Iot on Melabit

È intelligente, ma non fa il caffè

Thu, 22 Feb 2018 18:00:00 +0000

– Fonte: Flickr.

Ogni mattina mio marito ed io imploravamo Alexa di prepararci il caffé. Ma lei reagiva solo quando la richiesta veniva fatta in un modo ben preciso, e neanche sempre.

“[Alexa], chiedi a Behmor [la macchina del caffé connessa in rete, NdT] di preparare il caffè.”

Ma Alexa si limitava a rispondere: “Behmor, una passione per il caffè. Come posso aiutarti?”

“Prepara il caffè.”

“Non capisco”, diceva lei.

La cosa era particolarmente grave per due drogati di caffeina [come mio marito e me], che non avevano ancora potuto avere la loro dose mattutina.

A volte provavamo a ripetere la domanda finché Alexa non riusciva a capire, ma nella maggior parte dei casi uno di noi si alzava, andava in cucina e premeva il pulsante della macchina del caffè, senza farlo in modo “intelligente”.

Un piccolo estratto di La casa che mi spiava, un articolo molto godibile ma anche piuttosto inquietante. È solo in inglese, ma vale la pena fare un piccolo sforzo per leggerlo.

Non sono un luddista o un retrogrado, anzi la tecnologia mi piace moltissimo, però un futuro analogo a 1984 non mi alletta per niente.

Quello che il nostro esperimento ci ha rivelato è che tutti i dispositivi collegati [ad internet] telefonano costantemente ai loro produttori.

Non saprai mai che queste conversazioni stanno avvenendo a meno che tu non sia tecnicamente esperto e che monitori accuratamente il router, come abbiamo fatto noi.

E anche se lo sei, dato che le conversazioni sono solitamente criptate, non sarai comunque in grado di valutare cosa stanno trasmettendo i tuoi dispositivi.

Quando acquisti un dispositivo “intelligente”, questo non appartiene solo a te, ma [piuttosto] è in affidamento congiunto con l’azienda che l’ha realizzato. Non è solo un problema di privacy, ma significa anche che quelle aziende possono modificare il prodotto a loro piacimento dopo che l’hai comprato.

La privacy al tempo dell'Internet of Things: gran finale

Sat, 20 Jan 2018 06:00:00 +0000

La teoria è tanto bella ma la pratica permette di capire molto di più.

Si può parlare all’infinito dei rischi associati a certi comportamenti su internet, ma finché non ci si sbatte contro si tenderà sempre a minimizzare e a pensare che non ci riguardino.

Usare password banali per accedere ai siti è rischioso? Lo sanno tutti ma (quasi) tutti le usano lo stesso. Almeno finché non scoprono con stupore che l’email e la password che usano sempre si trovano anche su internet, pronti per essere usati da qualche figuro senza scrupoli per farci passare guai seri.

Lo stesso succede con i dispositivi IoT. Sono insicuri, lo sappiamo, lo abbiamo visto fino a stufarci nel corso di questa lunga serie (primo tempo, interludio, secondo tempo, secondo interludio e terzo tempo).

Ma tendiamo sempre a pensare che la cosa non ci riguardi finché, novelli San Tommaso, non tocchiamo direttamente con mano quello che può succedere.

Shodan è un motore di ricerca per i dispositivi IoT, con il quale si possono trovare con facilità i dispositivi accessibili pubblicamente su internet e quindi potenzialmente vulnerabili all’attacco di un qualunque cracker.

Questo articolo di parecchi anni fa spiega molto bene come usare Shodan per craccare un certo tipo di videocamere di sorveglianza. Ho provato a rifare la procedura descritta e dopo quasi 10 anni funziona ancora perfettamente, a dimostrazione che il tempo non ha aumentato la consapevolezza dei rischi presenti sulla rete.

Quest’altro articolo più recente è ancora più dettagliato, ci sono perfino i dati di autenticazione di default di parecchi produttori di videocamere, chi avesse tempo e voglia di provare ad usarli potrebbe trovare di tutto.

Ma non c’è bisogno di essere così sofisticati. Le funzioni di ricerca di Shodan permettono agli account gratuiti di visualizzare solo due pagine di risultati (ma bastano 49 dollari per ottenere l’accesso completo), ma basta usare la mappa mondiale per analizzare velocemente e senza limitazioni un gran numero di dispositivi potenzialmente attaccabili.

