Sicurezza della casa intelligente: sicurezza e vulnerabilità

Questo è il riassunto di un articolo di una serie in cinque parti sulle tecnologie per l'implementazione di IoT. L'articolo completo è pubblicato su wevolver.com.

Vulnerabilità delle case intelligenti

Si prevede che entro il prossimo anno il numero di case intelligenti a livello globale arriverà a 478,2 milioni (1). Una delle maggiori attrattive della tecnologia di queste case risiede nell'uso di dispositivi connessi a Internet per proteggere da remoto le abitazioni residenziali. Malgrado i dispositivi di sicurezza delle case intelligenti permettano di proteggerle facilmente da furti, danni o incidenti, creano anche un rischio per la protezione dei dati personali.

Un progetto di ricerca del 2021 ha messo in luce che le case intelligenti sono vulnerabili a numerosi attacchi che hanno come obiettivo il furto di dati personali. (2) Fra i casi segnalati di attacchi contro le case intelligenti vi sono stati quelli di hacker che controllavano da remoto le luci intelligenti e le TV intelligenti (3), sbloccavano porte abilitate a IoT e accendevano da remoto e guardavano in streaming video da telecamere intelligenti. (4) In un caso, una famiglia del Milwaukee si è accorta dell'attacco solo quando si è svegliata dopo che il termostato era stato programmato a più di 30 °C (5).

Due sono i principali punti deboli delle case connesse che le rendono suscettibili a questi attacchi: reti locali vulnerabili e dispositivi IoT poco sicuri.

Reti locali vulnerabili

Il Wi-Fi può essere esposto agli attacchi a causa di SSID o password predefiniti o poco sicuri e di protocolli di crittografia vulnerabili. Credenziali predefinite permettono agli intrusi di accedere senza sforzi al router. Password Wi-Fi robuste spingono gli hacker a cercare gateway più difficili per infiltrarsi nella rete.

Lo sniffing e il cracking della crittografia sono i modi più comuni con cui gli hacker si introducono nella rete. Nel caso dello sniffing, gli hacker piratano qualsiasi pacchetto di dati trasmesso tra un dispositivo e un router, lo trasferiscono sulle proprie apparecchiature e utilizzano la forza bruta per decifrarlo. In genere bastano pochi minuti.

La maggior parte dei router Wi-Fi utilizzano il protocollo di sicurezza WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) o WPA2. WEP è un cifrario a flusso RC4. Il punto debole del WEP sono le piccole dimensioni del vettore di inizializzazione (IV a 24 bit), che ne causano il riutilizzo. Ed è questa ripetizione ciò che lo rende vulnerabile.

WPA e WPA2 sono opzioni più sicure, ma i ricercatori hanno individuato una pecca grave. KRACK, acronimo di Key Reinstallation Attack nel WPA. Un attacco man-in-the-middle può sfruttarlo per sottrarre dati sensibili tramite la connessione Wi-Fi crittografata WPA. Il pirata informatico potrebbe spiare il traffico o ottenere password, credenziali per le banche e informazioni sulle carte di credito.

Dispositivi IoT poco robusti

I ricercatori hanno testato complessivamente 16 dispositivi di diversi marchi usati comunemente nelle case intelligenti e hanno scoperto 54 vulnerabilità che esponevano gli utenti agli attacchi degli hacker. Gli attacchi possono spaziare dalla disattivazione dei sistemi di sicurezza al furto dei dati personali. (6) Si stima che l'80% dei dispositivi IoT sia vulnerabile a un'ampia tipologia di attacchi. (7)

I dispositivi per le case intelligenti sono vulnerabili agli attacchi perché sono mirati per scopi specifici. I fornitori IoT non sono in grado di fornire le specifiche soluzioni di sicurezza richieste. Inoltre, i dispositivi per le case intelligenti spesso eseguono piccoli sistemi operativi come INTEGRITY, Contiki, FreeRTOS e VxWorks le cui soluzioni di sicurezza non sono robuste quanto quelle dei sistemi basati su Windows o Linux. Una volta implementati, i dispositivi più diffusi non possono essere aggiornati per potenziare la sicurezza dai cyberattacchi in evoluzione.

