Securitywatch: il vero motivo per cui non ho una telecamera di sicurezza

Di recente io e il mio compagno abbiamo avuto un cane, che per i millenial è quasi lo stesso di dire che abbiamo avuto un figlio. Ora, avevamo già, e abbiamo ancora, altri animali domestici nella nostra casa. La nostra malizia di adorabili topi dal naso rosa può variare di dimensioni, ma è stata una costante nelle vite del mio compagno e di me stesso per quasi un decennio. La cosa sui ratti è che sono felici in una gabbia con i loro amici topo come lo sono con te. I cani, d'altra parte, non sono felici quando non ci sei e di conseguenza non lo sei nemmeno tu. Quando abbiamo preso il cane (il cui nome è Lulu e lei è il cane migliore per tutte le misurazioni oggettive), il mio compagno ha suggerito di avere una webcam o un baby monitor video in modo da poter tenere sotto controllo il nostro bambino canino mentre eravamo al lavoro.

Lo ammetto, ero tentato. Come ho già detto, i nostri animali domestici ricoprono il ruolo di bambini per noi e trascorro una quantità non trascurabile di tempo a preoccuparmi dei miei animali quando sono al lavoro, specialmente durante le estati di New York, che combinano il calore della Death Valley con la malattia umidità di un'ascella. Nonostante quelle preoccupazioni, mi sentivo a disagio. Il mio partner è ben consapevole delle mie tendenze paranoiche e dopo averne parlato, siamo d'accordo: non avremo una telecamera di sicurezza in casa nostra.

Non è, come potresti pensare, perché ho paura che gli hacker guardino i miei momenti intimi o le agenzie di intelligence ascoltino ogni mia parola, anche se quelle sono vere minacce. No, la mia preoccupazione è che qualsiasi dispositivo accessibile da Internet sulla mia rete possa essere dirottato e trasformato in un'arma di distruzione di massa online.

Gli hack terrificanti sono reali ma evitabili

Arriveremo alle mie paure, ma prima devo riconoscere che, sì, le cose inquietanti accadono con i dispositivi IoT, e può essere davvero brutto. Di per sé, è un motivo valido per esitarsi prima di ottenere una videocamera o un baby monitor collegati al web.

Storie abbondano di persone che ascoltano le voci dei mostri che attraversano il loro baby monitor o scoprono che qualcuno ha usato la fotocamera del loro computer per catturare immagini imbarazzanti. Una pratica particolarmente insidiosa si chiama "sextortion", in cui un aggressore minaccia di rilasciare foto imbarazzanti scattate da una webcam dirottata (che potrebbe o meno effettivamente avere) a meno che la vittima non fornisca materiale sessualmente esplicito. Questo è disgustoso da solo, e il fatto che i giovani siano spesso gli obiettivi di questi attacchi è deplorevole.

Gli attacchi così atroci di solito sono più difficili da eseguire perché richiedono il targeting di un individuo specifico, ma il povero pedigree di sicurezza di molti dispositivi Internet of Things, tra cui alcune telecamere di sicurezza e baby monitor collegati, li rende segni più facili. Se vuoi trovare un obiettivo, puoi dare un'occhiata a Shodan, un motore di ricerca di dispositivi connessi a Internet. Attaccare una persona specifica implicherebbe probabilmente l'accesso fisico al dispositivo o attacchi di phishing attentamente costruiti, ma Shodan probabilmente può collegarti con una vittima inconsapevole, seppure in qualche modo casuale.

Questi attacchi grossolani e invasivi sono una vera minaccia, ma possono anche essere mitigati senza molto know-how tecnico. Un semplice pezzo di nastro adesivo su una lente o una salvietta asciutta gettata su un dispositivo può rendere la fotocamera completamente cieca. I baby monitor possono essere disconnessi, o meglio ancora, non possono connettersi a Internet in primo luogo. Posso gestirlo da solo.

Ciò che mi spaventa davvero

C'è stata una presentazione di Black Hat che mi ha sempre attaccato. In esso, il presentatore ha dimostrato come poteva assumere il controllo di una videocamera di sicurezza collegata. È spaventoso, ma quello che mi ha fatto è stato il punto del presentatore che queste telecamere erano solo piccoli computer Linux e potevano essere usate per fare qualsiasi cosa un attaccante voleva. Ha anche affermato che la stragrande maggioranza delle fotocamere sul mercato presentava grossi difetti.

Alcuni anni dopo, i dispositivi domestici intelligenti iniziarono a colpire gli scaffali e continuai a sentire dalle compagnie di sicurezza che erano davvero preoccupati. Avevano la stessa preoccupazione del presentatore di Black Hat; che potrebbe essere possibile dirottare un dispositivo intelligente e utilizzarlo per tutti i tipi di scopi nefasti.

