Smart home, domotica e sicurezza: 5 trucchi per proteggerti dagli hackers

ll futuro delle nostre case è tutto racchiuso in un aggettivo: smart. Negli ultimi anni, c'è stata un'esplosione di prodotti e di dispositivi che promettono di rendere le nostre case sempre più "intelligenti". Tuttavia i dispositivi per la domotica possono essere un facile obiettivo degli hackers se si trascura la sicurezza della smart home quando si scelgono e installano elementi domotici e aggiornamenti. Ecco 5 trucchi per conoscere i rischi delle case intelligenti e come proteggerle.

TUTTI I VANTAGGI DELLA DOMOTICA

Con un mercato della domotica in netta crescita, i dispositivi per la smart home rappresentano il presente e il futuro dell'Internet delle Cose (Internet of Things – IoT). Infatti, aziende come Google ed Apple hanno investito e continuano ad investire pesantemente nel campo. Google ha acquistato per 3,2 miliardi di dollari Nest Labs, società esperta nella domotica, mentre Apple ha progettato, un framework operativo e un’app per la smart home dedicata ai propri device domestici. Leggendo il report dedicato alle connected home e realizzato da “Business Insider Intelligence” si scopre che entro il 2019 il mercato dei dispositivi per la domotica varrà circa cinquecento miliardi di dollari e mostra margini di crescita di molto superiori rispetto a qualsiasi altro settore dell'hi-tech, con un aumento annuo pari al 67%.

I rischi di smart homes e domotica

Arrivare a vivere lo stile di vita della famiglia del futuro dei Jetsons ha però anche aspetti negativi. Quali insidie si nascondono dietro un'abitazione controllata e gestita da remoto? Quali pericoli derivano dall’utilizzo della rete per il controllo di tutti i dispositivi che compongo i sistemi di automazione?

smart-house-domotica-b

Gli analisti informatici affermano che un facile obiettivo per gli hackers siano i dispositivi per le smart home. Il motivo? Sono i sistemi informatici periodicamente meno aggiornati in assoluto dopo l’installazione e collaudo. Il rischio è davvero concreto perché mentre tutti ben conoscono e verificano gli aggiornamenti automatici del computer e la presenza dell’antivirus attivo ed aggiornato, in quanti invece si preoccupano di verificare da quanto tempo la centrale domotica non aggiorna il proprio sistema applicativo?

E il sogno della casa intelligente, interconnessa, monitorabile e gestibile da remoto potrebbe trasformarsi in un incubo: estranei potrebbero averne il controllo, facendo razzia di dati personali, immagini, video, audio e informazioni sensibili con una conseguente maggiore esposizione ad intrusioni e furti, sia fisici che di identità.

La sicurezza delle smart homes

Portando le nostre case su internet, infatti, ci imbattiamo nello stesso tipo di problemi di sicurezza che abbiamo per qualsiasi altro dispositivo connesso e cioè che l’intero sistema della casa intelligente può potenzialmente essere attaccato dei pirati informatici. Secondo il ricercatore di mercato Gartner, circa 2,9 miliardi di dispositivi consumer sono oggi collegati ad internet e buona parte di questi sono dispositivi di building automation. Purtroppo però, la corsa per fornire funzionalità sempre più specifiche di automazione domestica ha portato a sistemi scarsamente sicuri creando numerosissime vie di attacco per gli hackers. Fino ad ora tutte le aziende produttrici si sono concentrate maggiormente sullo sviluppo dei vari dispositivi smart, mettendo da parte il fattore sicurezza soprattutto a causa degli alti costi legati alla ricerca, sviluppo e supporto.

smart-house-domotica-c

Attualmente molti produttori sono coinvolti in un processo di democratizzazione di installazione ed utilizzo dei dispositivi domotici, dove il “plug and play” la fa da padrone: se un prodotto consumer deve avere diffusione e successo commerciale, deve essere facile da usare ed installare, questo purtroppo, talvolta a discapito della sicurezza della casa, un aspetto che passa frequentemente in secondo piano non producendo dei benefici immediati in termine di introiti sulle vendite.

E quindi nella scatola di dispositivi IoT, acquistabili ormai anche nelle grandi catene di elettronica a scaffale, non compaiono più prolissi manuali d’istruzioni, ma unicamente il classico foglio bifacciale intitolato “Getting Started Guide” in cui per brevità sicuramente non è possibile trattare con esaustività l’argomento sicurezza, tra l’altro sconosciuto ai più che si accostano alla domotica.

