Per la produzione domestica di energia rinnovabile, gli accumuli e le ricariche delle auto a batteria, l’avvento dell’Internet delle Cose (IoT), è come il cacio sui maccheroni: ogni dispositivo domestico viene collegato alla rete, consentendo all’utente in ogni momento di accedere al suo sistema di controllo, vedere se e come funziona, cambiarne i parametri e così via.
Sarebbe il migliore dei mondi possibili, se non fosse che in quello reale ci sono anche gli “hacker black hat” (gli smanettoni digitali cattivi, per così dire), che si leccano i baffi all’idea di avere così tanti nuovi, possibili bersagli, per le loro intrusioni indesiderate nei sistemi informatici.
Ci ricorda questa spiacevole realtà la società americana Mandiant, il cui compito è cercare le falle nei sistemi informatici e porvi rimedio (sono i cosiddetti “hacker white hat”), oltre che intervenire d’urgenza quando un attacco informatico è in corso per limitarne i danni.
Gli “hacker buoni” della Mandiant hanno scoperto che gli inverter Solar City avevano una serie di vulnerabilità presenti nella porta di collegamento fra il dispositivo e la rete internet, che potevano consentire a malintenzionati di spacciarsi per utenti abilitati e penetrare nel loro sistema di controllo. A quel punto l’inverter sarebbe stato nelle mani dell’intruso, che avrebbe potuto alterarne il funzionamento a piacimento.
«In realtà le cose non sono così semplici», smorza l’allarme lo specialista in cybersecurity e collaboratore di Mandiant, Gabriele Zanoni.
«Per penetrare quell’inverter il nostro team ha dovuto smontare il chip della porta e tentare varie tecniche, prima di riuscire a aggirarne le difese: abbiamo dimostrato che l’intrusione può essere attuata, ma che non è detto che poi qualcuno trovi conveniente farla davvero, tanto più che Tesla, proprietaria di Solar City ha preso nota dei risultati e starà certo lavorando a una patch per rimediare il problema».
E qui è forse il punto nodale della questione: i dispositivi della IoT arrivano da decine di produttori diversi, che usano altrettante combinazioni di software e hardware, alcuni dei quali sono più coscienziosi nel verificarne le debolezze e mettere in rete aggiornamenti software per aggiustarle, mentre altri non se ne preoccupano.
«Pensate a dispositivi economici come le telecamere: perché diffondere costosi aggiornamenti, quando l’utente, se ci sono problemi, fa prima a ricomprare l’ultimo modello? E le cose sono ancora peggiorate dal fatto che questi dispositivi non hanno sistemi antivirus installati, per cui sono praticamente indifesi», spiega Zanoni.
Ma cosa può succedere se un inverter o altro dispositivo domestico viene “hackerato”?
«Dipende molto dalle intenzioni di chi lo viola. Alcuni vogliono solo fare danni: qualche anno fa furono violati migliaia di modem di alcune marche, solo per cancellarne il software e bloccarli. Altri cercano denaro, per cui bloccano i sistemi e chiedono un riscatto. Nel caso dell’inverter o delle batterie potrebbero bloccare la fornitura elettrica dai pannelli. Ma si può anche aggiungere il dispositivo a tanti altri di cui si è già preso il controllo, per usarli come “zombie” e farli accedere tutti insieme a dei server, intasandoli. Oppure, in certi casi, da un dispositivo collegato alla rete domestica, si può accedere agli altri connessi alla stessa rete, per esempio un computer, e tentare di estrarne informazioni sensibili», dice Zanoni.
Ma il singolo dispositivo può essere una pedina per attacchi più distruttivi.
«Finora gli attacchi a reti come quelle elettriche o dell’acqua, da parte di singoli o nazioni ostili, sono avvenuti intrufolandosi nei sistemi di controllo delle grandi centrali di produzione o potabilizzazione», dice Davide Perego, ingegnere gestionale dell’Energy&Strategy Group, del Politecnico di Milano.
