Due elementi combinati per realizzare questo articolo. Il primo era che ottobre era Mese di sensibilizzazione sulla sicurezza informatica. Secondo, proprio a metà mese, il primo trailer del nuovo Grido il film è caduto. Conteneva una scena che ci aveva un po' preoccupati. Vedi se riesci a individuarlo.
Contenuti
- LOL che cavolo?
- Stai al passo con i tempi
Urla | Trailer ufficiale (film del 2022)
Ovviamente stiamo parlando del mondo delle serrature intelligenti. Tutte le serrature della tua casa si sbloccano, quindi tira fuori le tue smartphone e bloccarli nuovamente, solo per vederli tutti sbloccati di nuovo. L'implicazione qui è che la persona Mr. Scary Killer ha violato l'account di casa intelligente della sua vittima e può controllare tutti i dispositivi in tutta la casa. Cavolo.
Video consigliati
Come qualcuno che non porta con sé le chiavi di casa a causa di tutto serrature intelligenti, stavo diventando un po' nervoso. Così ho deciso di parlarne con qualcuno. Ho contattato John Shier, consulente senior per la sicurezza presso
SophosHome per parlarne. Mi ha dato una notizia buona e una notizia cattiva. Inizierò con le cattive notizie.Sì, questo è possibile. La buona notizia è che è piuttosto difficile da fare e la notizia migliore è che le probabilità che ciò ti accada sono infinitesimali, a meno che ovviamente tu non abbia anche qualcuno che vuole davvero farti del male. Ma la verità è che ci sono buone probabilità che siano disponibili abbastanza dati da rendere possibile qualcosa del genere.
LOL che cavolo?
Ci sono due cose che si combinano per rendere tutto ciò possibile: l’ingegneria sociale e le violazioni dei dati. Separatamente, ognuno di questi può ottenere all'aggressore informazioni sufficienti hackera la tua casa intelligente. Insieme diventa ancora più possibile. Ma devi capire quando diciamo che è così possibile, dobbiamo subito avvertirlo dicendo che non è molto probabile.
Se accetti l’idea del film che ci sia molta pianificazione e premeditazione, allora tutto diventa molto più semplice, vale a dire più plausibile. Il fatto è che le violazioni dei dati si verificano frequentemente e le persone spesso riutilizzare indirizzi e-mail e password per più servizi. La tua password esposta dalla società XYZ (non stiamo facendo vergogna per violazione dei dati qui) potrebbe essere lo stesso nome utente e password che usi per le tue serrature intelligenti. Anche se la password è diversa, l'indirizzo e-mail è un'informazione chiave per altri modi per hackerare il sistema.
Prima che tu lo chieda, no, non lo trasformeremo in un tutorial su come "entrare nelle case dei tuoi amici e della tua famiglia". Ma è sufficiente dire che qualsiasi informazione su di te che è stata esposta da una di queste violazioni dei dati avvicina un potenziale malfattore un po’ più vicino all’accesso ai tuoi account. Ciò può accadere tramite Ingegneria sociale o utilizzando i dati esposti in violazioni. Nessuno dei due è banale. "Penso che quando parliamo di sicurezza IoT in generale, questi siano probabilmente alcuni dei maggiori rischi quando si tratta di far sfuggire il controllo dei dispositivi", ha spiegato Shier.
L’ingegneria sociale si basa su inganni che, onestamente, possono funzionare o meno. Se uno decide di seguire questa strada, deve essere in una posizione in cui può ingannare un utente inducendolo a rinunciare alle credenziali. È stato a questo punto della mia conversazione con Shier che ho imparato alcuni modi sorprendenti per creare facilmente un sito di phishing a tale scopo. Ancora una volta, questo non è un tutorial, quindi non lo ripeterò qui, ma basti dire che a volte Internet fa semplicemente schifo.
L’altro percorso comporterebbe il setacciamento di milioni di set di credenziali e la ricerca di un obiettivo, che a seconda della violazione potrebbe non essere identificabile per nome. Un obiettivo potrebbe avere il nome John Doe, ma il suo indirizzo email potrebbe essere [email protected] e potrebbe non esserci modo di associare queste due informazioni incredibilmente disparate.
