Come acquistare dispositivi "intelligenti" che sono anche sicuri: questo è ciò che dice un esperto di sicurezza

Con l'arrivo di altoparlanti intelligenti nelle case come epicentro dell'automazione domestica, sempre più marchi lanciano nuovi dispositivi intelligenti che entrano in azione collegandosi a Internet: televisori, condizionatori d'aria, aspirapolvere robot, lampadine ... persino alimentatori intelligenti! Una serie di gadget che, con la pretesa di offrirci un'esperienza più confortevole e personalizzata, vivono attenti ai nostri ordini e permanentemente connessi. Quanto sono sicuri i dispositivi intelligenti?

La Commissione europea ha già messo in discussione la necessità di sviluppare nuovi certificati di sicurezza informatica che garantiscano l'affidabilità di migliaia di dispositivi IoT, ma nel frattempo, quali criteri dovremmo seguire se vogliamo acquistare un dispositivo intelligente il più sicuro possibile? Lorenzo Martínez, esperto di sicurezza e CEO di Securízame, ce lo spiega.

Quali informazioni hai su di me e chi ha accesso ad esse?

Lorenzo Martínez spiega che a casa e al telefono ha gli assistenti vocali disabilitati il ​​più possibile. Una questione di deformazione professionale.

"Quei dispositivi che ti semplificano la vita hanno già dimostrato che a un certo punto le tue preferenze, le tue richieste, le tue cose ... rimangono nel cloud, sotto la protezione del fornitore di servizi. Un paio di anni fa c'era un popolare con un orsacchiotto che conservava ciò che i bambini dicevano ".

Non è solo una questione di vulnerabilità. Di recente abbiamo appreso che, oltre agli assistenti vocali, i dipendenti di Amazon, Apple e Google ascoltano anche ciò che diciamo ad Alexa, Siri e all'assistente di Google, come si spiegano, per migliorare la loro precisione.

Martínez continua a farci alcune domande che lo disturbano e che dovremmo prendere in considerazione quando si sceglie un dispositivo intelligente e si configura:

"Dobbiamo sapere a cosa abbiamo accesso come utenti ed essere chiari su ciò che stiamo chiedendo loro. In questo senso, è importante verificare le autorizzazioni concesse loro durante il processo di configurazione."

Sì, quello che pochi di noi leggono dicendo di fatto si a tutto. Da questo punto, le informazioni lasciano i nostri domini e passano attraverso altre mani. Per quanti? "Non sappiamo che cosa il fornitore fa con i nostri dati, volontariamente o meno. Né sappiamo quanto sia responsabile il fornitore quando memorizza le informazioni in modo che terzi possano accedervi."

Di fronte a questa valanga di dubbi e dati raccolti, Lorenzo richiama l'attenzione su qualcosa: "Chi controlla il provider, garantendo che le informazioni siano sicure attraverso la crittografia end-to-end?"

Come la domotica è cambiata negli ultimi anni

Sebbene lo sviluppo degli assistenti vocali e la loro implementazione negli altoparlanti intelligenti siano stati quelli che hanno reso la domotica popolare tra il grande pubblico, l'automazione domestica era un concetto che esisteva già da molto tempo, come spiega Lorenzo: "Il boom Per quanto riguarda la popolarità, inizia nel 2014-2015, ma nel 2011 ho domotizzato la mia casa perché il concetto di Internet delle cose esisteva già.

Una premessa non comune nell'automazione domestica, dato che la cosa più comune nei dispositivi intelligenti che troviamo sul mercato è proprio che hanno un server per funzionare. Martínez spiega come è cambiato questo modo di procedere:

"La filosofia di controllo in precedenza richiedeva l'apertura di una porta del router per passarla al dispositivo specifico, sebbene quella porta fosse esposta, il che apriva le porte a terzi per assumere il controllo del dispositivo: telecamere, allarmi, termostati ... ma il La filosofia attuale è diversa: ora il dispositivo o l'app si connette a Internet grazie a un servizio fornito dal provider e da lì riceve gli ordini: è il server remoto che memorizza i dati e funge da intermediario nelle nostre operazioni quotidiane.

Sebbene Roombas nelle gamme superiori abbia ora un sistema di mappatura intelligente e controllo delle app, non è sempre stato così. Uno dei primi a farlo è stato Lorenzo Martínez, che 9 anni fa ha deciso di rendere intelligente il suo robot aspirapolvere:

"Ho inserito un modulo bluetooth in un Roomba di base in modo che si attivasse tra le 9 e le 9:30 del mattino se non avesse funzionato durante quel giorno e non avesse rilevato a portata di mano una specifica coppia di dispositivi bluetooth. Oggi so che i Roombas funzionano come ho spiegato prima, comunicano via Wi-Fi con il server che invia le loro informazioni. Ora hanno messo una telecamera per mappare la casa guardando il soffitto "

Dopo l'incidente avvenuto un paio di anni fa con i robot aspirapolvere del marchio americano, durante l'analisi di Roomba i7 +, abbiamo chiesto a iRobot su questa questione.

iRobot ci ha spiegato che, conformemente alla sua politica sulla privacy, non commerciava con i dati degli utenti e che i dati scambiati con terze parti come Google e Amazon per l'uso di Google Assistant o Alexa erano limitati a quelli che consentono il controllo vocale. Pertanto, le immagini acquisite dal robot per la navigazione rimangono nel robot, inviando solo i dati elaborati e crittografati che consentono la creazione di una mappa semplificata e amichevole che vedremo sui nostri telefoni attraverso il suo cloud.