«Le utility che li gestiscono, però, ormai sono consapevoli del pericolo, e hanno implementato più livelli di sicurezza, controlli e personale dedicato alla cybersecurity. Insomma, l’attacco a questi centri è diventato molto difficile, anche se oggi, in un mercato in cui crescono sempre di più le fonti di energia distribuite, si profilano nuovi tipi di rischi, per esempio per le centrali eoliche, che hanno i loro dispositivi sparpagliati in aree remote e non sorvegliate».
E la creazione di reti di tanti piccoli produttori, tutti connessi ad Internet per gestione e controllo, sta anche creando inedite possibilità di attacchi informatici al mondo dell’energia.
«Si può immaginare che qualcuno tenti di prendere il controllo non di uno, ma di migliaia di inverter o accumuli, sfruttando vulnerabilità comuni, per usarli tutti insieme per generare black out, alterando i parametri di voltaggio e frequenza della corrente che immettono in rete. Questo costringerebbe i gestori di rete a prendere costosi provvedimenti per rimediare, o, addirittura, a disconnettere aree del paese, con enormi danni. La cosa non sarebbe semplice da attuare, anche per le differenze fra i vari dispositivi, ma dovrebbe comunque spingere a prendere più sul serio il tema della loro sicurezza», spiega Perego.
Rischi che cresceranno ancora quando in futuro si aggiungeranno anche punti di ricarica bidirezionali per le auto elettriche collegati a Internet, che se facessero da porta di ingresso per hackerare i sistemi di controllo del mezzo, potrebbero causare anche caos sulle strade.
«Difficile che simili, complesse e costose iniziative riesca a prenderle un singolo hacker, ma potrebbero essere alla portata di chi si occupa di cyberwar in nazioni ostili, che non avrebbe limiti di tempo, di spesa e di mezzi a disposizione. Si spera però che nel caso della auto, il cui malfunzionamento mette a rischio la vita di persone, la sicurezza informatica sia più curata di quanto sia oggi quella dei dispositivi domestici IoT. Per i device medicali, per esempio, si stanno implementando standard di sicurezza a livello UE», aggiunge Zanoni.
La cosa sconcertante, però, è che si permetta di mettere in commercio oggetti con queste vulnerabilità: non si potrebbe renderli sicuri al 100%, prima di venderli?
«Purtroppo no, prima di tutto perché hanno comunque un accesso legittimo, che il “cattivo” può sfruttare in tanti modi, il più semplice dei quali è ingannare il proprietario, per esempio con mail di phishing, con cui carpire i dati di accesso. In secondo luogo, la tecnologia informatica evolve continuamente, e ogni volta che hai tappato i buchi di una versione, ne è già apparsa una nuova, le cui vulnerabilità si scopriranno solo dopo che milioni di utenti l’avranno “testata”: non c’è modo di individuarle prima, per quanti controlli si possano fare», precisa Perego.
Ok, quindi che può fare l’utente che compra uno di questi dispositivi IoT?
«Prima di tutto rivolgersi a marche note, controllando in rete se diffondono regolarmente aggiornamenti software e patch per chiudere le vulnerabilità. Secondariamente passate un po’ di tempo a leggere il manuale del dispositivo e ad applicare tutte le sue istruzioni di sicurezza. Terzo verificare che il dispositivo non abbia creato con l’installazione un suo sito Internet per i controlli remoti: se lo ha fatto, e non è protetto, chiudetelo, perché questo rende molto più semplice il lavoro di chi vuole intrufolarvisi. Ci sono siti specializzati per scoprirlo», spiega Zanoni.
«Bisogna ricordarsi che anche se la sicurezza 100% non esiste, la cosa fondamentale è rendere il più difficile possibile il lavoro dei “black hat”, così che lo sforzo non valga la pena e rinuncino», ci dice Perego.
«Per cui prima di tutto cambiare la password di default installata nel dispositivo nuovo, con una molto complicata: sembra impossibile, ma molti lasciano quella standard iniziale, rendendo il lavoro dei malintenzionati facilissimo. Poi, oltre a scegliere una password molto complessa nel modem o router che collega la Rete esterna e quella domestica, sarebbe utile riunire i dispositivi IoT più vulnerabili in una sottorete separata, protetta da un ulteriore firewall. Questo dovrebbe scoraggiare anche l’hacker più agguerrito», conclude Perego.