Affinando progressivamente la ricerca in base alla nazione, alla città o al servizio che ci interessa, si possono anche superare i limiti degli account gratuiti.

Qualunque metodo si usi, la quantità di informazioni che si possono ottenere è stupefacente. Niente che non si possa già ottenere con i metodi classici di penetrazione (nmap e simili), ma vedere tutto messo in bella mostra su una pagina web sa quasi di magia.

Se provo a cercare su Shodan con la parola chiave “sonos” ottengo più di 10.000 risultati, distribuiti con poca sorpresa soprattutto nell’Europa del Nord e nel Nord America. Con “thermostat” o “nest” i risultati sono decisamente meno numerosi, ma non vorrei essere nei panni di quello a cui spengono il riscaldamento a distanza in pieno inverno.

Le cose diventano ancora più interessanti se si usa la parola chiave “webcam”. Shodan ne trova solo 5.000, magari perché sono intrinsecamente più sicure dei dispositivi Sonos, magari perché questi ultimi sono più di diffusi di quanto ci si possa aspettare. Sta di fatto che ci sono almeno 5.000 videocamere di sorveglianza in giro per il mondo che possono potenzialmente mostrare a tutti quello che “vedono”.

In parecchi casi lo mostrano già nella pagina di ricerca o cliccando su uno dei puntini rossi della mappa (l’immagine di anteprima è probabilmente quella visualizzata al momento dell’ultima analisi del motore di ricerca). Queste videocamere sono esposte sulla rete senza nemmeno la protezione di una password di default e basta un click per entrare in casa e vedere quello che stanno inquadrando in questo preciso momento.

In alcuni casi funziona anche il microfono, per cui non solo si vede ma si sente anche tutto quello che succede nei dintorni della videocamera. Come questa nonna latino-americana che guarda la televisione con la nipotina o la bambina che mette in ordine la cuccia del cane. Volendo si può registrare un video di quello che stiamo vedendo o andare a curiosare fra le immagini e i video salvati nella memoria della videocamera.¹

A me sembra inquietante. E a voi?

Ancora più inquietante è rendersi conto che uno bravo può fare praticamente quello che vuole con i dispositivi IoT esposti sulla rete. Può accedere ai router, ai semafori, ai sistemi di controllo degli impianti idraulici, elettrici e, Dio non voglia!, nucleari. Sembra incredibile, ma tante installazioni professionali hanno livelli di sicurezza praticamente nulli.

Un hacker si limita a guardare, a studiare e ad informare, senza fare danni. Ma cosa succede se ci si imbatte in un cracker cattivo? Ci sono delle contromisure che possiamo prendere?

Se abbiamo in casa qualche dispositivo IoT in funzione, possiamo usare questo servizio web per controllare se è visibile su internet. Non so quanto sia efficace, ma di sicuro è meglio che non fare niente.

Nel lungo periodo, è chiaro che le aziende che producono i dispositivi IoT devono decidersi a curare di più (e meglio) la sicurezza del software di gestione dei loro dispositivi, rendendosi pienamente conto dei rischi associati al loro uso. I dispositivit IoT non saranno pericolosi quanto una macchina lanciata a piena velocità in autostrada, ma è sempre meglio non sfidare la sorte.

Io l’ho fatto per scrivere questo articolo ma non mi è piaciuto per niente. E comunque poi ho cercato di rimettere tutto a posto. ↩︎

La privacy al tempo dell'Internet of Things: terzo tempo

Fri, 12 Jan 2018 06:00:00 +0000

Dopo aver letto le puntate precedenti di questa serie (primo tempo, interludio, secondo tempo e secondo interludio), qualcuno potrebbe obiettare che, tutto sommato, poter controllare la casa o il riscaldamento a distanza è molto più vantaggioso dei rischi per la privacy che ne derivano. Alla fine, cosa sarà mai ricevere qualche annuncio pubblicitario mirato?

Magari fosse così! Come abbiamo già visto, non si tratta solo di pubblicità ma di spiattellare dati che dovrebbero rimanere riservati, oltre che di rischi concreti e significativi per la nostra sicurezza.

Ma anche mettendo da parte per un momento queste questioni, bisogna notare che i dispositivi dell’Internet delle Cose (IoT da ora in poi) presentano un altro problema grosso come una casa: in realtà non sono mai veramente nostri!