Lorenzo è scettico al riguardo: "Sì, i dati memorizzati vengono inviati crittografati. Ma devi vedere dove li memorizzano e se memorizzano l'IP. Con un utente che ha un IP dinamico, potrebbe essere ancora valido, ma se è fisso e potenzialmente qualcuno ha l'accesso al repository di dati del produttore, è possibile visualizzare la mappa, le abitudini o altri dati e, in alcuni casi, associarli ".

"A casa mia ho un proxy per verificare e limitare un determinato traffico, l'utente preoccupato per la sicurezza può configurare le regole su un firewall sulla propria connessione Internet, ma l'utente medio vuole essere in grado di controllarlo facilmente. È il rischio di esporre il dispositivo all'esterno "

L'importanza degli aggiornamenti

Tuttavia, questo cambiamento nel modo di operare che mette il proprio peso sui server rappresenta anche alcuni vantaggi a livello di sicurezza. Lorenzo spiega che "abbiamo vinto in quanto non esponiamo più il servizio dell'apparecchiatura, un vantaggio perché in molti casi non è possibile eseguire l'aggiornamento a causa di un firmware incorporato in un piccolo hardware (molto diverso da un computer Windows) o l'utente non si preoccupa nel farlo ".

E arriviamo a una zona calda quando si tratta di scegliere un dispositivo intelligente dal punto di vista della sicurezza: gli aggiornamenti. Martínez sottolinea che "sono l'unico modo per un utente / consumatore di migliorare la qualità / sicurezza di un prodotto. In altre parole, gli aggiornamenti correggono le vulnerabilità scoperte in un prodotto e / o migliorano le sue prestazioni".

Oltre a sottolineare l'importanza che un dispositivo può essere aggiornato per motivi hardware e che l'utente lo esegue, il CEO di Securízame parla di una terza tappa, i produttori:

"È importante scommettere su quei marchi che si impegnano ad aggiornare qualsiasi prodotto tecnologico. Molte volte il problema è che un tipo di dispositivo non consente l'aggiornamento facile da parte del produttore. Se il produttore non ha previsto la possibilità di modificare un firmware o installane uno nuovo, perché non è possibile. "

Un occhio alla connettività

Per vederlo in modo più terreno, proponiamo a Lorenzo Martínez di spiegare cosa cercherebbe quando acquistasse una lampadina intelligente. Cosa guarderebbe un esperto di sicurezza?

"Fondamentalmente guarderei il tempo di vita, la funzionalità e il prezzo. Come ho spiegato prima, a livello di sicurezza presterei attenzione che hanno un firmware da aggiornare e la frequenza di aggiornamento. Vorrei anche guardare la tecnologia che usano per accendere e spegnere, connettività ".

Se diamo un'occhiata alla connettività utilizzata dalla stragrande maggioranza dei dispositivi intelligenti più popolari, troveremo essenzialmente i protocolli Bluetooth, Wi-Fi e, in misura minore, i protocolli Zigbee e Z-Wave. Tornando alle lampadine, i modelli più noti si rivolgono a Wi-Fi e Zigbee:

"Come ho spiegato prima, nel 2012 ho domotizzato i ciechi e le tende da sole e l'ho fatto usando X-10. Ma ovviamente sono un ingegnere informatico e l'ho assemblato da solo e anche così, mi ci è voluto molto tempo per testarlo. E non era economico. Ha portato dispositivi più convenienti e assemblaggi più semplici. Naturalmente, se si inizia da zero, se si aggiorna un'installazione, è più complicato ".

Sebbene non sia infallibile (nulla lo è), Lorenzo Martínez spiega che Zigbee è preferito per alcuni dispositivi di automazione domestica tramite Wi-Fi per due motivi, requisiti hardware e universalità delle reti wireless:

"Zigbee è un protocollo wireless per comunicazioni crittografate. Poiché il suo utilizzo non è così diffuso come quello del Wi-Fi comune, il numero di strumenti e tecniche disponibili per attaccarlo è maggiore di quello del Wi-Fi. In termini di prestazioni, le esigenze crittografiche di una rete wireless comune potrebbero essere più impegnative di quelle di Zigbee, quindi un articolo con poche risorse hardware potrebbe non avere l'efficienza necessaria ""

E cosa si può ottenere hackerando una lampadina innocente? Dati come la password per il nostro Wi-Fi, l'accesso alle impostazioni di rete e la possibilità di modificare la password.

Lorenzo Martínez ci avverte: "Il rischio rimane lo stesso di 9 anni fa. Sono dell'opinione che meno clunkers hai che inviano informazioni all'esterno, meglio è.A meno che tu non sia in grado di controllare ciò che trasmette all'esterno. E se corri quel rischio, devi sopportarne le conseguenze ".

Puoi essere aggiornato e sempre informato delle principali offerte e novità di Xataka Selección sul nostro canale Telegram o sui nostri profili di riviste Twitter, Facebook e Flipboard.

Nota: alcuni dei link pubblicati qui provengono da affiliati. Nonostante ciò, nessuno degli articoli citati è stato proposto da marchi o negozi, la loro introduzione è stata una decisione unica del team di editori.

Condividere none:  Divertimento La Nostra Selezione Mobile 

Articoli Interessanti

add