Nel 2015, alcune società specializzate nel campo della cyber-security hanno testato diversi dispositivi per le case intelligenti, trovando falle enormi nei firmware: un hacker con delle cattive intenzioni potrebbe manomettere l'intera casa in pochi minuti.

Ogni dispositivo ha infatti carenze di sicurezza e gli studi hanno rivelato che i dispositivi progettati per automatizzare la casa hanno gravi vulnerabilità. Il desiderio dei consumatori di controllare la loro casa dal proprio smartphone mediante applicazioni e portali web che consentono di operare da lontano, per esempio, significa che perdere il dispositivo può portare a conseguenze significative per la sicurezza domestica. E, secondo uno studio condotto dalla società di sicurezza Synack, se un utente malintenzionato è in grado di ottenere l'accesso al dispositivo, quasi tutti i dispositivi della casa intelligente possono essere facilmente compromessi e trasformati in un cavallo di Troia.

Il report della Synac sulla sicurezza dei dispositivi domotici

Uno dei primi report sulla sicurezza delle smart home è stato redatto proprio dalla Synack, azienda esperta in cyber-security. Durante la ricerca sono stati testati 16 dispostivi (tra cui telecamere di sicurezza, termostati intelligenti attivabili dallo smartphone, rivelatori di fumo e le centraline per il controllo dell'abitazione) e solamente 1 ha passato a pieni voti i test di sicurezza, tutti gli altri sono stati bocciati.

L'esperimento ha riguardato quattro diverse fasi: The Open House, The Stolen Phone, The Coffee Shop, The Malicious Modification. Nel primo caso sono state studiate le difese messe in atto dalla centralina dell'abitazione, nel caso in cui un hacker riesca ad entrarci, mentre nella terza fase è stata testata la capacità delle applicazioni installate sullo smartphone di difendere i dati personali quando si è connessi ad una Wi-Fi pubblica. Solamente durante il primo test, i devices hanno prontamente bloccato l'accesso degli hackers nella rete della smart home, negli altri casi sono stati evidenziati svariati problemi riguardanti la sicurezza e il firmware dei terminali. Ci sono voluti solo tra 5 e 20 minuti per trovare un modo per compromettere ogni dispositivo, una volta che i ricercatori hanno spacchettato l'hardware. "Le diverse aziende stanno davvero spingendo per ottenere un prodotto competitivo sul mercato dell’Internet delle Cose, ma non hanno un esperto di sicurezza nella loro squadra, trascurando così un sacco di dettagli", dice Moore Colby , analista di ricerca sulla sicurezza per Synack, "La maggior parte delle aziende sta ignorando le basi."

Ma se questa è la prospettiva sarà meglio rinunciare al sogno della smart home? Non necessariamente, perché fermare il progresso è, come in ogni ambito, controproducente ma sarà necessario prestare molta attenzione ai dispositivi domotici che si acquistano e salvaguardare in tutti i modi dati personali e credenziali di accesso alle reti. Con l'aumento dei terminali intelligenti all'interno delle abitazioni è necessario aumentare gli standard di sicurezza sia dei dispositivi dedicati alla domotica, sia degli smartphone che controllano da remoto tali dispositivi e se il settore vuole trainare l'intero apparato della tecnologia nei prossimi anni, dovrà fare grandi progressi per assicurare la protezione dei dati di milioni di utenti.

I 5 passi per la sicurezza della casa intelligente

smart-house-domotica-d

Per quei consumatori che intraprendono un viaggio nella domotica, nel frattempo, ecco 5 passi per mantenere la casa intelligente evitando il più possibile di esporla ad inutili rischi:

1. Il router: password, aggiornamenti e gestione remota

I router sono la porta digitale per la casa intelligente e un router mal protetto può consentire a un utente online il facile accesso a tutti i dispositivi di automazione domestica in rete. Gli utenti dovrebbero assicurarsi che sia variata non solo l’eventuale password wi-fi di default, ma altresì la password di amministratore (sufficientemente complessa) e che sia in esecuzione il firmware più recente: il firmware è il cuore applicativo del sistema e viene aggiornato periodicamente dal produttore per chiudere eventuali falle di sicurezza e correggere malfunzionamenti. Alcuni router inoltre consentono di essere gestiti dall’esterno: molto spesso lasciare abilitata questa funzione è superfluo e dannoso, poiché aumenta in maniera importante la superficie d’attacco del dispositivo ad esterni malintenzionati.

