Perché dobbiamo salvare internet dall'Internet of Things

Brian Krebs è un giornalista che si occupa di vicende legate alla cyber-sicurezza. Espone con una certa regolarità cyber-criminali e tattiche impiegate, e, di conseguenza, è spesso oggetto delle loro ire. Il mese scorso, ha scritto un pezzo su un servizio online che offriva ai propri clienti gli strumenti per lanciare attacchi autonomamente, che ha portato all'arresto dei due proprietari. Subito dopo, il suo sito è stato impallato da un attacco DDoS massiccio.

Da tanti punti di vista, non c'è niente di nuovo in questa storia. Gli attacchi DDoS [Distributed Denial of Service] sono un genere di attacco informatico che spinge siti e altri sistemi connessi via internet a crashare per un sovraccarico di traffico. La parte "distributed" implica che altri computer connessi a internet e privi di una buona sicurezza—eserciti che possono sfiorare i milioni di entità—vengono reclutati da una botnet per partecipare inconsapevolmente all'attacco. La tattica è vecchia di decenni; gli attacchi DDoS vengono perpetrati da hacker solitari che vogliono dare fastidio a qualcuno, da criminali che tentano di estorcere denaro a qualcun altro, e da governi che collaudano i propri strumenti. Ci sono modi per difendersi, e ci sono aziende che offrono servizi a pagamento per contrastare i DDoS.

Fondamentalmente, si tratta di un gioco di proporzioni. Se chi attacca riesce a mettere insieme un arsenale di dati più grande della capacità di gestirli di chi difende, vince. Se chi difende riesce ad migliorare il proprio sistema davanti all'attacco, vince.

L'aspetto insolito dell'attacco subito da Krebs era dato dalle sue dimensioni allucinanti, e dai dispositivi particolari che gli hacker avevano coinvolto. Anziché usare i computer tradizionali per la loro botnet, hanno usato telecamere a circuito chiuso, lettori DVD, router privati, e altri macchinari connessi a internet come parte dell'Internet of Things.

Sono stati scritti infiniti articoli su come l'IoT sia privo di sicurezza. A dirla tutta, il software usato per attaccare Krebs era semplice e rudimentale. Questo attacco dimostra che l'economia dell'IoT è destinata a restare estremamente fragile e scoperta, a meno che il governo non faccia un passo avanti e risolva il problema alla radice. Parliamo di un problema di mercato che non può risolversi da solo.

I nostri computer e smartphone sono sicuri perché ci sono fior fior di squadre di ingegneri che lavorano affinché lo siano. Aziende come Microsoft, Apple e Google passano un'enorme quantità di tempo a testare il proprio codice prima di distribuirlo sul mercato, e confezionano patch istantanee appena salta fuori una nuova vulnerabilità. Queste aziende possono permettersi i propri team di esperti perché fanno un sacco di soldi, sia direttamente che indirettamente, grazie ai propri software—e, in parte, competono alla loro sicurezza. Lo stesso discorso non vale per i sistemi incorporati come lettori DVD o router. Questi ultimi vengono venduti con margini inferiori, e sono spesso costruiti da terze parti all'estero. Banalmente, le aziende coinvolte non hanno le competenze necessarie per renderli sicuri.

Quel che è peggio, la maggior parte di questi dispositivi non può essere sistemata con una patch. Anche se il codice sorgente della botnet che ha attaccato Krebs è stato reso pubblico, non esiste un aggiornamento per i dispositivi che ha colpito. Microsoft invia ogni mese direttamente ai vostri computer le nuove patch di sicurezza. Apple lo fa con altrettanta regolarità, per quanto non con appuntamenti prefissati. L'unico modo per aggiornare il firmware del router a casa vostra, invece, è gettarlo nell'immondizia e comprarne uno nuovo.

La sicurezza dei nostri computer e telefoni deriva anche dal fatto che li sostituiamo regolarmente. Compriamo un laptop nuovo ogni paio d'anni. Cambiamo cellulare anche più spesso. Non succede lo stesso con i sistemi IoT incorporati. Durano per anni, persino decenni. Un lettore DVD in genere non viene rimpiazzato prima di cinque o dieci anni. Il frigorifero—se tutto va bene—non prima di 25 anni. Non cambiamo mai il termostato. Il sistema bancario ha già a che fare con i problemi di sicurezza dati dal fatto che negli sportelli bancomat gira ancora Windows 95. Lo stesso problema si presenterà presto in ogni ambito dell'Internet of Things.

Il mercato non può risolvere la situazione perché né al venditore né all'acquirente frega niente. Pensate a tutte le telecamere a circuito chiuso e lettori DVD usati nell'attacco contro Brian Krebs. Ai proprietari di questi dispositivi non importava nulla. Erano oggetti economici, funzionavano ancora, e non sapevano chi fosse Brian. I venditori, a loro volta, si sono stretti nelle spalle: ora vendono modelli più nuovi e migliori, e il compratore originale era interessato solo al prezzo a alle capacità dello strumento in questione. Il mercato non può risolvere la situazione perché la mancanza di sicurezza è ciò che gli economisti definiscono un'esternalità: è un effetto della decisione d'acquisto che impatta altre persone. Immaginatela come una sorta di inquinamento invisibile.

In sintesi, l'IoT resterà fragile da un punto di vista di sicurezza a meno che il governo non decida di intervenire. Quando si tratta di una crisi di mercato, il governo è l'unica soluzione. Il governo potrebbe imporre leggi e norme alle aziende che producono dispositivi IoT, costringendole a rendere i loro prodotti sicuri anche se ai loro clienti non importa niente. Potrebbero imporre responsabilità alle aziende, così che le persone come Brian Krebs possano intentare una causa. Una qualsiasi di queste idee potrebbe alzare il costo di una mancata sicurezza e fornire alle aziende l'incentivo per spendere più soldi nel rendere i dispositivi sicuri.

Ovviamente, sarebbe una soluzione domestica a un problema internazionale. Internet è un fenomeno globale, e gli hacker possono facilmente costruire una botnet tramite i dispositivi IoT in Asia tanto quando negli Stati Uniti. Sul lungo periodo, è necessario costruire un internet che sia resiliente contro gli attacchi come questo. Ma la strada è lunga. Nel frattempo, mi sa che vedremo ancora parecchi attacchi fare leva sulla fragilità dei dispositivi IoT.