L'obiettivo di aziende e ricercatori al lavoro sull'Internet of things è, ai più, molto chiaro: creare una Rete (comprensiva di infrastrutture, protocolli e applicativi) che permetta di connettere tra loro non solo computer e calcolatori informatici di vario genere, ma anche dispositivi di uso quotidiano come lavatrici, termostati, automobili, lampadine e impianti di videosorveglianza o sicurezza video.
Non solo. Nella grande rete dell'Internet delle cose troveremo (e troviamo) anche grandi impianti industriali e strutture produttive di rilevanza nazionale e internazionale. Grazie alla connettività a Internet e a tecnologie come SCADA, infatti, è possibile controllare il corretto funzionamento degli impianti e verificare che il processo produttivo non incontri intoppi di alcun genere anche a distanza di centinaia di chilometri.
Nonostante i benefici sul versante della produttività e dell'abbattimento dei costi, inserire siti produttivi e centri di controllo industriale nell'IoT (acronimo di Internet of Things) ha costi non indifferenti dal punto di vista della sicurezza. Se non si proteggono in maniera adeguata gli accessi Internet, si corre il serio rischio di lasciare i centri di controllo alla mercé di hacker e pirati informatici. Anzi, in alcuni casi estremi anche semplici internauti potrebbero entrare nei pannelli di amministrazioni di applicativi industriali e gestire il funzionamento di una piccola centrale idroelettrica. Cosa tra l'altro realmente accaduta in Francia alla fine 2015.
Tutta colpa di Shodan
Un "colpo" messo a segno grazie a Shodan, motore di ricerca nato quasi per gioco nel 2009 e oggi considerato il primo motore di ricerca per dispositivi IoT al mondo. A differenza di Google, che scandaglia la Rete alla ricerca di contenuti e informazioni, Shodan passa in rassegna tutti i nodi di Internet alla ricerca dei dispositivi connessi al web.
In questo modo è possibile disegnare la "geometria" dell'Internet delle cose ed, eventualmente, trovare falle nei sistemi di sicurezza. Con una semplice interrogazione allo spider di Shodan è possibile trovare di tutto: si va dalle già citate telecamere di sicurezza ai sistemi di comando e controllo delle centrali nucleari, sino ai pannelli di gestione degli acceleratori di particelle subatomiche.
Il caso della centrale idroelettrica di Tolosa
Negli ultimi giorni del 2015 degli utenti francesi, scandagliando Shodan, hanno trovato uno strano record per una piccola centrale idroelettrica situata nelle vicinanze di Tolosa. Stando ai risultati del motore di ricerca IoT, infatti, il pannello di controllo della centrale era liberamente accessibile via Internet a chiunque.
Il tam-tam della Rete rende la notizia virale in poco tempo e centinaia di utenti si collegano all'indirizzo IP del pannello di controllo per "giocare" con i comandi del sistema SCADA. A favorire gli hacker improvvisati sono le misure di sicurezza, letteralmente scadenti, messe in piedi dalla società di gestione della centrale elettrica. Senza possedere grosse conoscenze informatiche, infatti, era possibile accedere all'interfaccia amministratore e avere a portata di mouse i comandi più sensibili dell'impianto.
I problemi di sicurezza della centrale idroelettrica francese
Il caso appena esposto è emblematico di come la sicurezza informatica sia ancora uno dei tasti dolenti dell'Internet delle cose. Nel caso in cui la configurazione non sia fatta a dovere o comunque sia affidata a personale poco esperto, il rischio che si corre è quello di mettere in pericolo addirittura delle vite umane.
Scendendo nel particolare, gli amministratori di rete della centrale elettrica francese hanno commesso quattro errori di sicurezza piuttosto comuni: si sono affidati alla relativa "segretezza" di un indirizzo IP pubblico non divulgato pubblicamente e pertanto considerato "privato"; non hanno impostato una password di accesso alla connessione di Rete che consente al sistema informatico della centrale di "comunicare" con il web; hanno memorizzato sul computer le credenziali di accesso dei singoli utenti, così da rendere più "semplice" l'accesso al pannello di controllo della centrale; nella gran parte dei casi le password scelte erano elementari e potevano essere indovinate senza grossi problemi.
La sommatoria di questi strafalcioni informatici ha minato alla base la sicurezza del sistema informatico che gestisce la centrale elettrica, permettendo a chiunque di accedervi e "giocarci".
Acqua alta anche in Italia
Un caso analogo si è verificato nella prima metà di aprile 2016 in Italia. Dan Teller, uno dei creatori di Shodan, ha segnalato sul blog del portale un indirizzo IP italiano liberamente accessibile e corrispondente a un sito produttivo del centro della Penisola. Nello specifico si tratta di un generatore idroelettrico collegato a Internet e controllabile da chiunque abbia una minima dimistichezza con il web.
Sarebbe stato sufficiente installare un client VNC qualunque per connettersi, senza protocollo crittografico attivato e senza bisogno di inserire una password di accesso, e prendere "possesso" del pannello di controllo della centrale. Tra i vari comandi a disposizione, anche il pulsante per lo start/stop del generatore stesso. L'emergenza, fortunatamente, è rientrata dopo qualche ora, a seguito di qualche segnalazione giunta all'azienda che gestisce l'impianto.
Non è un caso isolato
Gli amministratori di rete della centrale francese, però, non sono gli unici a sottovalutare i pericoli derivanti dall'IoT. Diverse ricerche condotte a livello internazionale - ad esempio in Francia, Regno Unito e Stati Uniti - hanno dimostrato come tutti i dispositivi connessi all'Internet delle cose sono potenzialmente hackerabili e controllabili a distanza da chiunque sia dotato di conoscenze informatiche appena avanzate.
Basta una semplice scansione su Shodan, alla fin fine, per allargare la propria collezione di dispositivi di rete di cui impossessarsi da remoto. Gurvan Kristanadjaja, giornalista francese esperto di sicurezza informatica, è riuscito a entrare nei pannelli di controllo di decine di telecamere di sicurezza IP (ma anche di stampanti di rete e addirittura i monitor per neonati): un gesto puramente dimostrativo, ma utile per evidenziare che con la sicurezza IoT non si deve scherzare.
Lo dimostra anche il rapporto pubblicato da Chatham House (ente non governativo britannico che si occupa di politica estera) nel settembre 2015 e relativo alla sicurezza degli impianti nucleari di tutto il mondo. Una delle fonti, infatti, ha rivelato che cercando negli archivi Shodan è stata in grado di individuare tutte le centrali nucleari francesi connesse al web. Una volta trovata la "porta di ingresso", riuscire a scardinarla è un gioco da ragazzi per hacker di una certa abilità.