Il 34enne Marc Gilbert era appena tornato dalla festa per il suo 34° compleanno quando, mentre si stava avvicinando alla cameretta della figlia di due anni per darle il bacio della buonanotte, ha sentito delle voci provenire dalla stanza. Precipitatosi dentro, ha sentito qualcuno rivolgersi così alla bambina, che dormiva nel suo lettino: «Wake up you little slut». Nella stanza però non c’era nessuno, la voce proveniva dal baby monitor che aveva installato qualche tempo prima. Qualcuno si era intromesso e vedeva, da chissà dove, la sua bambina. Una storia terrificante, che racconta meglio di tante parole un aspetto poco considerato del nuovo Internet of things.
L’Internet delle cose è certamente lo scenario a cui tutti dovranno abituarsi presto. Si riferisce all’evoluzione degli oggetti più comuni – televisori, frigoriferi, centraline, semafori – in altrettanti device con un proprio IP. Contrariamente a quel che molti credono, la Rete è abitata solo secondariamente da individui. Grazie al nuovo protocollo IpV6, nel giro di cinque anni gli I.O.T. collegati perennemente a Internet saranno 30 miliardi e 200 miliardi saltuariamente. Basta dare un’occhiata all’IFA2013 per rendersi conto di quanto la domotica abbia uno spazio molto rilevante nei device del futuro prossimo. Tutto questo però comporta un prezzo da pagare se non si cura la protezione di questi oggetti da possibili intrusioni: un IP infatti può essere indicizzato.
Anche gli oggetti sono indicizzati
Il motore di ricerca presumibilmente utilizzato dall’intruder di cui è stato vittima l’americano è Shodan, “il Google dei device”, inventato dal 29enne John Matherly, laurea in bioinformatica all’Università di San Diego. Shodan indicizza i dispositivi connessi a Internet invece dei siti, inevitabile che qualcuno ci pensasse. Milioni di iPhone, router, baby monitor, sistemi di riscaldamento, webcam, dispositivi medici, automobili, sono potenzialmente a rischio.
L’ideatore del motore di ricerca ha costruito Shodan ovviamente per altri scopi – soprattutto per le grandi aziende e per gli studiosi della Rete – ma sta diventando il paradiso per chi vuole hackerare dispositivi online utilizzando le falle di sicurezza di questi oggetti. Come accaduto al giovane padre, che aveva acquistato un baby monitor fabbricato in Cina. L’azienda aveva scoperto il problema di software (per entrare bastava inserire “admin”) ma non l’aveva comunicato ai clienti e ora partirà una class action. Soltanto negli Stati Uniti, le famiglie che hanno un baby monitor di questo tipo sono 40 mila e ognuna di loro potrebbe essere stata spiata negli affetti più preziosi. Raccapricciante.
Marketer of internet-connected home security video cameras settles FTC charges: http://t.co/afIEmu7Zjn #Privacy #FTCpriv #internetofthings
— FTC (@FTC) September 4, 2013
Shodan non è illegale
Ancora non è stato chiarita la posizione di questo giovane imprenditore, che ha costruito da solo un motore di ricerca nient’affatto facile da utilizzare, molto noto nell’ambiente nerd e tra gli addetti ai lavori. Secondo Forbes i federali potrebbero rendere la vita difficile a Matherly se gli imputassero una violazione del Computer Fraud and Abuse Act, che vieta l’accesso non autorizzato ai sistemi informatici, ma non è così semplice dimostrarlo. Non è lui, infatti, a cercare di intromettersi nei dispositivi, ma alcune persone dalle abilità eccezionali che usano Shodan solo come parte iniziale di un’azione complessa. La giornalista Kashmir Hill, che l’ha intervistato per Forbes, è di questo parere:
Invece di essere sottoposto a procedimento penale, Matherly dovrebbe essere ricompensato per aver richiamato l’attenzione sugli errori incredibilmente stupidi che le aziende fanno quando configurano i loro prodotti e sulla disattenzione dei consumatori per la sicurezza dei prodotti che acquistano. Tutto ciò che si connette a Internet deve essere protetto da password e molti dispositivi non lo sono.
La password è l’unica soluzione
Si è scoperto che Shodan è stato utilizzato per trovare webcam a basso livello di sicurezza e sono risultate più di un milione. C’è persino chi si è inventato un programma che accede a queste webcam – in abitazioni private, uffici, sale operatorie, asili – e cattura degli screenshot. Lo scopo è educativo/dimostrativo: comunicare agli interessati che non sono adeguatamente protetti, ma significa che la stessa azione può essere stata compiuta da altre persone con altri scopi.
Dunque anche Internet of things sarà un problema per la privacy? Come sempre, dipende dal livello di consapevolezza e attenzione dell’utente. L’unica soluzione raccomandata è di acquistare device che si possano proteggere con una password e cambiarla spesso. Inoltre, se si acquista un dispositivo connesso alla Rete che viene fornito con una password predefinita e il nome utente, cambiarla immediatamente. Altrimenti per i guardoni della Rete sarà una pacchia.