Li compriamo, spesso a caro prezzo, li montiamo, li configuriamo, e ci aspettiamo di poterli usare quanto e come vogliamo. Ma non è così, proprio il fatto che siano controllabili a distanza li mette alla mercé delle aziende produttrici, che possono decidere in qualunque momento di staccare la spina rendendoli inutilizzabili, se appena appena gli garba (o gli conviene).

Da remoto, a costo zero, per i motivi più svariati e improbabili, spesso senza nemmeno informare i propri clienti.

Succede da anni con il software, che troppo spesso non viene veramente venduto ma solo ceduto in locazione. Succede con gli eBook, Amazon se vuole può revocare in ogni momento il permesso di utilizzare gli eBook acquistati per il Kindle (e qualche volta l’ha fatto veramente).

Ma con i dispositivi IoT è ancora peggio, perché la disattivazione non dipende da presunti comportamenti illeciti dell’utente ma solo dagli sghiribizzi della politica aziendale del momento. Se l’azienda decide che il nostro dispositivo non deve più funzionare, può trasformarlo in pochi secondi in un ammasso inutile di plastica e di metallo.

Esagero? Sono troppo estremo? Vediamo qualche esempio concreto.

Il primo caso in assoluto di cui ho tenuto traccia si è verificato quasi due anni fa, esattamente ad aprile del 2016, quando mi è arrivato via email il link a questo articolo: Google Nest stacca la spina a Revolv: gli utenti sono furiosi.

All’inizio del 2014 Google ha acquistato la startup Nest, produttrice di una ampia gamma di dispositivi per l’automazione casalinga, termostati, videocamere, sensori di gas e altro. Poco dopo Nest ha acquisito a sua volta Revolv, un’altra startup che aveva messo a punto un hub intelligente, in grado di controllare da un’unica applicazione per smartphone parecchi dispositivi IoT di aziende diverse, normalmente incompatibili fra loro. Sono passati due anni, nel corso dei quali Nest (e quindi Google) ha integrato la tecnologia di Revolv nei propri prodotti. A questo punto ha deciso di disabilitare da remoto l’hub di Revolv, rendendolo di fatto inservibile. L’edizione USA di Wired ha dedicato un lungo articolo alla questione, intitolandolo molto significativamente La disattivazione dell’hub di Nest dimostra che è assurdo acquistare prodotti IoT. Qualcuno ha avuto il coraggio di sostenere che la decisione di Nest/Google fosse sostanzialmente corretta, “perché l’hub di Revolv aveva già qualche anno e non generava più profitti.” Vorrei proprio vedere cosa penserebbe se il forno o la lavastoviglie di casa sua smettesse improvvisamente di funzionare solo perché l’azienda produttrice ha deciso di punto in bianco che non vale più la pena fornire assistenza tecnica per un modello non più in vendita.

Passa un anno, siamo ad aprile dell’anno scorso, e viene fuori un’altra notizia interessante. Dopo aver comprato un apriporta intelligente, un utente insoddisfatto dall’app di controllo scrive una recensione negativa su Amazon. Succede, qualche volta l’ho fatto anch’io, non è la fine del mondo, e del resto se le recensioni fosse tutte positive non servirebbero a niente.

Il produttore, invece di lasciar perdere, di scusarsi o di spiegare in modo civile le sue ragioni al cliente, che fa? Si vendica, mettendo fuori uso il prodotto del cliente insoddisfatto.

Una reazione del tutto fuori luogo, un modo tremendamente poco professionale di stare sul mercato (oltre che una conferma implicita della correttezza delle opinioni negative espresse dal cliente). In questo caso il cliente ha potuto chiedere il rimborso ad Amazon, ma resta il fatto che il produttore non si è fatto nessuno scrupolo di mettere fuori uso in modo arbitrario un prodotto regolarmente acquistato e pagato.

Qualche mese dopo anche Sonos la fa grossa. Sonos è una azienda piuttosto affermata che produce componenti audio per la casa. Niente di particolarmente Hi-Fi, ma meglio di tanta robaccia che gira nel settore. Ad agosto, nel pieno del caldo estivo, Sonos invia una email a tutti gli utenti registrati, informandoli di aver cambiato unilateralmente la propria politica relativa alla gestione dei dati personali acquisiti dai propri utenti. Ma a differenza di quello che succede normalmente, gli utenti non potevano rifiutare o contestare i cambiamenti avvenuti, rimanendo quindi totalmente alla mercé delle decisioni dell’azienda. In caso contrario non avrebbero più potuto aggiornare il firmware del proprio sistema audio Sonos, riducendone a poco a poco le funzionalità, Nei casi più estremi la cosa avrebbe potuto comportare perfino l’interruzione del servizio. Inutile girarci intorno: se una azienda decide di fare un passo del genere, significa solo che i nostri dati fanno molto più gola di quello che pensiamo.

