Perché gli hacker vogliono hackerare le telecamere di sicurezza domestiche intelligenti?

Una notte di circa 20 anni fa, mentre navigavo sul Web con il Gateway 2000 della mia famiglia, Netscape Navigator rallentò fino a gattonare. Il mouse ha smesso di rispondere. Anche Ctrl-Alt-Canc non ha fatto nulla.

Contenuti

  • Il problema dell'Anello
  • Ring e i suoi rivali devono concentrarsi sulla sicurezza
  • Gli attacchi informatici diventeranno probabilmente più gravi

Quindi è apparso un avviso di Windows. Sembrava... sbagliato. Un attimo dopo, lo schermo si oscurò, il vassoio del CD-ROM si aprì e apparve una finestra di chat.

Video consigliati

Ero fuori di testa, ma sapevo cosa stava succedendo. Sono stato hackerato.

Attraverso la chat, il mio hacker ha spiegato cosa è successo. Ero caduto vittima di un Trojan che permetteva all'hacker di accedere al mio computer e di controllarlo. L’unico modo per riparare il danno era riformattare il disco rigido del PC.

Imparentato

  • SimpliSafe offre ora il monitoraggio della casa in tempo reale con la nuova telecamera di sicurezza interna wireless Smart Alarm
  • Roku è ora nel settore della sicurezza domestica
  • Durante le pulizie di primavera, non dimenticare la sicurezza domestica intelligente

Il Trojan che mi ha infettato, Sotto7, è stato uno dei primi esempi di malware programmato da qualcuno noto come "mafioso.” Non ho mai scoperto l’identità dell’hacker che mi ha inviato Sub7, ma il creatore del trojan ora lavora come esperto di sicurezza. L'ho contattato per scoprire perché qualcuno potrebbe voler hackerare casualmente la vita di uno sconosciuto, un fenomeno che è diventato inquietantemente comune sulle telecamere della casa intelligente di oggi.

Il problema dell'Anello

Ring non ha avuto molta fortuna, questo è certo. Con tutto il hack recenti nelle notizie degli ultimi tempi, non dovrebbe sorprendere il fatto che le persone siano preoccupate. Gli hacker hanno preso di mira le telecamere di Ring in massa, portando a storie inquietanti di hacker che spiano e addirittura prendono in giro le loro vittime.

Ma perché? Cosa guadagnano gli hacker curiosando sulle telecamere della casa intelligente? È una domanda difficile da porre e a cui rispondere, soprattutto quando gli hacker vengono raramente catturati o trovati.

Ciò mi ha portato a fiutare una risposta dallo stesso "mafioso", noto anche come Gregory Hanis.

Hanis ora indirizza le sue competenze verso la sicurezza Internet professionale. Attualmente è il chief technology officer di Soluzioni Viperline, una società di soluzioni di sicurezza IT dell'Alabama. Gli ho chiesto perché gli hacker vogliono hackerare le telecamere di sicurezza. La sua risposta fu semplice, anche se non particolarmente confortante. Spesso è solo per divertimento.

Penso che, in questo momento, le persone lo facciano per divertirsi e ridere.

Il trojan di Hanis, Sub7, potrebbe accedere alla webcam connessa della vittima. Potrebbe visualizzare video in tempo reale o ascoltarli tramite un microfono. Sub7 ha prosperato tra la fine degli anni ’90 e l’inizio degli anni 2000, quando la maggior parte dei possessori di PC non disponeva di un’adeguata protezione antivirus installata. Le sue vittime erano bersagli facili, ma coloro che utilizzavano Sub7 spesso lo facevano solo per fare scherzi o spaventare le vittime.

“Penso che in questo momento le persone lo facciano per divertirsi e ridere, e stanno prendendo di mira solo da soli. Non lo stanno trasformando in un affare di grande impresa, né stanno prendendo di mira nessuno”, ha detto Hanis.

Non sembra che le telecamere di Ring siano state compromesse da un elaborato attacco ai server della società madre Amazon. Invece, i dati di accesso sono stati probabilmente ottenuti esaminando le credenziali compromesse da altre fonti, indovinando le password o tramite Ingegneria sociale. Autenticazione a due fattori possono fermare queste intrusioni, ma, come i proprietari di PC alla fine degli anni ’90, le persone che possiedono telecamere per la casa intelligente spesso non hanno la sicurezza al primo posto.

Alla domanda su hacker che ha avuto accesso a una fotocamera Ring parlare con una bambina, Hanis non ne fu colpito. “Ho guardato, sembra che ci siano dei video su YouTube su persone, non voglio dire hacker, giusto? Voglio dire din-dong, criminali o chiunque altro, che accede alla stanza di qualche ragazzino.

