Al Security Analyst Summit 2016, Vasilios Hioureas di Kaspersky Lab e Thomas Kinsey di Exigent Systems hanno svelato come chiunque, con 50 dollari, possa compromettere l’impianto di climatizzazione del vicino. Nel posto e momento giusto, un teppista può anche causare un blackout nel quartiere.
Com’è possibile?
Molte persone prendono sul serio il consumo energetico e cercano di farne un uso responsabile. Di solito, questo approccio viene anche incoraggiato dai governi. Alcune aziende di distribuzione dell’energia elettrica degli Stati Uniti offrono ai loro clienti un risparmio di 200 dollari all’anno se consentono al fornitore di spegnere i climatizzatori per diverse ore durante i picchi di domanda energetica. Tutto questo avviene, ovviamente, a distanza.
Le aziende connettono il sistema di climatizzazione a uno speciale dispositivo che riceve i comandi di accensione e spegnimento dell’aria. In estate fa caldo, ma durante i picchi è meglio trascorrere qualche ora senza aria condizionata piuttosto che non aver affatto elettricità. Questa politica sembra molto sensata.
IoT: How I hacked my home http://t.co/CCx9eQEbL2 via @Securelist by researcher @JacobyDavid #InternetofThings
— Kaspersky (@kaspersky) August 21, 2014
Qualora sia necessario, gli operatori dei centri regionali inviano via radio il comando di spegnimento dei condizionatori utilizzando una certa frequenza. I ripetitori installati per tutta la città amplificano il segnale finché non raggiunga la sua destinazione. Il punto è che tutti i ricevitori esaminati dai nostri ricercatori non presentano un codice crittografico o di autentificazione. In effetti, chi riuscisse a emettere un segnale più forte, sarebbe in grado di provocare un blackout ai comandi dell’azienda elettrica e di avere il controllo su tutti quei dispositivi.
L’attrezzatura necessaria può essere acquistata praticamente da chiunque, è economica e facile da trovare. Con 50 dollari si può comprare un dispositivo capace di accendere e spegnere diversi climatizzatori nelle vicinanze. Ma con 150 dollari, si potrebbero controllare un paio di isolati del quartiere. Se si tratta di un criminale fornito di cospicue quantità di denaro, può avere il controllo dell’intera città.
More connected, less secure: how we probed #IoT for vulnerabilities https://t.co/f4Y6iXLG8U #internetofthings pic.twitter.com/ZwFbvGGW6G
— Kaspersky (@kaspersky) November 5, 2015
Benchè a prima vista sembri una situazione allarmante, la situazione non è eccessivamente critica. I climatizzatori spenti durante l’estate o accesi a distanza durante l’inverno colpirebbero seriamente soltanto certi livelli della popolazione (anziani, malati terminali ecc.) in maniera tragica. Questo gruppo di solito non sarebbe un partecipante primario al programma. Inoltre, azioni del genere possono anche rompere l’impianto di climatizzazione.
Il problema più grave si pone durante i picchi di domanda d’energia e nel caso un criminale accendesse tutti i condizionatori nello stesso momento, con la probabilità di causare un blackout improvviso in tutto il quartiere.
Qual è il fine?
Un’ipotesi è che al criminale serva penetrare nell’ufficio privo di corrente del suo rivale in affari. È da notare che tali macchinazioni non necessitano di alcuna abilità in particolare. L’unica cosa che deve fare è trovare la frequenza radio usata dalla compagnia elettrica e annotare i comandi inviati dagli operatori.
How to hack the power grid through home air conditioners https://t.co/XSEY4Hgw8G
— WIRED (@WIRED) February 10, 2016
Un altro modo per approfittare di questa vulnerabilità è intasare il traffico RF con del rumore e godersi sia lo sconto della compagnia elettrica, sia il funzionamento dei condizionatori durante le ore del picco.
I ricercatori non hanno svelato i nomi dei dispositivi vulnerabili perché stanno ancora discutendo questo problema con i produttori. Tuttavia, l’intera questione mostra quanto sia poco sicuro il nostro mondo connesso. E non importa come sia effettivamente connesso, se attraverso radiofrequenze o Internet, è possibile compromettere entrambi, poiché la gente non si preoccupa della sicurezza tanto quanto dovrebbe.
Recapping #TheSAS2016: IoT hacks, #Metel, #Poseidon, and more https://t.co/IqPXRtMs8r pic.twitter.com/2Pu461dOkl
— Eugene Kaspersky (@e_kaspersky) February 17, 2016
Le tecnologie sono in constante evoluzione e i dispositivi vecchi di cinque anni possono essere irrimediabilmente superati. Nel frattempo, Hioureas e Kinsey hanno scoperto che il chip utilizzato in alcuni di quelli analizzati sono stati sviluppati nel 1995. Di conseguenza, anche se il produttore volesse applicare l’autenticazione a un dispositivo del genere, sarebbe impossibile: semplicemente, l’attrezzatura non sarebbe all’altezza di questo compito.