Sophos, la casa smart sembra “infestata”: come difenderla dagli hacker

Fonte foto: Shutterstock

Che le abitazioni smart e i dispositivi dell’Internet of Things non siano molto sicuri e diventino sempre più appetibili agli occhi degli hacker è un fatto risaputo. Diverse botnet attive in campagne spam o attacchi DDoS (vedi il caso Mirai), tanto per fare due esempi, sono proprio costituite “ammassando” decine di migliaia di device smart poco sicuri.

L’ennesima conferma è arrivata dall’esperimento “Haunted House”, condotto dai ricercatori di Sophos in collaborazione con lo specialista di automazione industriale Koramis. I risultati, come accennato, sono tutt’altro che incoraggianti: una normale abitazione dotata di dispositivi e gadget connessi a Internet – dai televisori smart ai termostati, passando per finestre e lampadine – è presa d’assalto dagli hacker, ricevendo quotidianamente decine e decine di attacchi di ogni genere, tanto che gli esperti dell’azienda specializzata in sicurezza informatica parlano, per l’appunto, di casa infestata (da pirati informatici e non fantasmi, ovviamente).

Che cos’è l’esperimento Haunted House

I risultati snocciolati da Sophos sono il frutto del progetto Haunted House (“Casa infestata” in italiano), una smart home dotata di ogni tipologia di gadget e dispositivo connesso. Questo, però, nella finzione sperimentale: nella realtà la haunted house altro non è che un’abitazione virtuale creata appositamente per attirare attacchi da parte dei cybercriminali. I risultati parziali mostrano oltre 70 mila tentativi di intrusione provenienti da circa 24 mila indirizzi IP differenti.

Per avvalorare queste cifre, gli esperti Sophos hanno sfruttato motori di ricerca come Shodan e Censys per trovare dispositivi smart connessi direttamente alla Rete e, per questo, facilmente accessibili da parte degli hacker. Ciò ha permesso di trovare 68 mila dispositivi utilizzati in maniera poco consapevole e alla mercé (o quasi) di qualunque hacker. Di questi, circa 2 mila erano localizzati nel nostro Paese: un dato allarmante, se si pensa che il mercato dell’IoT e della domotica è destinato a crescere in maniera esponenziale nei prossimi anni.

Come difendere la smart home dagli attacchi hacker

Per quanto preoccupante, la situazione non è ovviamente priva di ogni speranza. Se utilizzati con consapevolezza e con cognizione di causa, i dispositivi smart possono essere molto utili. È sufficiente seguire alcuni semplici consigli di sicurezza che consentono di mettere al riparo i gadget connessi (e la rete domestica) da attacchi hacker.

• Non connettere i dispositivi IoT alla LAN di casa. A meno che non sia strettamente necessario, evitate di connettere i vostri device alla rete domestica. Se, ad esempio, non utilizzate le funzioni smart del vostro televisore, è inutile collegarlo al Wi-Fi di casa e metterlo così a rischio attacco hacker
• Creare delle reti wireless dedicate. Nel caso vogliate (o dobbiate) collegare i dispositivi IoT al Wi-Fi, create almeno una sottorete differente dedicata esclusivamente alla casa smart. Ciò consentirà di tenere separate, ad esempio, la rete delle lampadine smart o delle casse wireless da quella solitamente utilizzata per navigare online con il PC. Una soluzione resa possibile da router e access point di ultima generazione, che consente di aumentare il livello di sicurezza sia della casa domotica, sia della LAN di casa
• Aggiornare software e firmare. Nella stragrande maggioranza dei casi, gli hacker sfruttano falle e vulnerabilità presenti nei software di gestione e nei firmware dei dispositivi per attaccarli e prenderne così il controllo. Scaricando e installando gli aggiornamenti che le software house e i produttori rilasciano periodicamente si avrà la certezza di migliorare il livello di sicurezza della propria smart home
• Utilizzare una VPN. Per evitare che i cybercriminali riescano a intercettare le nostre comunicazioni, è sempre consigliabile utilizzare un servizio VPN (acronimo di Virtual Private Network) che consente di inviare e ricevere dati e informazioni in maniera crittografata e, quindi, sicura