Se stai cercando un apriporta per garage connesso a Internet, campanello di casa, termostato, telecamera di sicurezza, sistema di irrigazione dell'iarda, fornello lento, o anche una scatola di lampadine collegate, un nuovo sito Web può aiutarti a comprendere i problemi di sicurezza che questi nuovi dispositivi scintillanti potrebbero portare a casa tua.

I dispositivi Internet of Things (IoT) di livello consumer non sono esattamente noti per avere pratiche di sicurezza rigorose. Per evitare che gli acquirenti lo scoprano nel modo più duro, ricercatori del Georgia Institute of Technology e dell'Università della Carolina del Nord a Chapel Hill hanno effettuato valutazioni di sicurezza di dispositivi rappresentativi, assegnando punteggi che vanno da 28 (un F) fino a 100.

Il loro sito, https://yourthings.info, mostra le classifiche per 45 dispositivi, sebbene ne siano stati valutati 74. Non è certo una carrellata completa delle decine di migliaia di tipi di dispositivi disponibili, ma la grande idea alla base del progetto è aiutare i consumatori a comprendere questioni importanti prima di connettere un nuovo assistente IoT alle loro reti domestiche.

"Molte persone che acquistano questi dispositivi non comprendono appieno i rischi associati all'installazione nelle loro case, ", ha affermato Omar Alrawi, assistente alla ricerca laureata in Georgia Tech. "Vogliamo fornire informazioni fornendo valutazioni di sicurezza per i dispositivi che abbiamo testato".

Gli assistenti digitali personali ad attivazione vocale sono tra i dispositivi IoT domestici più comuni, ma se non installato correttamente, possono fornire accessi indesiderati alle reti domestiche a cui sono connessi, ha avvertito Manos Antonakakis, un ricercatore di sicurezza informatica e professore associato presso la School of Electrical and Computer Engineering della Georgia Tech.

"Se disponi di un'app IoT vulnerabile, chiunque abbia accesso a quell'app non solo ha accesso alle tue informazioni personali, ma potrebbe anche saltare a casa tua e origliare le tue conversazioni, " ha detto. "Tutto ciò che è collegato in casa in prossimità dell'assistente personale potrebbe anche interagire con esso. Se sul dispositivo è in esecuzione un software vulnerabile, potrebbe essere sfruttato all'interno della rete domestica."

Un problema è che la maggior parte delle reti domestiche è stata configurata per attività semplici come la condivisione di stampanti, quindi non hanno il tipo di controlli di sicurezza che si trovano sui sistemi aziendali delle aziende, ha osservato Chaz Lever, un ingegnere di ricerca presso la School of Electrical and Computer Engineering della Georgia Tech.

"La rete domestica comincia ad assomigliare molto alle reti aziendali con una gamma di servizi che devono essere protetti, " Lever ha detto. "Ma il consumatore medio non sarà attrezzato per farlo. Non hanno uno staff IT che esegue audit e protegge i dispositivi. Se questi dispositivi non sono pronti all'uso e non ci sono modi semplici per proteggerli, possono aprire la casa a un nuovo vettore di attacchi".

Per dare ai consumatori consigli utili, i ricercatori hanno sviluppato un framework per analizzare i componenti di sicurezza dei dispositivi. In quello che si ritiene sia il primo tentativo di valutare oggettivamente i rischi delle apparecchiature IoT, hanno esaminato i dispositivi stessi, come i dispositivi comunicano con i server cloud, le applicazioni in esecuzione sui dispositivi, e gli endpoint basati su cloud.

"Più servizi sono in esecuzione sul dispositivo, maggiore è la probabilità che alcuni di loro siano vulnerabili agli attacchi, " ha detto Antonakakis. "Fornire molti servizi può essere interessante dal punto di vista del marketing, ma se disponi di più servizi, il rischio aumenta».

Nel loro studio sui dispositivi IoT, i ricercatori hanno trovato ampie variazioni nella sicurezza a seconda del produttore. In alcuni casi, le apparecchiature prodotte da aziende piccole e meno note hanno ottenuto risultati migliori rispetto ai dispositivi realizzati da aziende più grandi.

"Ci sono alcuni dispositivi che fanno davvero bene la sicurezza, e altri produttori dovrebbero imparare da questi dispositivi esemplari, " Ha detto Alrawi. "Abbiamo visto l'intero spettro del bene e del male, e a volte siamo rimasti sorpresi dai risultati della nostra valutazione".

Poiché sono progettati per essere installati dai consumatori, questi dispositivi IoT devono essere facili da usare. Però, a volte la facilità d'uso è nemica della sicurezza. Un esempio è un servizio noto come UPnP, che rende noti i dispositivi alla rete durante l'installazione in modo da poter stabilire le comunicazioni.

Ma un dispositivo che si annuncia sulla rete può attirare aggressori, Leva annotata. "È utile che i dispositivi comunichino ciò che fanno, ma questo apre delle vulnerabilità. La scelta dei protocolli riguarda non solo il dispositivo, ma anche la sicurezza della rete su cui è in esecuzione."

È improbabile che le lampadine connesse a Internet abbiano una lunga durata, ma questo non è il caso di elettrodomestici costosi come i frigoriferi connessi a Internet. Antonakakis teme che questi dispositivi possano diventare rischi per la sicurezza senza aggiornamenti regolari.

"Idealmente, il consumatore non dovrebbe essere consapevole che il proprio frigorifero necessita di aggiornamenti che devono essere scaricati sul dispositivo, " ha detto. "Vogliamo che ciò avvenga in modo automatico e sicuro. Perché qualcuno dovrebbe sapere come riparare il proprio frigorifero?"

Anche se l'idea di hackerare una pentola a cottura lenta potrebbe sembrare divertente, i dispositivi hanno elementi riscaldanti che potrebbero causare un incendio se un malintenzionato alzasse la temperatura. Gli attacchi possono colpire anche più di un proprietario di casa. Nel 2016, la botnet Mirai ha sfruttato le telecamere connesse a Internet non protette, molte delle quali baby monitor, per creare un massiccio attacco di negazione del servizio distribuito che ha lasciato gran parte di Internet non disponibile.

Oltre ad educare i consumatori, i ricercatori sperano di incoraggiare una migliore sicurezza da parte dei produttori di dispositivi monitorando le tendenze della sicurezza nel tempo.

"Speriamo di ispirare i prossimi passi sia tecnici che politici, " ha detto Antonakakis. "C'è bisogno di stabilire una politica e degli standard. Vogliamo aumentare il livello di sicurezza di tutti questi dispositivi. C'è molto di più che si potrebbe fare".