La fragilità invisibile dietro la casa intelligente: perché i dispositivi IoT rappresentano un grave rischio per la sicurezza informatica che troppo spesso sottovalutiamo. La comodità di controllare luci, telecamere e termostati tramite smartphone ci ha fatto dimenticare che ogni oggetto connesso può diventare una porta d'accesso per malintenzionati. Un problema che si aggrava quando consideriamo la scarsa frequenza degli aggiornamenti di sicurezza e la qualità spesso approssimativa del software che governa questi dispositivi. La soluzione più efficace, per quanto drastica, richiede un ripensamento radicale del nostro approccio alla domotica.
Un illuminante studio della New York University, intitolato "Software Update Practices on Smart Home IoT Devices", ha evidenziato una realtà allarmante che sfata uno dei miti più comuni della sicurezza domestica intelligente. L'idea che installare diligentemente gli aggiornamenti sia sufficiente per proteggersi si scontra con una pratica industriale preoccupante: i produttori spesso distribuiscono aggiornamenti in modo graduale e, cosa più grave, frequentemente rilasciano versioni che non sono le più recenti.
I ricercatori hanno utilizzato IoT Inspector, uno strumento sviluppato dalla stessa università, per raccogliere dati su dispositivi reali, le loro versioni software e gli user agent. La conclusione è sconcertante: "Quando i produttori distribuiscono aggiornamenti, non sempre aggiornano i componenti software alle versioni più recenti, il che significa che spesso i dispositivi rimangono in uno stato vulnerabile anche dopo che l'utente finale ha installato l'aggiornamento".
Questa negligenza ha già prodotto conseguenze devastanti su scala globale. Il caso più emblematico è quello della botnet Mirai, un'infrastruttura che ha sfruttato le vulnerabilità di dispositivi IoT per costruire una rete utilizzata per alcuni degli attacchi DDoS (Distributed Denial of Service) più massicci mai registrati. Inizialmente impiegata contro server Minecraft, è stata successivamente utilizzata per mettere fuori uso piattaforme del calibro di Netflix, GitHub e Reddit.
Le modalità di attacco variano notevolmente a seconda dei dispositivi. Per esempio, alcune telecamere di videosorveglianza utilizzano UPnP per aprire porte che consentono connessioni basate su cloud. In altri casi, le vulnerabilità possono essere ancora più pericolose, come dimostra il caso dello stack di relay peer-to-peer iLinkP2P. Il ricercatore Paul Marrapese ha scoperto ben due milioni di dispositivi IoT collegati a internet vulnerabili a sfruttamento remoto (identificati come CVE-2019-11219 e CVE-2019-11220), e probabilmente il numero reale era ancora maggiore.
Oltre le soluzioni parziali: disconnettere per proteggere
Molti esperti consigliano di isolare i dispositivi IoT su una VLAN separata, ma questa soluzione risolve solo metà del problema. In caso di telecamere CCTV, ad esempio, attacchi futuri come quelli correlati a iLinkP2P potrebbero comunque esporre i flussi video della vostra casa a internet. Inoltre, nel caso di botnet come Mirai, una VLAN non impedisce che i dispositivi stessi vengano compromessi e utilizzati per attacchi verso l'esterno.
L'unica protezione veramente efficace consiste nel disconnettere completamente i dispositivi IoT da internet. Questo approccio radicale presenta ovviamente delle sfide, ma esistono valide alternative per chi prende seriamente la sicurezza della propria rete. ESPHome, della Open Home Foundation (lo stesso gruppo proprietario di Home Assistant), permette di flashare dispositivi IoT con software personalizzato per gestirli localmente, senza connessione internet.
Un'altra strategia, che l'autore utilizza personalmente, consiste nel bloccare completamente l'accesso a internet dei dispositivi. Per le luci intelligenti basate su Tuya, strumenti come LocalTuya consentono di controllarle dalla rete locale. È relativamente semplice ottenere le chiavi di connessione necessarie attraverso la piattaforma Tuya Cloud Developer, dopodiché si possono controllare senza dipendenza dal cloud.
Nel caso specifico, un firewall OPNsense blocca tutto il traffico verso queste luci, eccetto quello proveniente dal server Home Assistant, che funge da punto di controllo centralizzato. LocalTuya, installato come integrazione personalizzata tramite HACS, può controllarle localmente, eliminando il rischio di sfruttamento attraverso internet.
Per chi prende sul serio la sicurezza della rete, disconnettere i dispositivi IoT da internet non è una misura estrema ma una necessità. Questi dispositivi sono facilmente sfruttabili, ricevono pochi aggiornamenti (se non nessuno) e possono compromettere seriamente la sicurezza della rete domestica. Sebbene nessuna soluzione sia perfetta, l'unico modo per garantire la protezione è impedire loro di accedere a internet. Può sembrare un approccio drastico ma, considerando le vulnerabilità intrinseche e l'esistenza di alternative locali alle funzionalità cloud, rimangono pochi argomenti validi per mantenere questi dispositivi connessi a internet.