Non molto tempo dopo, quelle paure divennero realtà ed era peggio del previsto. Il malware Mirai ha automaticamente scansionato Internet alla ricerca di connessioni disponibili, quindi ha utilizzato una serie di attacchi per penetrare nel dispositivo IOT, il tutto senza input da parte di un essere umano. Mirai ha preso di mira i dispositivi che eseguono versioni integrate di Linux, dalla TV ai router, ed è stato in grado di assemblare una considerevole botnet. Era abbastanza grande da abbattere un provider DNS, il che a sua volta ha reso inaccessibili siti come GitHub, Netflix e Twitter.

Mirai era solo un esempio, ma è tornato ancora e ancora. Secondo Wikipedia, varianti del malware Mirai sono state individuate più volte nell'ultimo anno, con alcuni avvistamenti recenti di febbraio 2019.

Mirai era limitato a una manciata di dispositivi, ma era ancora brutalmente efficiente. Ciò che sarebbe peggio è un attacco ancora più avanzato - forse meno automatizzato, forse no - che potrebbe saltare da una lampadina infetta al mio router, e quindi a sua volta a tutti i dispositivi della rete. Ciò renderebbe il dispositivo IoT un vantaggio o un punto d'appoggio, quindi l'attaccante o il malware potrebbero "ruotare" nella rete più preziosa.

Certo, ci sono stati miglioramenti nelle fotocamere collegate e nei baby monitor e l'IoT in generale, ma l'industria deve ancora fare di più. Le aziende devono assicurarsi che i loro dispositivi siano sopravvissuti a una serie di test per rilevare eventuali punti deboli e che almeno dovrebbero includere un meccanismo per l'aggiornamento o la sostituzione dei dispositivi che risultano vulnerabili. I fornitori devono presumere che i loro dispositivi saranno attaccati, integrare funzionalità di sicurezza e ricordare che i loro prodotti non sono sempre riparabili dall'utente, alcuni di essi mancano di schermi o di qualsiasi tipo di interfaccia.

Immunità alle mandrie

Ci sono alcune precauzioni disponibili anche per le persone normali. Puoi esaminare l'acquisto di dispositivi di sicurezza IoT come Bitdefender Box o router con software di sicurezza integrato. (Quest'ultimo è significativo se si considera che un router, come un dispositivo IoT, è solo un computer che potrebbe essere usato per il male.) È possibile assicurarsi che i dispositivi siano aggiornati con le ultime patch del software e modificare eventuali password predefinite. Tuttavia, questo va solo così lontano. Non c'è quasi modo di vedere guardando una scatola se la telecamera di sicurezza interna utilizza il codice firmato nei suoi aggiornamenti o se ha credenziali codificate che sono invisibili all'utente e una potenziale backdoor per gli aggressori.

È notevole quanto un sacco di quel consiglio, e molta della sicurezza in generale, sia espresso nell'idea di sicurezza e responsabilità personale. Devi proteggere la tua macchina e le tue informazioni personali. Come nel caso di Mirai, un attacco riuscito a me può rapidamente trasformarsi in un attacco alla mia famiglia, ai miei amici, alla mia comunità e alle persone che non conoscerò mai. Questo non solo causerà qualche problema con il mio ISP, ma significa che ho ferito inconsapevolmente le persone intorno a me.

Questo mi ricorda il concetto di immunità da gregge. Questo è quando una percentuale abbastanza alta di una popolazione è immune o vaccinata contro una particolare malattia che nessuno si ammala. La popolazione si protegge a vicenda rendendo impossibile la diffusione dei contagi. Mettere una telecamera di sicurezza in casa mia non è solo un rischio per me, ma potrebbe anche rendere gli altri un po 'meno sicuri.

Lulu, il miglior cane, sta ancora lottando per sentirsi a proprio agio da solo. Di recente le abbiamo procurato una copertura di cassa, perché i cani apparentemente sono attratti naturalmente da una tana buia, sicura. Invece, tirò la copertina attraverso le sbarre, la appallottolò e vi dormì. Faccio ancora fatica, ma so che la soluzione è più allenamento per lei e per noi, non una macchina fotografica che mi dirà quello che già so.

• Hacking Hue: i ricercatori entrano nell'Internet delle cose Hacking Hue: i ricercatori entrano nell'Internet delle cose
• Nido: incolpare password deboli, non noi per incidenti inquietanti della macchina fotografica Nido: incolpare password deboli, non noi per incidenti inquietanti della macchina fotografica
• SecurityWatch: fare corporazioni, non clienti, soffrire per violazioni dei dati SecurityWatch: fare corporazioni, non clienti, soffrire per violazioni dei dati

Qualunque sia la minima garanzia che una telecamera di sicurezza mi darebbe, non vale la pena essere potenzialmente parte di un attacco devastante. Sta mettendo la mia tranquillità al di sopra degli altri, e non è un mestiere che sono disposto a fare. La tecnologia IoT sta migliorando e ci sono strumenti migliori per proteggere questi dispositivi, ma non è ancora abbastanza per sentirmi a mio agio. Ho iniziato a considerare i dispositivi sulla mia rete come una mia responsabilità, per il mio bene e per gli altri, e per me questi dispositivi sono un rischio che non sono ancora disposto a correre.