Ma la vera chicca me la sono tenuta per la fine.

Ormai perfino i trattori sono diventati intelligenti. Purtroppo all’intelligenza è associata anche una bella fregatura, perché la John Deere, una delle principali aziende produttrici di macchine agricole, impone ai suoi clienti di firmare un contratto capestro con il quale si impegnano a far riparare i loro nuovi trattori solo dal personale autorizzato dell’azienda, con i costi e i tempi di inattività forzata che tutto ciò comporta. In caso contrario l’azienda si arroga il diritto di disattivare da remoto il trattore (una perdita economica enorme per un agricoltore), oltre che di attivare una causa legale contro il cliente inadempiente. Questa pretesa ha creato immediatamente un mercato parallelo di firmware craccato, con il quale è possibile disattivare le funzioni di controllo a distanza e tornare a poter mettere le mani autonomamente nei propri trattori.

La vicenda mi ha colpito perché ha qualche somiglianza con la lotta iniziata negli anni ‘80 da Richard Stallman, che voleva mettere le mani nella nuova stampante laser del suo dipartimento al MIT per rimediare ai frequenti inceppamenti della carta. Questa lotta, basata sui principi ideali di condivisione delle informazioni tipici della cultura della ricerca, ha portato ad un cambiamento epocale nelle modalità di distribuzione del software.

È chiaro che un firmware craccato più o meno malamente non è confrontabile con gli ideali di un personaggio estremo ma coerente come Stallman. Ma è altrettanto chiaro che se l’IoT vuole avere un futuro deve abbandonare al più presto il modello del software proprietario, chiuso e controllato solo ed esclusivamente dall’azienda produttrice, sostituendolo con applicazioni di gestione e di controllo aperte e interoperabili fra loro. Più o meno quello che aveva iniziato a fare Revolv.

La privacy al tempo dell'Internet of Things: secondo interludio

Fri, 08 Dec 2017 06:00:00 +0000

No, non me ne sono dimenticato, anzi l’ho messo apposta da parte per poterne parlare più diffusamente ora.

Perché la dimostrazione paradigmatica (erano anni che cercavo una scusa per usare questa parola!) dell’insicurezza intrinseca dei dispositivi IoT attuali è data da Amazon Key, il nuovo servizio di Amazon che permette ad un corriere di consegnare un pacco a casa nostra anche quando siamo assenti.¹

Amazon infatti ha un problema: con il servizio Amazon Prime si è impegnata a consegnare un gran numero di prodotti entro due giorni. Me se il corriere arriva quando la casa è vuota, la consegna non avviene. Non è colpa di Amazon, è chiaro, ma nell’economia digitale questo dettagio è irrilevante, conta solo il fatto che se i tempi si allungano i clienti sono meno invogliati a comprare e di conseguenza i profitti soffrono.

Per questo Amazon ha sviluppato il kit Amazon Key In-Home, costituito da una videocamera proprietaria ad alta risoluzione basata sul cloud e da una di quelle serrature non tanto intelligenti di cui si parlava ieri.

Una volta installato il kit, quando il corriere arriva davanti alla porta di casa scansiona il codice a barre del pacco e lo trasmette al servizio di Amazon. Se è tutto a posto, la serratura si sblocca e la videocamera inizia a registrare. Il corriere entra in casa, lascia il pacco, richiude la porta e chiede ad Amazon di bloccare di nuovo la serratura, tutto sotto l’occhio vigile della videocamera di sicurezza. Il cliente intanto viene informato della consegna tramite lo smartphone e riceve anche un video tranquillizzante che mostra come si è svolta la procedura.

Semplice, veloce e funzionale, apparentemente a prova di bomba. Ma è bastata solo una settimana per craccare il servizio.

La debolezza sta nel modo in cui viene gestito il blocco della serratura dopo la consegna.