Ring e i suoi rivali devono concentrarsi sulla sicurezza

Hanis ritiene che Ring dovrebbe fare di più per impedire agli hacker di accedere alle telecamere. “Penso che abbiano detto di avere l’autenticazione a più fattori. Non so perché le persone non lo accendano. [Ring] avrebbe dovuto attivarlo per impostazione predefinita, come quando crei il tuo account."

Ring eventualmente consiglia agli utenti di accendersi autenticazione a due fattori, ma solo dopo che gli hack hanno fatto notizia. Ora, con il suo nuovo Centro di controllo, Ring pone l'accento sulle impostazioni di privacy e sicurezza nella dashboard principale dell'app. Attualmente, l'autenticazione a due fattori è un'opzione di rinuncia durante la configurazione di nuovi account, ma presto lo sarà anche durante la configurazione di nuovi dispositivi anche su account esistenti.

Sono state intentate azioni legali in California da parte dei querelanti che sostengono l'incapacità di Ring di offrire misure di sicurezza di base per prevenire questi attacchi informatici. In un caso, una coppia è stata minacciata di “licenziamento” a meno che non avesse pagato all’hacker 50 bitcoin (circa 436.000 dollari).

Avendo sviluppato Sub7 e ora come manager di altri progetti legati alla sicurezza, Hanis ritiene che i problemi di Ring derivino dalla mancanza di attenzione sulla programmazione delle funzionalità di sicurezza che affrontano scenari problematici.

“Sono sicuro al 100% che quando sviluppano questi prodotti e quant’altro, non lo fanno. Non pensano a tutti i “e se””, ha detto Hanis. “Ed è per questo che avremo questi problemi, e avremo ancora questi problemi. Finché non c’è qualcosa che lo impone, o una certa responsabilità, non ha importanza”.

Gli hacker possono facilmente compromettere i gadget con uno scarso sviluppo della sicurezza, quindi è responsabilità delle aziende renderli una priorità fin dall’inizio, piuttosto che in un secondo momento. Come ha sottolineato Hanis, Ring avrebbe potuto evitare problemi se fosse stata offerta l'autenticazione a due fattori durante il processo di configurazione iniziale.

Gli attacchi informatici diventeranno probabilmente più gravi

Sebbene alcuni incidenti isolati abbiano coinvolto attività criminali come minacce o tentativi di estorsione, questi sono rari. Gli attacchi di massa che avvengono tramite e-mail, messaggi di testo e social media non hanno colpito le telecamere. Ancora.

In realtà non ho visto qualcuno derubato perché ci sono momenti in cui sai quando sono a casa. È destinato ad arrivarci.

“Non ho visto tanta cattiveria. In realtà non ho visto qualcuno derubato perché ci sono momenti in cui si sa quando è a casa”, ha detto Hanis. Tuttavia, pensa: “È destinato ad arrivarci”.

Il suo avvertimento fa riflettere e, con ogni probabilità, è corretto. Gli hacker tenteranno di trovare nuovi modi e sviluppare strumenti per accedere in remoto alle telecamere all’insaputa dei proprietari.

Questa è esattamente l'evoluzione mostrata da Troiani e altri malware. I primi esempi, come il Sub7 di Hanis, potevano essere dannosi ma spesso erano più un fastidio che un problema serio. Eppure la minaccia si è evoluta rapidamente. Gli hacker hanno iniziato a superare i limiti di ciò che potevano fare i trojan esistenti, quindi hanno creato nuovo malware e utilizzato nuove tecniche per distribuirlo. Solo un decennio separa i primi trojan come Sub7 e l’uso armato del malware che li ha abbattuti Il programma nucleare dell’Iran.

Spetta a Ring e ad altre società che vendono telecamere di sicurezza intelligenti garantire che siano adottate adeguate misure di sicurezza. Dall'educazione degli utenti all'invio di promemoria costanti per impostare l'autenticazione a due fattori o addirittura alle donazioni alle persone una cronologia di quali dispositivi sono collegati a un account, questi metodi favoriscono la consapevolezza che ne trarrebbe vantaggio tutti. Altrimenti, i proprietari sono destinati a cadere vittime degli hacker.

Raccomandazioni degli editori

  • Il governo degli Stati Uniti lancerà un nuovo programma di sicurezza informatica per i dispositivi domestici intelligenti nel 2024
  • Wyze Cam Floodlight Pro è una fotocamera esterna premium con tantissime funzionalità AI
  • La nuova telecamera per interni di Ring è dotata di un otturatore per la privacy integrato
  • Google collabora con ADT per lanciare un nuovo sistema di sicurezza domestica intelligente
  • Arlo estende il supporto al termine del ciclo di vita delle videocamere e dei campanelli legacy