Non molto tempo fa, su queste colonne, abbiamo avvisato dei pericoli che si potevano annidare nel campo, ancora in larga parte inesplorato, della domotica, terreno fertile per i cyber criminali e i produttori di malware di tutto il mondo.Quale migliore spazio per scorrazzare indisturbati se non quello dell’Internet of Things e degli edifici automatizzati? Con la ghiotta opportunità, tra l’altro, di accedere a un bottino formato non solo dai “soliti” dati sensibili, ma da veri e propri beni materiali: aprire la porta di un appartamento o addirittura una cassaforte con un semplice clic, portandosi via tutto.
D’altra parte, le aziende direttamente coinvolte nel settore sembrano non avere tenuto in debito conto l’allarme, se è vero che, poche ore fa, il vendor Belkin si è visto recapitare direttamente dal Cert (Computer Emergency Readiness Team) statunitense una nota ufficiale di richiamo relativa ai dispositivi della linea domotica WeMo. Oggetto della contestazione l’utilizzo incompleto da parte del marchio delle tecnologie di sicurezza normalmente impiegate nell’assemblamento dei dispositivi della linea: a una verifica sarebbero risultate parziali l’implementazione della cifratura GPG e del protocollo di comunicazione STUN/TURN , le comunicazioni viaggerebbero di certo cifrate da e per i dispositivi ma non esiste verifica del certificato SSL impiegato; inoltre il codice è positivo al test sugli attacchi XML injection, creando così le condizioni per una violazione delle protezioni che dovrebbero mantenere privata la rete locale. In questo modo, per un cyber criminale, è possibile inserirsi nella LAN, inviare un firmware apparentemente legittimo ai dispositivi e procedere all’installazione.
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.