Un corriere disonesto infatti può limitarsi a chiudere la porta senza richiedere la chiusura la serratura, mentre lancia da un portatile (ma basta anche un microscopico RaspberryPi) un programmino che mette offline la videocamera senza che il cliente se ne accorga. Anzi, il cliente continua a vedere l’ultima immagine registrata prima del blocco, quella della porta chiusa, che è esattamente ciò che si aspetta.

Intanto il corriere si ficca in casa, chiude di nuovo la porta, si allontana dal raggio di azione della videocamera e rimette online la videocamera, inviando regolarmente ad Amazon la richiesta di blocco della porta. Tutto si svolge in pochi secondi e senza che nessuno, prima di tutto Amazon, possa sospettare nulla. Intanto il delinquente è libero di aggirarsi per la casa, per rubare o ficcare il naso fra le nostre cose.

Non ci vuole molto per correggere questa vulnerabilità, basta inviare un’allerta al servizio ogni volta che la videocamera va offline anche per pochissimi secondi (ad esempio per uno sbalzo di tensione o per un blocco del router Wi-Fi), in particolare durante la consegna. Ma è probabile che prima o poi vengano fuori altre vulnerabilità, e comunque da Amazon ci si poteva (e ci si doveva) aspettare fin dall’inizio un meccanismo di sicurezza più affidabile.

Per quanto mi riguarda, penso che sia preferibile aspettare un pacco un giorno in più piuttosto che farsi svaligiare la casa. Forse le vecchie Poste non avevano tutti i torti a prendersela comoda.

E in futuro di ordinare altri servizi del tutto impensabili qui da noi, come far pulire la casa mentre siamo assenti o far fare la passeggiatina al cane. ↩︎

La privacy al tempo dell'Internet of Things: secondo tempo

Wed, 06 Dec 2017 18:00:00 +0000

Nelle puntate precedenti abbiamo visto come l’invasione nella vita privata operata dai dispositivi IoT sia tanto massiccia e intollerabile da rendere utile consultare una guida ai rischi per la privacy prima di acquistare un qualunque dispositivo IoT.

Purtroppo gli esempi presentati sono solo la punta dell’iceberg. Le modalità usate da questi dispositivi per spiarci sono praticamente infinite e superano di gran lunga le fantasia più audaci di una persona normale.

Perché anche le smart TV ci guardano e ci sentono – non è un caso che anche CIA e MI5 ci abbiano messo le mani dentro – e Samsung non si fa nessuno scrupolo di rivendere a terze parti le informazioni raccolte dalle sue TV.

Lo stesso vale per i termostati intelligenti, che in 15 secondi(15 secondi!) possono essere trasformati in spioni senza scrupoli. O per il frigorifero con una falla di sicurezza che espone al mondo i dati di login del nostro account Gmail, attraverso il quale si può raccogliere una grandissima quantità di informazioni sulla nostra vita e su quella dei nostri conoscenti.

Se inizialmente l’obiettivo di questa invasione nel privato – sapere quanto più possibile dei nostri gusti e delle nostre abitudini per poterci inviare suggerimenti di acquisto mirati – poteva essere considerato relativamente inoffensivo, la cosa si è trasformata rapidamente in una vera e propria minaccia per la nostra intimità e il nostro portafoglio, a volte per una strategia dolosa (vedi i casi Samsung e Sony riportati qui), in tanti altri casi per l’incapacità delle aziende produttrici di garantire un livello di sicurezza decente per i loro prodotti.

Una decina di anni fa lo scandalo del software malevolo installato di soppiatto da certi CD musicali della Sony per trasmettere a “casa” dati sulle abitudini musicali dell’acquirente scosse dalle fondamenta l’azienda giapponese e la costrinse ad una ritirata precipitosa.

Oggi succede molto di peggio ma, complici la smania di protagonismo e la frenesia di condividere qualunque emozione con i propri amici virtuali alimentata dai social network, nella percezione comune è diventato quasi naturale essere spiati 24 ore su 24, “tanto io non ho niente da nascondere”.

Sarà anche vero, ma non è così irrilevante.

