L’attacco in USA: dubbi sulla sicurezza dell’IoT

Quello di venerdì 21 ottobre non era il primo attacco che ha sfruttato gli oggetti smart connessi alla Rete e neanche il più massiccio. La novità sta nell’obiettivo: non era un sito o una particolare realtà come il Playstation Network nel 2011 o, quest’anno, il sistema bancario indiano; questa volta hanno colpito una parte dell’infrastruttura di Internet attraverso i sistemi di un’azienda.

La Dyn, questo il nome dell’azienda presa di mira, ha il compito di smistare e indirizzare il traffico nella Rete attraverso il sistema dei DNS (Domain Name System). Semplificando: Dyn è paragonabile ad un vastissimo elenco telefonico che mette in collegamento i nomi dei domini con gli indirizzi IP dei molteplici dispositivi collegati. Gli attacchi, di tipo DDoS (distributed denial-of-service), sono stati più d’uno nella stessa giornata e consistevano nell’invio, da migliaia di dispositivi, di continue richieste che hanno, prima rallentato i sistemi e poi interrotto la loro attività. Risultato: milioni di americani, per diverse ore, non hanno potuto accedere a Netflix, Reddit, Spotify, eBay, New York Times, Twitter e Amazon.

Chi sarà stato e perché lo avrà fatto? Ancora non si sa, ma l’obiettivo di colpire il sistema di indicizzazione, la rubrica telefonica della Rete, è stato sicuramente raggiunto. Un fatto che mette in evidenza il vero problema di Internet: l’infrastruttura è vulnerabile.

E’ stata progettata più di 30 anni fa, era una rete chiusa e, se nessuno ne immaginava l’evoluzione tumultuosa e pervasiva, come si potevano prevedere e addirittura anticipare le future azioni degli hacker! A proposito, la parola hacker, vale la pena ricordarlo, solo dagli anni ’80 ha assunto l’accezione negativa che oggi tutti le attribuiamo.

In conclusione, quali soluzioni si possono adottare per minimizzare i rischi che derivano da una debolezza strutturale? Mentre sembra che al momento, non esistano panacee contro tutti i tipi di mali, si moltiplicano invece, con la crescita dell’IoT, i rischi. L’entusiasmo con il quale abbiamo iniziato a controllare da remoto alcune cose in casa e in ufficio: temperatura delle stanze, videosorveglianza, elettrodomestici, purtroppo non si accompagna con le giuste precauzioni (cambio della password di default, adozione di password robuste) di chi usa questi oggetti e neanche con le competenze, in termini di sicurezza, di chi li produce.