Fin dai tempi dell'antico mito del golem ebraico, passando per il Frankenstein di Mary Shelley, fino ad arrivare ai tanti racconti di fantascienza sulle ribellioni robot, l'uomo ha sempre mostrato il suo timore verso la possibilità di perdere il controllo sulle proprie tecnologie. In una puntata dell'appena pubblicata terza stagione di Black Mirror, ambientata in un mondo non molto più sofisticato di quello attuale, per sopperire ai dissesti ecologici dovuti all'estinzione delle api un'azienda di robotica provvede a produrre un'intera specie di api robot che sostituiscono gli insetti nei processi di impollinazione e fecondazione delle piante. Tuttavia, ad un certo punto, il sistema viene compromesso da un attacco di un hacker, che riesce a prendere il controllo di alcuni insetti utilizzandoli per scopi malevoli, con conseguenze che non vi racconto per non rovinarvi la visione della puntata. L'idea che una grande insieme di dispositivi connessi possano uscire dal nostro diretto controllo sta iniziando a spaventare molti, in particolare ora che la pervasività della Rete sta raggiungendo un nuovo livello.
Per Internet Of Things, Internet delle Cose, si intende l'estensione di Internet al mondo degli oggetti e dei luoghi, un modello di sviluppo della Rete che in questi anni si sta diffondendo rapidamente, seppur mostrando tutte le sue problematiche. Grazie alla possibilità di connettersi tra loro, oggetti di uso quotidiano possono creare una rete sulla quale scambiare informazioni e dati. Elettrodomestici comandati dallo smartphone, scarpe da ginnastica che trasmettono velocità e tempi di corsa ad altri dispositivi, vasetti delle medicine che avvisano se ci si dimentica di assumere il farmaco sono solo alcuni esempi pratici di possibilità offerti da questa tecnologia. Secondo una previsione dell'International Data Corporation entro il 2020 saranno oltre 200 miliardi le "cose" interconnesse tramite internet. Quello che però sta emergendo è che un'iperconnessione di questo tipo rende l'intera rete un'occasione appetitosa per i malintenzionati, essendo soggetta alle vulnerabilità di ogni singoli dispositivo connesso. Molto spesso, inoltre, i dispositivi non rispondono delle adeguate condizioni minime di sicurezza.
All'ultima edizione del Defcon di Las Vegas – una delle convention di informatica più famose a livello mondiale – il ventitreenne Stephen Chavez ha dimostrato come sia possibile sabotare una sedia a rotelle di ultima generazione rendendola comandabile a distanza da un controller per l'Xbox. In un'altra performance dell'evento, Ken Munro e Andrew Tierney hanno preso di mira un termostato elettronico: come evidenziato, il dispositivo non provvedeva ad una effettiva verifica dei programmi in esecuzione ed era quindi possibile installare un malware – programma malevolo – per controllarne la temperatura in uscita. Pensiamo ai tanti casi di furto di dati o di email, ai quali di solito segue la richiesta di un riscatto per la restituzione dei file, e proviamo ad immaginare cosa succederebbe se qualcuno potesse prendere in ostaggio il nostro frigorifero, o prendere il controllo della nostra automobile o della nostra porta di casa, come rappresentato in una puntata del telefilm Mr. Robot. Non dimentichiamoci che oltre a prendere il controllo della rete un eventuale attaccante può avere accesso a informazioni personali. Siamo tutti abituati ormai a richieste di dati da parte di dispositivi, dalle iscrizioni ai social network che chiedono il numero di cellulare alla diffusione crescente dei rilevatori GPS. Oltre alla difesa da attacchi esterni, dovremmo preoccuparci delle forme contrattuali alle quali siamo sottoposti ogni volta che ci accettiamo un servizio, e iniziare discutere degli utilizzi che un provider o un'azienda fanno – seppur legalmente – dei nostri dati.
Per quanto riguarda le insicurezze legate all'Internet Of Things c'è un altro fattore da tenere a mente, ovvero il ruolo che l'IoT può svolgere nel dirigere un attacco DDoS. Facciamo un passo indietro. Il DDoS – letteralmente Distributed Denial of Service, negazione del servizio – è uno degli attacchi hacker più praticati da sempre, anche per via della facilità di esecuzione. Come sappiamo, ogni servizio online, come un sito, ammette un carico massimo di richieste oltre il quale inizia a dare problemi. Nel caso in cui troppi utenti si connettano contemporaneamente, un sito può cadere, risultando temporaneamente inaccessibile. Grazie ad opportuni software è possibile replicare una richiesta ad un servizio in modo fittizio, simulando cioè degli utenti in realtà inesistenti. Applicando questa tecnica in più persone, ognuna delle quali simula una grande quantità di richieste, è facile buttare giù un servizio. La novità offerta dall'IoT è la possibilità di replicare richieste non solo da parte di computer, ma da ogni tipo di dispositivo connesso in rete – telecamere e altro -, aumentando ancora di più il traffico entrante, e questo è proprio quello che è già successo due volte nel giro di due mesi. Dopo aver preso di mira il sito KrebsOnSecurity a settembre con quello che è considerato il più grande DDoS della storia, un gruppo di sviluppatori ha pubblicato su un forum il codice di Mirai, un programma utilizzato per contagiare numerosi dispositivi (si pensa oltre due milioni) e sferrare l'attacco. La stessa tecnica è stata utilizzate venerdì scorso, quando Mirai è stato utilizzato per attaccare il servizio Dyn, rendendo inaccessibili siti come Twitter, Reddit, Netflix, PayPal, Amazon e Spotify in tutta la East Coast e non solo.
Gli scenari che si aprono sono alquanto preoccupanti. Se non si può garantire una maggiore sicurezza sull'accesso ai dispositivi dell'IoT questi episodi rischiano di diventare sempre più frequenti, avvicinando sempre più la realtà ad uno scenario degno della miglior fantascienza distopica. Va poi ricordato che, a prescindere da un eventuale miglioramento degli standard di difesa da parte di attacchi esterni, la pervasività di queste tecnologia porterà presto ad un accentramento di proprietà dei dati personali senza precedenti nella storia, portandoci ad aprire un sempre più necessario dibattito sulle nuove forme di controllo sociale e di sorveglianza digitale.
