{"id":15118,"date":"2018-02-27T13:49:51","date_gmt":"2018-02-27T11:49:51","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=15118"},"modified":"2019-11-22T11:06:48","modified_gmt":"2019-11-22T09:06:48","slug":"mwc2018-insecure-iot","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/mwc2018-insecure-iot\/15118\/","title":{"rendered":"L’apocalisse delle case smart"},"content":{"rendered":"

Gli sviluppatori delle smart home<\/em> immaginano pi\u00f9 o meno cos\u00ec la vita quotidiana: la vostra giornata di lavoro si \u00e8 finalmente conclusa e state per arrivare a casa. La porta d\u2019ingresso si apre automaticamente nel momento in cui viene identificato il vostro volto e l\u2019iride. La casa \u00e8 calda e la luce dell\u2019ingresso \u00e8 accesa, parte una tranquilla musica di ambiente, il bollitore elettrico \u00e8 appena spento perch\u00e9 l\u2019acqua ha raggiunto il punto di ebollizione proprio quando siete arrivati nel vostro appartamento.<\/p>\n

Poi cenate tranquillamente e vi rilassate sul divano e utilizzate lo smartphone per abbassare leggermente le luci e accendere la TV. Vivere in una casa smart <\/em>\u00e8 davvero comodo perch\u00e9 vi aiuta nei vostri compiti quotidiani e a gestirli via smartphone.<\/p>\n

Putroppo c\u2019\u00e8 un altro scenario che potrebbe verificarsi. Vi avvicinate alla porta ma non si apre perch\u00e9 il sistema non ha salvato correttamente i tratti del vostro volto e l\u2019iride. Sapevate che sarebbe potuto accadere e, per sicurezza, avete con voi la cara, vecchia chiave. Aprite la porta, in casa stranamente le luci non sono accese, e fa freddo che perch\u00e9 il riscaldamento non si \u00e8 acceso all\u2019orario previsto.<\/p>\n

Qualche secondo dopo scatta l\u2019allarme come quando c\u2019\u00e8 un intruso e invece il sistema avrebbe dovuto rilevare la presenza del vostro smartphone! Almeno c\u2019\u00e8 qualcosa che sembra funzionare: la TV \u00e8 gi\u00e0 accesa ma viene trasmesso ci\u00f2 che riprende la videocamera del soffitto. In lontananza sentite la sirena del camion dei pompieri che si avvicina, cosa diamine sta succedendo? Ebbene s\u00ec, qualcuno ha hackerato la vostra casa intelligente!<\/p>\n

Si tratta di un\u2019eventualit\u00e0 che potrebbe verificarsi se un hacker dovesse manipolare il vostro smart hub, che controlla tutti i dispositivi di domotica. Durante un intervento al Mobile World Congress 2018, Vladimir Daschenko di Kaspersky Lab ha dimostrato quanto non sia poi cos\u00ec difficile<\/a>.<\/p>\n

Cos\u2019\u00e8 uno smart hub?<\/strong><\/h3>\n

Uno smart hub \u00e8 il centro nevralgico e il cervello della vostra casa smart<\/em>. Di solito si tratta di una piccola scatola, a volte touch screen, a volte no. Lo smart hub \u201cparla\u201d a tutti i dispositivi della casa mediante un protocollo speciale e, a loro volta, i dispositivi forniscono informazioni o risposta ai comandi ricevuti.<\/p>\n

Se lo smart hub non \u00e8 dotato di schermo, ci sar\u00e0 una applicazione mobile o un servizio Web (o entrambe le cose) per poter programmare le funzionalit\u00e0 \u201cintelligenti\u201d della casa. Lo smart hub ha bisogno di sincronizzare i dispositivi di tutta la casa e gestirli in contemporanea. Tutto molto comodo per l\u2019utente ma il rovescio della medaglia \u00e8 che, per hackerare una casa, bisogna solo puntare allo smart hub.<\/p>\n

Come hackerare uno smart hub<\/strong><\/h3>\n

Gli smart hub di una casa produttrice in particolare (di cui non faremo il nome) non hanno particolari vulnerabilit\u00e0 nel codice. Tuttavia, grazie ad alcuni errori di logica, il nostro esperto \u00e8 riuscito comunque ad hackerare lo smart hub in remoto, senza avere accesso alla rete Wi-Fi dell\u2019utente.<\/p>\n

Per controllare l\u2019hub mediante il portale Web, l\u2019utente invia un comando di sincronizzazione dall\u2019interfaccia Web dell\u2019hub. Si tratta di un file di configurazione assegnato a un hub con un particolare numero di serie, che poi viene scaricato e implementato dall\u2019hub. Il file viene inviato mediante un canale HTTP (non criptato) e il numero di serie dell\u2019hub \u00e8 l\u2019unico modo per identificare il destinatario.<\/p>\n

Se un cybercriminale riesce a ottenere il numero di serie dell\u2019hub, pu\u00f2 inviare all\u2019hub un file di configurazione personalizzato, che verr\u00e0 accettato senza comunicazioni aggiuntive. Potrebbe sembrare improbabile, eppure gli utenti di solito non si rendono conto che il numero di serie coincide con la master key del proprio sistema di domotica. Pu\u00f2 capitare, quindi, che pubblichino tranquillamente recensioni positive del proprio smart hub su YouTube mostrando senza volere tutte le informazioni necessarie per hackerare l\u2019hub, numero di serie compreso. E, come se non bastasse, risulta che i numeri di serie possono essere ottenuti mediante attacchi di forza bruta.<\/p>\n

Come evitare l\u2019apocalisse nella vostra casa smart<\/em><\/strong><\/h3>\n

Le case intelligenti sono una novit\u00e0 relativamente recente, non ci sono molte ricerche al riguardo e per questo si tratta di sistemi maggiormente vulnerabili, come purtroppo ha dimostrato il lavoro del nostro esperto (abbiamo affrontato l\u2019argomento anche in passato, e abbiamo dimostrato come sia possibile hackerare anche tanti altri dispositivi smart<\/a>).<\/p>\n

Il vulnerabile mondo dell\u2019Internet delle Cose<\/a><\/p><\/blockquote>\n