sul telefonino ai dispositivi. Non c’è un passaggio dall’esterno, ma se un apparecchio è stato “trovato” sulla rete e compromesso l’attaccante può fare una serie di operazioni anche molto gravi: può effettuare un attacco “replay” ai dispositivi sensibili a questo tipo di strategia, cioè “ascoltare” l’attività dell’utente, registrarla per poi ripeterla.
Gli effetti di questo tipo di attacchi possono essere innocui (una presa elettrica smart che fa le bizze) oppure portare a conseguenze gravi. Sollecitare in maniera eccessiva una apparecchiatura elettrica può surriscaldarla, danneggiarla, si può anche rischiare un incendio. Dopotutto, uno degli attacchi più perniciosi in rete, il famigerato Stuxnet, il virus informatico (probabilmente del Pentagono) che attaccava gli impianti industriali iraniani per la produzione di uranio arricchito, si basava proprio su questo principio: mandava in sovraccarico le centrifughe fino a romperle. Nel piccolo, un attacco agli apparecchi di casa può avere conseguenze del genere, fulminando lampadine smart, aprendo e chiudendo il portone del garage, avviando depuratori d’aria o robot che puliscono i pavimenti sino a farli rompere.
Non meno grave sarebbe l’impatto di attacchi replay su dispositivi di sorveglianza e protezione della casa. “Apparecchi connessi a basso costo, con poca attenzione alla sicurezza, progettati senza un’adeguata cultura della cybersecurity, costituiscono il rischio maggiore”, dice Buccafurri.
Repliot, il tool sviluppato dai ricercatori, analizza tutto quello che si trova nella rete di casa e lo testa effettuando una prova per vedere se riesce a superare le difese di ogni particolare apparecchio. Il tool è “agnostico” rispettivamente ai dispositivi da analizzare e ai protocolli di comunicazione da essi usati. Un modulo di analisi basato sul machine learning è poi incaricato di verificare se l’attacco è andato a buon fine, cosa che rende la soluzione completamente automatica e scalabile. E che potrebbe offrire una chiave per la protezione concreta in un futuro sempre più di insicurezza delle reti di casa.