Caffè in ostaggio? L’incubo di ogni lunedì mattina in ufficio!
Immaginate. Siete appena arrivati nella vostra postazione con poche ore di sonno in corpo. Dopo qualche minuto sentite l’esigenza di un po’ di carica liquidita e vi fiondate verso la macchinetta del caffé. Ordinate la vostra combinazione preferita e restate in religiosa attesa finché non avviene l’inaspettato. La barra di caricamento si arresta, acqua calda inizia a uscire dal tubo. Pochi attimi dopo sul display della macchina appare un messaggio ben poco rassicurante: “vuoi la tua macchina indietro?” con un link che rimanda al pagamento di un riscatto in bitcoin.
Lo scenario è tutto tranne che futuristico e apocalittico. Oggi è assolutamente possibile prendere in ostaggio una qualunque macchina per il caffè collegata a internet, magari per dare la possibilità di far preparare la propria bevanda preferita direttamente dallo smartphone. Il ricercatore Avast Martin Hron si è cimentato in questo esperimento, pubblicando il risultato su Youtube e descrivendone il procedimento sul blog.
Hackerato, non shakerato.
Martin non si è limitato ad applicare un ransomware all’interno del sistema operativo della macchinetta. Ne ha preso completamente il controllo, re ingegnerizzando l’intero firmware della macchina. Martin poteva quindi far gettare acqua calda, spegnerla e farle compiere qualunque azione desiderasse. La tecnologia IoT (Internet delle Cose) non è nuova ad oggetti smart hackerati, ma l’eserpimento di Martin è servito a mostrare che è possibile colpire direttamente il dispositivo senza intaccare la rete a cui è collegato.
Nelle sue considerazioni, Martin descrive come il firmware di un oggetto di uso comune collegabile a internet, come per l’appunto una macchina per il caffé, siano sostanzialmente privo di ogni difesa contro gli attacchi informatici. Un altro elemento di criticità sollevato da Martin è che la macchina hackerata era un modello prodotto nel 2016 ormai sprovvisto di supporto da parte della casa di produzione. Il ciclo di vita di molti oggetti eligibile per l’IoT, a partire dagli elettrodomestici, hanno un ciclo di vita previsto molto più lungo rispetto al supporto che si soliti dare per quanto riguarda il software.
IoT: una rivoluzione a due velocità.
I tempi di obsolescenza del comparto software sono molto più rapidi rispetto a quelli della macchina in sé (se uno compra un frigorifero o un forno si aspetta che duri alcune di anni, un lasso di tempo enorme per quanto riguarda l’evoluzione IT). Pertanto, secondo Martin, già in questo momento esiste un vero e proprio esercito di dispositivi connessi alla rete lasciati a loro stessi dal punto di vista della sicurezza software.
Le conseguenze di questa esposizione possono essere ben più gravi del rassegnarsi a prendere il caffè al bar. Un dispositivo IoT con un software obsoleto può costituire un punto debole per attaccare l’intera rete. D’altra parte, siamo nel pieno della rivoluzione IoT con sempre più oggetti connessi, alcuni d’importanza vitale per un’attività. Una strategia efficace per la sicurezza IT della propria azienda non può quindi non passare anche dai dispositivi IoT connessi. Un compito per nulla semplice, considerate le debolezze intrinseche ai software che muovono questi dispositivi, ma che può essere gestita grazie a tecnologie dedicate e all’apporto di consulenti qualificati in grado di progettare un piano per la sicurezza organico e che non lasci scoperti i dispositivi IoT.