“Paga 300 dollari se vuoi che il tuo termostato torni a funzionare regolarmente”. Potrebbe sembrare la classica pretesa di un libero professionista dell’idraulica o dei tanti factotum pronti a intervenire a qualsiasi ora del giorno e della notte applicando tariffari al cardiopalma. Non parliamo di ordinari contrattempi domestici, ma ci avventuriamo nel più recente fronte delle estorsioni cibernetiche. Sempre più abituati a pagare una sorta di riscatto per riottenere la versione leggibile dei propri documenti e archivi crittografati dal malintenzionato di turno, ci appropinquiamo a parlare di una nuova versione di ransomware: stavolta le malefiche istruzioni non prendono di mira il contenuto di computer, tablet o smartphone, ma hanno come bersaglio i dispositivi elettronici impiegati nella domotica per il controllo di elettrodomestici e impianti installati in abitazioni ed uffici.
Era un destino fin troppo facilmente prevedibile quello del tanto enfatizzato “Internet delle cose”. L’appetibilità di un nuovo oggetto da colpire e, soprattutto, della sterminata quantità e varietà di quegli “oggetti” non ha tardato a solleticare i più fantasiosi funamboli delle tecnologie. Avvezzi a sentire bestemmie e imprecazioni di chi non riesce più ad aprire i propri file e si trova bloccato nel lavoro, dovremo fare l’abitudine nell’ascoltare analoghi lamenti da amici e conoscenti che in precedenza parlavano con orgoglio dell’automazione dei congegni installati nell’appartamento al mare o in montagna.
Queste poche righe prendono spunto dallo scenario non ipotizzato ma dimostrato praticamente da due hacker della società britannica di sicurezza informatica Pen Test Partners. Qualche giorno fa Ken Munro e Andrew Tierney, nel corso della ventiquattresima edizione del congresso DefCon a Las Vegas, hanno dato prova della possibilità di infettare qualcosa che, pur diverso da un tradizionale computer, ha componentistica e dinamiche di funzionamento strettamente informatiche.
La loro performance ha fatto centro su un termostato elettronico dotato di un display a cristalli liquidi avente dimensioni apprezzabili, sottolineando che la facilità di prenderne il controllo era garantita dalla versione modificata di Linux (che ne assicurava il funzionamento) e dalla presenza di un alloggiamento per una scheda Sd (destinata a dar modo di caricare impostazioni personalizzate già memorizzate in precedenza).
I due “birbaccioni” hanno scoperto che il termostato non procedeva a una effettiva verifica dei programmi in esecuzione, circostanza che ha permesso loro di inoculare un malware pestifero. Il “boccone avvelenato” ha indotto il dispositivo a fissare la temperatura dell’ambiente a circa 38 gradi e a chiedere la digitazione di un pin (valido 30 secondi) per sbloccare l’infernale situazione.
Per potersi salvare, il malcapitato deve pagare un bitcoin per vedersi liberato dall’incubo. Siccome qualunque processo “gira” tra le applicazioni del termostato con i privilegi più elevati, qualsiasi hacker non deve faticare per compromettere l’apparecchiatura. Anche se Munro e Tierney, astenendosi dal rendere noti marca e modello del congegno, hanno spiegato che il rimedio è di facile realizzazione, resta forte la preoccupazione della fragilità dell’Internet delle cose” e delle tanto decantate Smart cities che ha moltiplicato le eventualità di aggressione digitale. Non spaventano certo le burle o le goliardate, ma la possibilità di attacchi sistematici su un fronte così capillare deve far riflettere.