Siti come haveIbeenpwned.com possono farti sapere se il tuo indirizzo email ha preso parte a una violazione dei dati ovunque, ma hanno anche l'effetto opposto. Un utente malintenzionato potrebbe ottenere l’indirizzo e-mail di una potenziale vittima e utilizzare quel sito per vedere a quali violazioni dei dati ha preso parte. Da lì, puoi scaricare i dati delle violazioni e provare nomi utente e password. Vale a dire, nessun utente malintenzionato riesce ad accedere all’indirizzo e-mail di una potenziale vittima e si limita a inviare la reimpostazione della password.
“È più probabile che tu venga monetizzato che perseguitato. È più probabile che [i criminali] vogliano ottenere le tue credenziali bancarie e le tue informazioni personali [per] frodi sull’identità piuttosto che per trafficare con le luci e le serrature delle porte”, ha detto Shier.
Il punto è che è assolutamente possibile e i dati sono disponibili per realizzarlo, ma la probabilità che ciò accada a una persona a caso da parte di un hacker casuale diverso è remota. C’è molto lavoro da fare per entrare nelle credenziali di qualcuno per la sua casa intelligente. Ma è molto più probabile che tutti i dati persi durante una violazione dei dati vengano utilizzati per la monetizzazione, sia che si tratti di vendere dati o di utilizzarli per il furto di identità.
È incredibilmente improbabile che il risultato finale dell’irruzione di un hacker in un’azienda sia la scena di un film horror. Ma suppongo di dover ammettere che non è zero. Dovrei anche menzionare che la frode d'identità è di per sé una scena di un film horror molto più nerd, ma è anche piuttosto terribile se succede a te.
Stai al passo con i tempi
Detto questo, ci sono cose che puoi fare per proteggere i tuoi dati e mantenere sicura la tua casa intelligente. Shier parla di igiene dell'identità come l'utilizzo di indirizzi e-mail e password diversi da ogni sito disponibile. Se i tuoi dati escono, il danno sarà minimo. Utilizzando uno dei i migliori gestori di password è un'ottima idea così come abilitare l'autenticazione a due fattori ove possibile.
Un'altra cosa che Shier sottolinea è quella di assicurarsi che eventuali account o password predefiniti che potrebbero essere stati forniti con il dispositivo domestico intelligente vengano rimossi o modificati. Alcuni dispositivi vengono forniti con un "admin/admin" predefinito come nome utente e password e talvolta gli utenti creano il proprio account senza rimuovere l'impostazione predefinita. Allo stesso modo, creeranno una nuova password senza aver rimosso la password integrata. Gli hacker possono facilmente scoprire quali sono le password predefinite e tentare qualche attacco con tali informazioni.
Attenersi ai marchi di nome. Le aziende off-brand e/o più piccole hanno la tendenza ad andare e venire e potrebbero non considerare l'implementazione degli aggiornamenti software così critica come alcuni dei marchi più conosciuti e affidabili. Se hai un dispositivo che non viene aggiornato da un po', valuta la possibilità di contattare l'assistenza clienti e scoprire cosa succede. Lo sviluppo del software è un processo continuo.
A proposito, assicurati di mantenere aggiornati i tuoi dispositivi domestici intelligenti. Non è una cattiva idea controllare periodicamente la presenza di aggiornamenti software. Le vulnerabilità della sicurezza possono emergere di tanto in tanto e il più delle volte vengono eliminate rapidamente. Ma questo aiuta solo se scarichi e installi effettivamente l'aggiornamento.
Quindi la buona notizia è che, a meno che tu non abbia fatto davvero, davvero arrabbiare qualcuno, puoi continuare a lasciare le chiavi di casa a casa. Siamo onesti, se li hai fatti arrabbiare così tanto, un normale catenaccio probabilmente non sarebbe comunque di grande aiuto. Ma questo non vuol dire che puoi abbassare completamente la guardia. Assicurati di controllare regolarmente gli aggiornamenti della tua tecnologia di casa intelligente, di utilizzare gestori di password e 2FA e, soprattutto, di non dire mai e poi mai: "Torno subito".
Raccomandazioni degli editori
- Il governo degli Stati Uniti lancerà un nuovo programma di sicurezza informatica per i dispositivi domestici intelligenti nel 2024
- 6 dispositivi domestici intelligenti che possono farti risparmiare centinaia di euro all'anno
- Case intelligenti senza Wi-Fi: enormi possibilità o ostacoli?
- Questo trucco per la casa intelligente sudcoreano è un motivo in più per proteggere la tua casa
- L’hacking della casa intelligente sudcoreana è roba da incubi
