Da asporto chiave
- Lunedì 17 maggio alle 4:50 EDT, un bug ha esposto i feed delle telecamere di sicurezza Eufy.
- I gadget Smart Home e Internet of Things non danno priorità alla sicurezza.
- La legislazione potrebbe costringere i fornitori a prendere sul serio la sicurezza dei propri utenti.
I proprietari delle telecamere di sicurezza intelligenti Eufy si sono svegliati con un incubo in stile hollywoodiano all'inizio di questa settimana quando una violazione ha esposto le loro telecamere di casa a chiunque su Internet. Come possiamo essere protetti meglio?
Un aggiornamento del software ha causato la violazione ed è stato risolto dopo un'ora. Ma durante quel periodo, una manciata di utenti Eufy ha notato di avere accesso ai feed live delle telecamere di altri utenti, oltre che ai video registrati. La violazione garantiva anche l'accesso completo all'account, il che significa che chiunque poteva ruotare e inclinare le telecamere di estranei per dare una buona occhiata alle loro case. Ciò evidenzia i problemi inerenti a tutti i gadget per la casa intelligente.
"Man mano che portiamo più tecnologia in casa, i criminali informatici rivolgeranno sempre più la loro attenzione a questi nuovi sistemi", ha detto a Lifewire Ben Dynkin, co-fondatore e CEO di Atlas Cybersecurity. "Questo maggiore controllo da parte dei criminali comporterà inevitabilmente un numero crescente di attacchi e nessuna legge o regolamento sarà in grado di ostacolarlo. Per risolvere questo problema, dobbiamo trovare modi nuovi e innovativi per proteggere i sistemi e scoraggiare l'attività criminale".
Insicuro per progettazione
In una dichiarazione fornita a Lifewire dal produttore di Eufy Anker, un aggiornamento software ha causato il bug, che ha colpito 712 utenti ed è stato corretto in meno di due ore.
I problemi di fondo rimangono, però. I dispositivi Internet-of-Things, poiché questi gadget per la casa intelligente sono classificati, non sono progettati per essere sicuri.
"Attualmente, i dispositivi IoT spesso non sono costruiti pensando alla sicurezza", ha detto a Lifewire Dan Tyrrell della società di test di penetrazione Cob alt.io via e-mail. Il problema è che designer e fornitori sono più interessati alle funzionalità che alla sicurezza.
"Il mercato dell'IoT è in costante innovazione con aziende nuove e affermate che portano prodotti e soluzioni sul mercato a un ritmo vertiginoso", afferma Dynkin. "Ciò significa che affinché le aziende abbiano successo nello spazio, devono innovare rapidamente e cercare di superare i loro concorrenti, il che significa, inevitabilmente, che la sicurezza sarà trattata come una considerazione secondaria, piuttosto che come un principio fondamentale del prodotto. Questo porta a vulnerabilità onnipresenti che possono essere sfruttate."
È interessante notare che le persone che hanno collegato le loro fotocamere Eufy solo utilizzando HomeKit Secure Video di Apple non sono state interessate da questa violazione, il che dimostra che è possibile un approccio basato sulla sicurezza.
Regolamento
Queste violazioni non si fermeranno fino a quando la sicurezza non diventerà importante almeno quanto le funzionalità, e ciò non accadrà fino a quando qualcuno non costringerà i fornitori di case intelligenti a prenderlo sul serio. Una risposta è la regolamentazione del governo, come quella che abbiamo per mantenere il nostro cibo al sicuro, e il roaming dei cellulari dell'UE a basso costo. La regolamentazione imporrebbe standard minimi ai fornitori e li punirebbe per le violazioni.
"La regolamentazione non è necessariamente il proiettile d'argento per garantire la sicurezza dei dispositivi IoT", afferma Tyrrell. "Invece, dovremmo considerare la regolamentazione come un passo nella giusta direzione. Vorrei mettere in guardia sul fatto che essere conformi a uno standard normativo non è la stessa cosa che essere sicuri, ma è meglio di niente."
Per risolvere questo problema, dobbiamo trovare modi nuovi e innovativi per proteggere i sistemi e scoraggiare le attività criminali.
Altri sono completamente contrari alla regolamentazione. Paul Engel, fondatore di The Constitution Study, riassume questo atteggiamento.
"L'ultima cosa di cui abbiamo bisogno è più interferenza del governo", ha detto Engel a Lifewire via e-mail. "Alcune cause legali costose e pagamenti assicurativi farebbero di più per spingere queste società a migliorare la loro sicurezza di quanto potrebbe fare qualsiasi legislazione."
Alla fine, la maggior parte delle tutele per i consumatori deriva da regolamenti governativi. E date le tendenze storiche, è probabile che l'Unione Europea si muova per prima su questo, ma gli Stati Uniti hanno già alcune leggi su cui basarsi.
"Potremmo estendere gli standard stabiliti nell'Internet of Things Cybersecurity Improvement Act del 2020, che attualmente copre solo le apparecchiature acquistate da agenzie governative, ai prodotti aziendali e di consumo", ha detto a Lifewire Paul Bischoff, difensore della privacy di Comparitech Via Posta Elettronica. "Ciò include aggiornamenti software e firmware remoti e automatici, gestione dell'identità e crittografia."
Senza una migliore sicurezza, le cose peggioreranno.
Proteggiti
Il modo più semplice per evitare violazioni dell'IoT è non installare alcun dispositivo domestico intelligente. Ma se devi assolutamente avere un campanello intelligente o una telecamera di sicurezza, ci sono delle precauzioni che puoi prendere. Innanzitutto, considera i dispositivi che non utilizzano Internet.
"Potresti optare per una telecamera di sicurezza che archivia i video su un dispositivo locale anziché su un server cloud", afferma Bischoff. "[E] puoi instradare i dispositivi IoT attraverso una VPN installata sul tuo router Wi-Fi, che nasconde il tuo indirizzo IP reale e la tua posizione e crittografa i dati in transito."
Man mano che portiamo più tecnologia in casa, i criminali informatici rivolgeranno sempre più la loro attenzione a questi nuovi sistemi.
Alla fine, la cosa più importante è ricordare che la sicurezza dei tuoi dispositivi è una tua responsabilità.
"I consumatori dovrebbero praticare una buona igiene informatica con i loro dispositivi IoT", afferma Tyrrell. "Ove possibile, modificare i nomi utente e le password predefiniti. Connetti solo i dispositivi necessari a Internet. Tieni presente che è compito tuo come proprietario del dispositivo aggiornare le patch e farlo regolarmente. Infine, mantieni una rete locale separata nella tua casa per tutti i dispositivi IoT per ridurre l'impatto di una violazione di uno di questi dispositivi."
