FIBARO – la sicurezza al primo posto

A cura di Pezzini Andrea

Questo tema è per me molto caro, in quanto per deformazione professionale, provenendo dal mondo della sicurezza, non posso prescindere da alcune considerazioni che tratterò in questo articolo.

 La domotica progetta soluzioni per renderci la vita più semplice e confortevole, ma siamo sicuri che il maggior confort vada sempre di pari passo con la sicurezza?

In questa mia riflessione cercherò di spiegarvi quali possono essere i pericoli di automatizzare praticamente tutto, affidandoci ad un produttore qualsiasi che tende alla vendita dei suoi dispositivi considerando solo ed esclusivamente la leva del prezzo più basso.

Iniziamo a considerare per primo gli apparati domestici che ci rendono dipendenti dalla qualità della connessione internet e dunque da un corretto funzionamento del server.

Nel 2019 uno studio ci ha dimostrato che esistono svariati metodi per prendere il controllo di una “casa intelligente”. Una grande vulnerabilità esiste appunto nel server su cloud, attraverso il quale il proprietario della smart-home controlla la sua casa da remoto e vi garantisco, come potrete documentarvi, anche un semplice dispositivo come un interruttore intelligente possa essere utilizzato per entrare nel vostro sistema.

Uno scenario molto utilizzato, non richiede neppure di craccare password, semplicemente attraverso le copie di backup che si possono inavvertitamente caricare. ( sappiamo che non possono essere scaricate dal server senza un’autorizzazione). Se il cloud di certi produttori di domotica consente l’invio di messaggi di testo all' e-mail del proprietario il gioco è sicuramente più semplice per i cybercriminali.

In parole semplici, gli hacker non devono fare altro che creare una copia di backup dannosa, caricarla sul server e convincere la vittima ad installare l’aggiornamento.

Quindi, creano un messaggio che sembra provenire dal sito del produttore (il classico phishing), a questo punto se la vittima ci casca e scarica il backup incriminato si concede al cybercriminale i permessi di root.

Nel nostro caso specifico, FIBARO conosce bene questa tecnica, per cui si tratta di un attacco che non può essere realizzato. La domanda però che dovreste farvi prima di acquistare dei prodotti pensando solo ai 3 o 4 euro in più o in meno è: “Quante sono le case produttrici di sistemi di domotica che hanno investito e deciso di evitare situazioni simili?”. Non è così scontato come sembrerebbe.

Nelle mie ricerche, qualche tempo fa, lessi uno studio condotto da ricercatori statunitensi del College of William & Mary, che analizzando la sicurezza di alcune piattaforme per smart-home hanno reso pubblico le loro vulnerabilità, per farvela in breve vi elenco qui di seguito alcuni scenari descritti dai ricercatori che possono generare degli attacchi:

1)    I cybercriminali seguono il proprietario della casa e attendono che si colleghi a una rete Wi-Fi pubblica (in un locale pubblico per esempio);

2)    La App del sistema domotico prova a collegarsi al server;

3)    I cybercriminali entrano nella stessa rete pubblica per intercettare la connessione e mostrare alla App il proprio certificato SSL;

4)    La App, pensando che si tratti del server, invia il token richiesto per l’autenticazione;

5)    I cybercriminali mostrano il token al server reale, che crede di comunicare con la App;

6)    L’hacker manda il segnale all’interruttore, che il proprietario è rientrato in casa;

7)    Viene cambiato lo status da “Fuori casa” a “A casa”;

8)    A questo punto l’obiettivo è raggiunto: se per caso ci fosse una telecamera, si potrebbe far ricevere i comandi dovuti per far smettere di registrare. I cybercriminali o i loro complici potrebbero entrare in casa senza essere vigilati.

Secondo i ricercatori, l’aspetto più preoccupante è che un attacco di questo tipo non richiederebbe abilità particolari. La buona notizia è che i creatori del nostro sistema FIBARO, conoscono questo tipo di Bug e ci hanno protetto anche tenendo conto di attacchi di questo tipo grazie all’analisi integrata di App e dispositivi di terze parti.

Dunque possiamo riassumere che i problemi legati alla sicurezza siano presenti praticamente in tanti dispositivi di domotica e dovremmo iniziare a preoccuparci perché se venisse hackerata una serratura intelligente o una telecamera di sicurezza, la situazione potrebbe essere molto spiacevole.

Quindi se volete rendere la casa la vostra casa una vera smart-home, sarebbe il caso di ridurre al minimo il rischio di hackeraggio.

Seguite sempre questi consigli che ci forniscono i ricercatori statunitensi di cui sopra:

• Leggete recensioni e ricerche riguardanti la sicurezza di questi dispositivi prima di acquistarli. E fate caso a come reagiscono le case produttrici quando viene scoperta una vulnerabilità. Se l’azienda risolve in tempi brevi il problema riscontrato dai ricercatori, allora è un buon segno;
• Se vi siete decisi per l’utilizzo di una APP o un dispositivo in particolare, cercate di rimanere al corrente sugli aggiornamenti e le nuove vulnerabilità. Installate in tempi brevi tutti gli aggiornamenti rilasciati dagli sviluppatori;
• Proteggete dispositivi e pannelli di controllo mediante password uniche e robuste. I cybercriminali non potranno effettuare un attacco di forza bruta per ottenere le “chiavi” della vostra casa.
• Configurate correttamente la rete Wi-Fi di casa;
• Scaricate programmi esclusivamente da fonti ufficiali e non concedete loro autorizzazioni che non siano assolutamente necessarie;
• Quando vi collegate al sistema di domotica utilizzando una rete Wi-Fi pubblica, ricordatevi che le informazioni condivise tra voi e le vostre app online possono essere intercettate, come password e token di autorizzazione. Per evitare che ciò avvenga, utilizzate una connessione VPN sicura.

In conclusione, per noi la sicurezza è tutto! Con FIBARO sei sicuro che i tuoi dati e il tuo accesso è super protetto.