2. Evitare dispositivi obsoleti

Il ciclo di vita dei sistemi informatici e ovviamente di quelli domotici non è molto lungo come potrebbe essere quello di un elettrodomestico. Tali dispositivi ricevono durante la propria esistenza in commercio il supporto da parte del produttore che si impegna a rilevare e correggere con gli aggiornamenti non solo i malfunzionamenti funzionali, ma anche quelli legati alle falle di sicurezza. Dopo l’uscita dal commercio solitamente questo processo non avviene più, ed eventuali falle scoperte dagli hacker su dispositivi “obsoleti” non vengono corrette in quanto di interesse scarsamente strategico per il produttore. Visto tuttavia il costo rilevante dell’acquisto di tali sistemi, occorre un consiglio da parte di un esperto, che possa indirizzare l’utente finale nella scelta di un produttore specifico, poiché talvolta il fai da te, pesantemente influenzato dal marketing, non sempre risulta essere una buona pratica.

3. Cloud? Forse meglio se non si è esperti

I sistemi di home automation, sono in genere molto costosi e possono aprire falle nella privacy e nella sicurezza, se non adeguatamente protetti. Proteggerli però significa avere competenze specifiche nel campo della domotica per smart homes oppure sborsare del denaro per manutenzioni periodiche che possano assicurare tranquillità: non utilizzando eventuali servizi cloud, si diventa interamente responsabili quindi del controllo della sicurezza dei sistemi da soli. Molti aspetti di sicurezza invece vengono affrontati obbligatoriamente dal cloud provider che eroga il servizio sulla “nuvola” con l’aiuto un opportuno staff tecnico. Ovviamente la scelta di un servizio basato su cloud non giustifica un totale disinteresse da parte dell’utente per il sistema informatico e domotico, ma sicuramente aiuta non poco l’utente medio non esperto.

4. Aggiornare i dispositivi quando possibile e proposto

Molti degli sviluppatori che creano il software per i prodotti di home-automation come accennato sono relativi principianti quando si tratta di sicurezza. David Jacoby, un analista della sicurezza per Kaspersky Lab (noto brand di sistemi antivirus/antimalware), ha tentato di attaccare la sua casa e ha trovato un certo numero di vulnerabilità anche molto banali del suo prodotto di archiviazione a casa che gli ha dato una testa di ponte nella rete domestica. “Gli sviluppatori spesso usano la scusa di non essere esperti di sicurezza”, dice. Per questo l’approccio dei produttori per correggere le vulnerabilità di cui vengono a conoscenza è di collezionare i feedback degli utenti inviati spesso dai dispositivi automaticamente ed in maniera anonima al produttore. Poiché la sicurezza deve essere migliorata, l'applicazione degli aggiornamenti creati sulla scorta di questi feedback è un passo fondamentale per assicurare che i dispositivi di home automation restino maggiormente tutelati da attacchi più semplici o datati”.

5. Scegliere una marca

Una società che si è appena approcciata alla domotica è difficile che si dedichi particolarmente alla sicurezza dei suoi prodotti, poiché spesso orientata a lanciare lo stesso e profondere gli sforzi più in marketing che in supporto ed analisi sulla sicurezza contro gli hackers, tipici invece dell’azienda che deve mantenere la propria posizione sul mercato essendoci dentro da anni. Il consumatore dovrebbe concentrarsi su aziende che si sono impegnate per i loro dispositivi ed allo stesso tempo per la loro sicurezza dice Moore Colby (Synack) “L’utente vuole qualcuno che è stato in giro, qualcuno con una reputazione”, ha detto “almeno starà dietro al prodotto e ai suoi aggiornamenti”.

Roberta Ruggieri

Roberta Ruggieri Architetto

L’architettura e l’arte sono da sempre le sue più grandi passioni, affiancate dall’interesse per la fotografia e dalla pratica del nuoto a livello agonistico. Idealista, crede ancora che un grande impegno porti a grandi risultati, nello sport e nella professione così come nella vita. 

Ti potrebbero interessare anche...