Leggevo un documento scritto da Christopher Balding e Joe Wu in cui si parla di una macchina per preparare il caffè che è connessa ad Internet e che invia informazioni più o meno sensibili in Cina.
Il documento originale lo potete trovare a questo indirizzo nel caso vi interessi: Chinese Data Collection on Internet of Things Connected Devices: The Case of Smart Coffee Machines
Il documento è interessante ma, secondo la mia opinione non rivela nulla di particolarmente nuovo.
Partiamo dall’assunto che nelle nostre case ci sono una enorme quantità di oggetti che sono, in qualche modo, connessi ad Internet. Alcuni lo sono direttamente, altri lo sono per mezzo di applicazioni satelliti che vivono sui nostri smartphone.
E’ la tanto discussa Internet delle Cose, che di per sé rimane una figata pazzesca ma, troppo spesso, realizzata in stile armata Brancaleone.
E’ ben evidente che qualsiasi oggetto che è connesso ad Internet scambia dei dati con un’altra entità. Su questo non ci piove e, di fatto, gli oggetti non potrebbero funzionare se così non fosse. Gli altoparlanti Sonos che stanno in tutte le mie stanze non potrebbero riprodurre la musica di Spotify se non si collegassero ad Internet.
Qui, così come descritto nel documento di Balding e Wu, ma anche da tanti altri, cominciano i problemi.
In primo luogo non siamo certissimi di quali informazioni vengono scambiate con i sistemi remoti. Nel caso della macchina del caffè insieme a dati meno sensibili come la quantità di latte che vuoi nel caffè vengono scambiate informazioni sui metodi di pagamento e sulla posizione della macchina del caffè. Dati, questi, decisamente sensibili.
Nel caso specifico i due ricercatori sono venuti in possesso di una copia del database su cui questi dati sono stati salvati e quindi possono parlarne a ragion veduta.
Il problema si pone comunque per qualsiasi oggetto che sia connesso ad Internet. Siamo davvero tutti a conoscenza della quantità e della qualità dei dati che vengono trasmessi e, molto probabilmente, immagazzinati in sistemi remoti?
Quanta consapevolezza abbiamo riguardo questo argomento. In generale piuttosto poca e questo è un problema.
Potremmo dire che abbiamo il GDPR che dovrebbe, in qualche modo, difenderci. Nel caso della macchina del caffè il produttore non sembra farci molto caso.
Il problema secondario è la sicurezza dei sistemi che ci mettiamo in casa. Essendo per la maggior parte prodotti consumer, devono costare poco. Se devono costare poco lo sforzo che posso spendere per renderli sicuri dal punto di vista informatico è modesto. Se lo sforzo è modesto uno bravo riesce a manometterli con un ragionevole sforzo e quantità di tempo.
Questo credo sia un altro dei problemi fondamentali. Vale per tutti, anche i nome più blasonati. Tempo fa avevo un router WiFi/UMTS. Per giocare ho provato a tentare di manometterlo un pochino dato che se ne stava nel cassetto a fare nulla. Non parlo del brand perché non è necessario. Long story short: scarico la configurazione del router in un file JSON, vedo una voce “telnet: false”, cambio la voce in “telnet: true”, mi collego al router con l’account root, mi viene chiesta la password, premo invio e mi ritrovo con un bel prompt di shell con i privilegi di root.
Quindi il problema è molto più vasto di quello evidenziato nel documento di cui ho parlato poco sopra.