Prima o poi il tuo termostato verrà hackerato da qualche cybercriminale lontano centinaia di chilometri, che lo bloccherà con un malware e ti chiederà un riscatto per farlo tornare normale, lasciandoti al freddo fino a quando non gli pagherai qualche centinaio di dollari.Questo è uno di quei tipici scenari che gli esperti di sicurezza devono avere teorizzato nella pianificazione dei rischi causati dall'espansione dell'Internet of Things, ovvero la rete di dispositivi domestici (e non) connessi a internet e che sono spesso poco sicuri. Lo scorso sabato, in una scena che sembrava saltare fuori da un episodio di Mr. Robot, due hacker white hat hanno mostrato il primo ransomware progettato per un dispositivi "smart", in questo caso un termostato smart.
Pubblicità
Il messaggio del ransomware che Tierney e Munro hanno fatto apparire sullo schermo del termostato vulnerabile. (Immagine: Ken Munro)
Fortunatamente, Andrew Tierney e Ken Munro, i due ricercatori che hanno creato il ransomware, non hanno alcuna cattiva intenzione. Volevano solo dimostrare qualcosa: alcuni dispositivi dell'Internet of Things non sono muniti delle precauzioni di sicurezza più basilari, e sono dunque in pericolo."Non abbiamo alcun controllo sui nostri dispositivi, e non sappiamo davvero cosa stanno facendo e come lo stanno facendo," ha spiegato Tierney a Motherboard. "Se cominciano a fare qualcosa senza che tu lo capisca, non avrai mai davvero un modo per poterti difendere."Tierney e Munro, entrambi ex membri dell'azienda di sicurezza inglese Pen Test Partners, hanno dimostrato il loro concept di ransomware per termostato alla conferenzaa tema hacking Def Conlo scorso sabato, soddisfando le previsioni pessimistiche di alcune personalità del mondo della sicurezza.
My Nest thermostat has been locked by ransomware.. It's demanding $300 in 24 hours or it'll lock the temp at 99. Tal KleinJanuary 17, 2014
I due hanno sfruttato un bug presente in un certo termostato, di cui però hanno deciso di non rivelare il nome visto che non hanno avuto la possibilità di contattare l'azienda produttrice e far sistemare la falla. I due hanno detto di aver trovato la vulnerabilità appena qualche giorno prima di Def Con, aggiungendo che hanno intenzione di contattare l'azienda per risolvere il problema, sottolineando che la patch dovrebbe essere piuttosto semplice da mettere in atto.
Pubblicità
Il termostato in questione ha un grosso display LCD su cui giro il sistema operativo Linux, ed è munito di una scheda SD che permette agli utenti di caricare delle impostazioni modificate e dei wallpaper. I ricercatori hanno scoperto che il termostato non controlla davvero che tipo di file stia caricando sul suo sistema operativo. In teoria, ciò permetterebbe a un hacker di nascondere un malware dentro un file che assomiglia ad un'immagine, ingannando l'utente e facendogli trasferire l'applicativo sul termostato.
Un hacker potrebbe avere completo controllo sul termostato.
A questo punto, un hacker potrebbe avere completo controllo sul termostato, spiegano i ricercatori."Funziona, si può bloccare il termostato," ha spiegato Munro, che l'anno scorso ha scoperto che un frigo smart Samsung stava facendo fuoriuscire delle password Gmail, mentre si trovava a fianco a tre termostati che visualizzavano la nota citazione dal film Hackers: "Hack The Planet."Tierney e Munro ammettono che il tipo di attacco non è esattamente semplice da attuare, visto che richiede che qualcuno, attivamente, scarichi il malware e lo trasferisca manualmente sul termostato. Ma, per esempio, molti utenti Android in passato sono stati hackerati con l'inganno, facendo installare loro delle app che non sembravano malevole, come è successo recentemnete con gli apk di Pokémon Go. Quindi l'ipotesi non è esattamente fuori dal mondo.In ogni caso, anche se questo particolare tipo di ransomware è abbastanza lontano dalle persone comuni, dimostra ciò che molti avevano previsto, ovvero che si può creare un ransomware per i dispositivi dell'Internet of Things. Questi dispositivi non sono solamente pericoloso per loro stessi, ma per l'intera rete a cui sono collegati, mettendo in pericolo l'intero network di dispositivi e computer collegati alla tua connessione WiFi. "Non stai semplicemente comprendo un aggeggio per l'Internet of Things," ha avvisato Tierney, "stai invitando delle persone a entrare nella tua rete e non hai idea di ciò che questi aggeggi facciano."
