“Ransomware” è il termine con il quale sono definiti i malware che bloccano un dispositivo, un software o un servizio, chiedendo alle vittime il pagamento di un riscatto per ripristinare file cifrati o dispositivi bloccati. L’ultima potenziale minaccia che arriva dal settore della cybersicurezza è la scoperta della possibilità di scrivere un ransomware in grado di infettare, o meglio tenere “in ostaggio” i termostati smart.
Andrew Tierney e Ken Munro, ricercatori britannici della società di sicurezza Pen Test Partners, hanno dimostrato tale possibilità nel corso DefCon security conference di Las Vegas. Il termostato WiFi che i ricercatori hanno preso di mira è essenzialmente un piccolo computer con Linux.
L’utente può scaricare sfondi e impostare settaggi mediante una memory card SD. Quest’ultima è il meccanismo sfruttato per installare un’applicazione malevola e consentire all’attacker di ottenere pieno accesso al dispositivo.
Ovviamente affinché l’attacco sia portato a termine, il malintenzionato deve avere accesso fisico al dispositivo o il proprietario del termostato ingannato con tecniche di ingegneria sociale e invitato a inserire una memory card modificata ad hoc nel sistema.
Al momento non è chiaro quale sia il marchio e il dispositivo specifico usato dai ricercatori per la loro dimostrazione. La vulnerabilità sarebbe stata scoperta due giorni prima dell’inizio della conferenza e non hanno ancora fatto in tempo a preparare la documentazione con i dettagli da inviare al produttore per metterlo al corrente del problema.
A detta dei due la vulnerabilità non dovrebbe essere complessa da risolvere. Quanto illustrato dimostra ad ogni modo ancora una volta l’assenza di funzionalità di sicurezza in molti dispositivi per l’Internet delle Cose, un problema sottovalutato da alcuni produttori.
In commercio si trovano migliaia di prodotti, molti dei quali vulnerabili e mai aggiornati dai fabbricanti. Gli oggetti vulnerabili variano dai baby monitor ai condizionatori d’aria alle automobili. Tutto ciò che si connette al web comporta potenzialmente dei rischi.
I produttori dovrebbero impegnarsi nello sviluppo di soluzioni sicure, affidabili, aggiornabili, ripensando in modo coordinato alle policy in materia di sicurezza.
Sarebbe un bene per gli utenti ma anche per le aziende stesse: una buona reputazione in materia di sicurezza, potrebbe essere il fiore all’occhiello di qualsiasi vendor di soluzioni per l’IoT.