Attacchi comuni ai dispositivi per le case intelligenti

Gli attacchi ai dispositivi per le case intelligenti vengono sferrati in molti modi, a seconda del dispositivo e del protocollo di comunicazione. I metodi di attacco comuni comprendono:

• Violazione dei dati e furto di identità

• Pirateria del dispositivo e spoofing

• Distributed Denial of Service (DDoS)

• Phlashing

Proteggere i dispositivi per le case intelligenti dopo l'acquisto

Anche se in alcuni dispositivi le proprietà di sicurezza sono incorporate, affinché quelli per le case intelligenti siano resilienti agli attacchi i loro proprietari devono rispettare alcune misure basilari di protezione.

• Password robuste

• Reti guest

• Autenticazione a due fattori

• Aggiornare il firmware

• Evitare il cloud, usare lo storage locale

• Massimo livello di crittografia

• Firewall

Il ruolo degli sviluppatori di dispositivi IoT:

La responsabilità della sicurezza dei dispositivi IoT ricade principalmente sui loro sviluppatori, che devono adottare tutte le misure necessarie per renderli sicuri. Alcune potenziali misure potrebbero essere:

• Integrazione della radice di attendibilità hardware (HRoT) programmabile nei dispositivi IoT. HRoT è la base per operazioni sicure di dispositivi elettronici, specie System-on-Chip (SoC). Contiene le chiavi usate per le funzioni crittografiche e abilita un processo boot sicuro. La HRoT programmabile può essere aggiornata continuamente per far fronte a una gamma sempre crescente di minacce. Esegue algoritmi crittografici completamente nuovi e protegge le applicazioni dagli attacchi in evoluzione.

• Implementazione dell'edge computing: elaborazione dei dati raccolti dai dispositivi alle periferie vicine alle fonti dei dati. I dati non viaggiano attraverso le reti deboli fino a server remoti, pertanto il rischio di violazione è ridotto.

• Progettazione di capacità di aggiornamento via etere (OTA): progettare i dispositivi con capacità efficienti di aggiornamento via etere (OTA). Molti consumatori hanno i propri dispositivi in località remote, per cui non li aggiornano regolarmente. Gli sviluppatori devono incorporare una solida strategia di aggiornamento OTA eseguibile in modo efficiente e regolare.

Conclusione

I dispositivi collegati a Internet sono intrinsecamente vulnerabili agli attacchi. Via via che i dispositivi per le case intelligenti diventano sempre più funzionali e diffusi, è fondamentale capire i rischi di sicurezza per i dati personali e come mitigarli. Gli ingegneri IoT devono inoltre assumersi la responsabilità di assicurare che nelle case intelligenti del futuro la sicurezza sia incorporata come funzionalità intrinseca e non aggiuntiva.

La versione completa di questo articolo è pubblicata su wevolver.com.

Riferimenti

1. [Online]. Disponibile su: https://www.statista.com/forecasts/887613/number-of-smart-homes-in-the-smart-home-market-in-the-world.

2. Laughlin A. which.co.uk. [Online].; 2021. Disponibile su: https://www.which.co.uk/news/2021/07/how-the-smart-home-could-be-at-risk-from-hackers/.

3. Whitney L. pcmag.com. [Online].; 2020. Disponibile su: https://www.pcmag.com/how-to/how-to-stop-smart-tvs-from-snooping-on-you.

4. Vigdor N. New York Times. [Online].; 2019. Disponibile su: https://www.nytimes.com/2019/12/15/us/Hacked-ring-home-security-cameras.html.

5. Sears A. FOX6 NEWS. [Online].; 2019. Disponibile su: https://www.fox6now.com/news/felt-so-violated-milwaukee-couple-warns-hackers-are-outsmarting-smart-homes.

6. Broom D. weforum.org. [Online].; 2021. Disponibile su: https://www.weforum.org/agenda/2021/11/how-to-secure-smart-home-devices/.

7. Press R. rambus.com. [Online].; 2020. Disponibile su: https://www.rambus.com/iot/smart-home/.