Perchè ciò che dici in casa può essere usato dal datore di lavoro senza scrupoli per licenziarti. Quello che metti nel frigorifero può essere scrutato dalla tua assicurazione, che ti aumenta la polizza se decide che quello che mangi non è abbastanza sano e può farti venire l’infarto. Le foto scattate dalla videocamera di sicurezza quando giri per casa dopo la doccia possono finire su qualche sito equivoco prima ancora che ti asciughi i capelli. Parole e sospiri captati dall’Alexa di turno mentre fai sesso con l’amante possono essere usate contro di te dal partner tradito senza dover nemmeno scomodare il classico investigatore privato di serie D.

E se una azienda non è capace di garantire la riservatezza dei dati personali affidati ai propri dispositivi IoT, figuriamoci se sarà in grado di assicurare che questi non possano essere violati dai delinquenti che si aggirano per la rete.

Un ransomware può facilmente compromettere un termostato (poco) intelligente, minacciando di innalzare (o abbassare) la temperatura della casa ad un livello intollerabile, a meno di non pagare un riscatto salato. Ricatti analoghi possono essere portati tramite il frigorifero o il condizionatore. Una porta protetta (si fa per dire) da una serratura ancora meno intelligente può essere aperta senza troppi problemi (e quando non ci si riesce, basta un cacciavite ed un po’ di esperienza per superare le deboli difese meccaniche della serratura).

Persino i pacemaker sono a rischio. Pochi mesi fa la Food and Drug Administration (FDA) statunitense ha obbligato una azienda produttrice di pacemaker ad aggiornare il firmware di mezzo milione di suoi dispositivi, perché potevano essere penetrati così facilmente da remoto da mettere a rischio la vita dei pazienti cardiopatici che avevano la sfortuna di portarli.

Purtroppo non è l’unico caso, anzi è stato dimostrato che tutti i modelli di pacemaker “connessi” presentano così tante vulnerabilità da poter essere facilmente violati da chiunque possegga un minimo di conoscenze tecniche e attrezzature disponibili a pochi soldi perfino su eBay.

Una volta ottenuto il controllo del dispositivo, chi potrebbe impedire ad un terrorista di attentare alla vita di qualche alta personalità della politica o dell’industria con scompensi cardiaci? Oppure, più prosaicamente, di simulare un malfunzionamento che costringa la vittima a precipitarsi in ospedale, mentre l’abitazione lasciata senza sorveglianza viene svaligiata con tranquillità dai complici? Con conseguente infarto (questa volta vero) del malcapitato, al ritorno a casa.

Finora tutto ciò è rimasto solo a livello ipotetico, ma scommettiamo che prima o poi qualcosa di simile accadrà davvero?

La privacy al tempo dell'Internet of Things

Wed, 08 Nov 2017 06:00:00 +0000

– Lars Schleicher, Flickr.

Come reagireste se qualcuno si intrufolasse in casa vostra per registrare tutto ciò che dite? O se nascondesse una videocamera e osservasse quello che fate fra le mura domestiche? Il minimo sarebbe cacciarlo via a calci, fino ad arrivare nei casi peggiori ad una denuncia all’autorità giudiziaria.

Il guaio è che, mentre prestiamo molta attenzione agli spioni reali, non ci rendiamo conto di avere in casa un gran numero di spioni virtuali, oggetti tecnologici collegati ad internet che sentono e vedono tutto quello che facciamo e lo comunicano a mezzo mondo.

L’Internet of Things (IoT, Internet delle Cose) è il mantra di questi anni. Tutto deve essere intelligente e sempre connesso, tutto deve essere controllabile e gestibile a distanza, a volte per liberarci da presunte “fatiche” di cui non ci siamo mai accorti (la mia preferita è ordinare automaticamente quello che manca nel frigorifero).

La maggior parte delle applicazioni dell’IoT sono comode, non c’è che dire: controllare da lontano se qualcuno è entrato in casa, accedere o spegnere a distanza le luci o il riscaldamento, verificare che non ci siano perdite d’acqua (o di gas) e nel caso poter chiudere la valvola, sono funzioni utilissime, che si ripagano praticamente da sole.

Per poter fare tutto ciò, però, dobbiamo condividere con le aziende produttrici, tante (troppe?) informazioni sul nostro stile di vita, sulle nostre abitudini, su quando ci svegliamo, cosa mangiamo, quanto a lungo siamo fuori casa, cosa guardiamo in TV, quando andiamo a letto, persino cosa facciamo quando siamo sotto le lenzuola.

