Proteggere l’Internet delle Cose: la mia esperienza

Minacce Progetti Speciali

Avete mai notato quante volte venga pronunciata la frase “Ho un brutto presentimento” in Star Wars? Beh, questa frase è stato il leitmotiv dell’esperienza che sto per descrivervi.

Siamo alla conferenza #TheSAS2018. Quest’anno, durante la seconda giornata, sono stati proposti alcuni workshop che, come ha sottolineato Denis Makrushin (che ha organizzato proprio un workshop sull’Internet delle Cose), avevano lo scopo di farci immergere quasi “fisicamente” in questo mondo invece di partecipare alla solita presentazione sull’argomento. I workshop potevano essere di interesse per un pubblico variegato e non solo per i ricercatori di sicurezza, esperti del settore.

Dal mio punto di vista, tale approccio ha dato un valore aggiunto alla conferenza ma, in fin dei conti, io mi occupo di marketing e comunicazione, è giusto che la pensi così. E la mia presenza al workshop serviva proprio per far conoscere al nostro vasto pubblico sui social network tutti gli eventi della conferenza. Sono entrato nella stanza, pensando a come convincere Makrushin a partecipare a un podcast, e ho subito capito che lui aveva altro in serbo per me: “Ok, Jeff, farò il podcast ma tu devi partecipare al mio workshop”.

Ho un brutto presentimento.

Dalla descrizione del workshop che si trova sulla brochure, lo scopo era quello di coinvolgere attivamente i partecipanti, analizzando in particolare la sicurezza dei dispositivi IoT e cercando soluzioni per migliorarli da questo punto di vista.

Beh, questo sembra andare oltre le mie conoscenze tecniche sull’argomento. È vero, una volta ho costruito un sistema Retropi su un Raspberry Pi, ma si è trattato semplicemente di trascinare e lasciare il tutto in emulatori.

La sfida

David Jacoby mi ha invitato a sedermi di fronte a una tastiera del Raspeberry Pi che stava configurando per il workshop e il panico è iniziato a salire. Ero il primo a entrare nella sala e non potevo tirarmi indietro: durante un’ora e più avrei fatto parte di una squadra che sarebbe entrata in competizione con un’altra per costruire un dispositivo di sicurezza domestico che soddisfacesse i seguenti criteri:

1. Doveva trattarsi di una tecnologia open-source;
2. Doveva utilizzare la segmentazione della rete;
3. Doveva essere accessibile mediante VPN;
4. Non dovevano esserci password di default;
5. Doveva essere facile da usare praticamente per tutti.

Facile, vero? Ho un brutto presentimento.

Mentre si avvicinava il momento di iniziare il workshop e iniziavano ad entrare più persone, Jacoby e Marco Preuss hanno iniziato a suddividere i partecipanti in due squadre. Nell’altro team c’erano ragazzi che avevano già lavorato in diverse aree della sicurezza informatica; nel mio team, invece, c’era un collega Kaspersky Lab di PR, un giornalista e poi c’ero io. Fantastico.

Poco prima che iniziasse il workshop, si è aggiunto un ragazzo che sapeva programmare e un altro che era sviluppatore di software, almeno la situazione era migliorata abbastanza. Poi Jacoby ci ha informato che, per via del poco tempo a disposizione(dovevamo affrettarci perché c’era le cerimonia di chiusura della conferenza), l’approccio sarebbe dovuto essere più teorico che pratico, non era necessario costruire un dispositivo funzionante. Sospiro di sollievo.

Come ideare il dispositivo connesso perfetto

Penne alla mano, abbiamo iniziato a disquisire su come sarebbe dovuto essere un dispositivo di domotica intelligente dal punto di vista della sicurezza, in grado di impiegare una tecnologia open-source. Eravamo indecisi se utilizzare il Raspeberry Pi come router o come firewall. I vantaggi c’erano in entrambi i casi, ma poi abbiamo deciso di andare oltre utilizzando OpenDNS insieme a tavole di dati per creare una whitelist. Per quanto riguarda la VPN, abbiamo deciso di avvalerci di OpenVPN e PiVPN. Avremmo anche dovuto assegnare i nostri certificati ai dispositivi sulla rete e creare una rete guest per gli ospiti della nosta ipotetica casa.

Eravamo piuttosto fieri di noi, non sembrava poi così difficile. Dopo un’ora di brainstorming, era arrivato il momento di presentare il nostro lavoro a Jacoby e Preuss.

Abbiamo ascoltato come venivano demolite le basi teoriche dell’altra squadra, ed eravamo abbastanza fiduciosi dell’esito del nostro lavoro. Dopo aver ascoltato 10 spiegazioni diverse del perché l’altro prodotto non soddisfacesse i requisiti richiesti, era arrivato il nostro turno. I ragazzi del nostro team hanno presentato davvero bene il nostro lavoro ed eravamo sicuri di aver sviluppato l’idea del secolo, Shark Tank, stiamo arrivando! E invece i nostri giudici non l’hanno pensata allo stesso modo e hanno iniziato a trovare difetti su difetti alla nostra soluzione.

Non è poi così facile

Lo scopo del workshop era proprio questo, dopotutto. Concludiamo sempre i nostri articoli che riguardano i disastri del mondo dell’Internet delle Cose con una raccomandazione agli sviluppatori, ovvero di mettere sempre la sicurezza al primo posto. E, durante il workshop, abbiamo appreso quanto sia facile avere un’idea ma poi mettere in pratica trasformandola in una tecnologia sicura e facile da usare sia un altro paio di maniche.

Mettere al sicuro una casa “intelligente” dal punto di vista informatico è più difficile di quanto si pensi, e di sicuro non sarà un gruppi di “analisti della sicurezza” improvvisati in un workshop ad avere l’idea in grado di proteggere tutto e tutti.

Durante il workshop le due squadre sono state costrette ad abbandonare la propria zona di comfort e ad affrontare un problema reale e che sta diventando ogni giorno più importante, dal momento che sempre più dispositivi saranno connessi a Internet ora e nel futuro. Nonostante il “fallimento” nel trovare una soluzione, il workshop al #TheSAS2018 mi è servito per davvero, è stata una sfida, diversa dalle solite conferenze in cui non si può fare altro che ascoltare, anche se si tratta di assoluti geni del proprio settore.

Se anche voi avete in casa dei dispositivi che si connettono a Internet e vi domandate se e quanto siano sicuri, potete provare il nostro IoT scanner. E anche voi, nel vostro piccolo, potete fare qualcosa per migliorare la loro sicurezza, cambiando ad esempio le password di default o assicurandovi che il firmware sia sempre aggiornato.