Purtroppo le aziende sono attentissime a raccogliere informazioni su tutto ciò che ci riguarda, ma sono molto meno attente quando si tratta di garantire la sicurezza delle informazioni che gli forniamo e ad evitare che vengano usate per scopi più o meno illeciti. Sembra una specie di “Corrida”, dilettanti allo sbaraglio in gara a chi fa di peggio. Qualche esempio venuto alla luce negli ultimi mesi.

C’è il robot aspirapolvere con videocamera incorporata di LG, utile per controllare la casa a distanza collegandosi tramite una app al proprio account personale. Ma anche un ladro può entrare (troppo) facilmente nell’account del malcapitato acquirente e controllare che non ci sia nessuno in casa. L’azienda ha corretto subito la vulnerabilità, è vero, ma quanti utenti di questi apparecchi si rendono conto dell’importanza di aggiornare al più presto il firmware dell’apparecchio per renderlo più sicuro (e sono in grado di farlo)?

C’è Echo, l’assistente digitale di Amazon, un maggiordomo virtuale sempre in ascolto, pronto a soddisfare tutti i nostri desideri. Ma basta avere l’occasione di rimanere pochi minuti da soli con Echo per tramutare l’assistente digitale in uno spione in grado di trasmettere a un dispositivo remoto tutto ciò che viene detto intorno al lui. Nel modello più recente questo errore di progettazione è stato corretto, ma ci sono in giro per il mondo circa sette milioni di dispositivi Echo vulnerabili, sette milioni di potenziali spioni. È non è solo un aquestione di corna. L’Echo spione non serve solo a dimostrare l’infedeltà di qualche marito (o moglie). Pensate ai segreti che può carpire qualche Echo trasformato installato strategicamente in alberghi o uffici.

C’è l’orsacchiotto intelligente che consente a genitori lontani di inviare messaggi vocali al loro bambino. Purtroppo il database contenente i dati di accesso degli utenti era liberamente accessibile a chiunque dal web, mettendo a disposizione dei malintenzionati 800.000 indirizzi email e password, crittografate in modo sicuro ma nella maggior parte dei casi così semplici da poter essere lo stesso facilmente craccabili (in fondo stiamo parlando di un giocattolo!). Con queste informazioni qualunque delinquente poteva accedere ai messaggi vocali associati, veri e propri tesori per pedofili, stalker e immonda compagnia cantante. L’azienda non si è nemmeno degnata di allertare i genitori inconsapevoli.

E poi c’è il We-Vibe Sync, un giocattolo per coppie controllabile a distanza, che trasmette all’azienda produttrice, senza il consenso degli interessati, dettagli personalissimi sull’uso dell’apparecchio, per di più associati all’indirizzo email dei clienti. Che se ne fa l’azienda di questi dati? Chi può impedire a qualche impiegato senza scrupoli di usarli a scopo di ricatto? Ma questo è ancora niente rispetto al modello concorrente con videocamera incorporata che crea un punto di accesso Wi-Fi – nemmeno fosse il router di casa – con SSID (il nome assegnato al punto di accesso) predefinito e password di default costituita da una semplice sequenza di otto “8”. Chi si trova nelle vicinanze può quindi accedere facilmente al giocattolo e guardare tutto quello che vede l’apparecchietto. Roba più da ginecologi che da amanti, ma i gusti sono gusti… Chi ha scoperto la vulnerabilità non ha potuto trattenersi dal notare che:

“A volte cadono decisamente le braccia. [Nel campo] della sicurezza [dell’Internet of Things] vediamo roba fatta veramente male, ma questa sembra assolutamente incredibile.”

Ma naturalmente non finisce qui…

La privacy al tempo dell'Internet of Things: interludio

Tue, 31 Oct 2017 06:00:00 +0000

Neanche a farlo apposta, subito dopo la pubblicazione dell’ultimo articolo sulla privacy al tempo dell’Internet of Things ho ricevuto dalla fondazione Mozilla (quella di Firefox e Pocket) questa interessantissima guida all’acquisto dei dispositivi tecnologici connessi alla rete, con un elenco dettagliato dei rischi che ciascun dispositivo comporta per la nostra privacy. Penso che sia difficile trovare in giro qualcosa di più utile per fare degli acquisti consapevoli.

Per quello che mi riguarda, io escluderei a priori tutto ciò che si arroga il diritto di condividere i miei dati con terze parti. Perché farsi tracciare perfino quando ci si lava i denti è veramente troppo!