Non è stato il mio depuratore d'acqua a essere hackerato per primo. È stato il mio frigorifero intelligente. Alle 3 del mattino, il calendario di famiglia sullo schermo è stato cancellato e sostituito da un messaggio in un inglese stentato che richiedeva 0,5 Bitcoin. La macchina del ghiaccio ha iniziato a rovesciare cubetti sul pavimento. Le luci interne lampeggiavano come un allarme silenzioso. La mia casa intelligente, un insieme di comfort interconnessi, era diventata una situazione di ostaggio nella mia cucina.

Ci è voluta una telefonata costosa e allarmante a uno specialista di sicurezza informatica per riavere indietro i miei elettrodomestici. Ma la sua domanda finale mi ha fatto venire un brivido più profondo del ghiaccio sul pavimento: "Avete un depuratore d'acqua collegato alla stessa rete?"

L'ho fatto. E all'improvviso la mia più grande paura si è spostata dall'acqua sporca a un diverso tipo di veleno: il sabotaggio digitale.

Proteggiamo il nostro Wi-Fi, aggiorniamo i nostri laptop e siamo diffidenti nei confronti delle email di phishing. Ma colleghiamo con nonchalance alla nostra rete un dispositivo che ha il controllo diretto e fisico su una risorsa vitale – la nostra acqua – con una sicurezza spesso non più robusta di quella di un giocattolo per bambini. Un depuratore d'acqua hackerato non è solo un elettrodomestico rotto; è una violazione al livello più intimo.

La vulnerabilità del "frigorifero digitale": la superficie di attacco del tuo purificatore

Il mio esperto di sicurezza informatica ha tracciato i parallelismi su una lavagna. Come il mio frigorifero, il mio purificatore d'acqua "intelligente" di fascia alta è un computer in rete racchiuso in un guscio di plastica. La sua superficie di attacco è ampia:

• Un portale app/cloud debole: l'accesso per controllarlo o visualizzarne i dati è spesso protetto da una semplice password, a volte persino da una predefinita.
• Firmware obsoleto e non aggiornabile: la maggior parte dei purificatori sono "scarica e dimentica". L'azienda potrebbe non rilasciare mai un aggiornamento di sicurezza dopo il giorno della spedizione.
• Un flusso di dati permanente: telefona costantemente a casa, inviando dati di utilizzo, stato dei filtri e informazioni diagnostiche al server del produttore. Questa è una potenziale fuga di dati sulle tue abitudini domestiche.
• Valvole di controllo fisiche: questa è la parte più spaventosa. Sono dotate di solenoidi e valvole che possono aprire e chiudere il flusso d'acqua o avviare un lavaggio del sistema.

Nelle mani di un malintenzionato, questo non è un rischio teorico. È un modello di danno.

Gli scenari impensabili: da fastidio a incubo

Passiamo dall'astratto concetto di "violazione dei dati" ad attacchi concreti e plausibili:

1. Blocco Ransomware: lo scenario più probabile. L'interfaccia del tuo purificatore è bloccata da un ransomware. Un messaggio sullo schermo o l'app richiede un pagamento per ripristinare il funzionamento. Non puoi controllare lo stato del filtro, eseguire un ciclo di pulizia o, in casi estremi, il sistema potrebbe rifiutarsi di erogare acqua, tenendo in ostaggio la tua idratazione.
2. La truffa della "frode del filtro": un hacker ottiene l'accesso ai report del sistema. Falsifica un avviso che tutti i filtri e la membrana dell'osmosi inversa sono gravemente guasti, sollecitando la sostituzione immediata con un link a un negozio falso (o malevolo) che vende ricambi contraffatti a prezzi eccessivi. Sfrutta la fiducia che riponete nel dispositivo per truffarvi.
3. Vandalismo che causa il bricking del sistema: uno script o un aggressore invia un comando firmware corrotto, bloccando definitivamente la scheda di controllo. Il computer diventa un fermacarte inutilizzabile e che perde liquido finché non si paga per la sostituzione completa della scheda madre.
4. Il sabotaggio fisico (il caso peggiore): un aggressore con accesso più profondo potrebbe, teoricamente, azionare in modo irregolare le valvole di scarico e scarico del sistema. Ciò potrebbe causare un colpo d'ariete, un'impennata di pressione che può far scoppiare i raccordi e causare un allagamento all'interno di mobili e pareti. Non si tratta di avvelenare l'acqua, ma di usare l'elettrodomestico come arma per avvelenare la casa.

Il tuo protocollo di sicurezza idrica digitale in 7 punti

Dopo l'incidente con il frigorifero, ho implementato questo protocollo per tutti gli elettrodomestici connessi, in particolare per il purificatore. Dovresti farlo anche tu.

1. Isolalo su una rete ospite: crea una rete Wi-Fi separata (la maggior parte dei router moderni lo consente) esclusivamente per i tuoi dispositivi IoT. Il tuo purificatore, le luci e il tuo frigorifero risiedono qui. I tuoi laptop, telefoni e dispositivi di lavoro rimangono sulla rete principale. Una violazione della rete ospite è contenuta.
2. Elimina le impostazioni predefinite: modifica il nome utente e la password predefiniti per l'app e il portale web del purificatore con una passphrase complessa e univoca. Utilizza un gestore di password.
3. Verifica le autorizzazioni dell'app: nell'app mobile del purificatore, nega TUTTE le autorizzazioni di cui non ha assolutamente bisogno per funzionare (Posizione, Contatti, ecc.). Ha bisogno del Wi-Fi.nonho bisogno di sapere dove ti trovi.
4. Disattiva l'accesso remoto se possibile: l'app ti consente di controllarla da qualsiasi luogo? Se ti serve solo a casa, verifica se è disponibile una modalità "Solo rete locale".
5. Controlla la presenza di un "interruttore Wi-Fi" fisico: alcuni modelli hanno un piccolo pulsante per disattivare il Wi-Fi. Se non utilizzi le funzionalità intelligenti quotidianamente, disattiva il Wi-Fi in modo permanente. Un purificatore "stupido" è un purificatore sicuro. Imposta promemoria manuali sul calendario per la sostituzione del filtro.
6. Monitora la tua rete: usa un semplice strumento di scansione di rete (come Fing) per vedere quali dispositivi sono connessi alla tua rete domestica. Se vedi qualcosa che non riconosci, indaga.
7. Poniti la domanda difficile prima di acquistare: quando cerchi un purificatore "intelligente", invia un'e-mail all'assistenza dell'azienda. Chiedi: "Qual è la vostra politica di divulgazione delle vulnerabilità? Con quale frequenza rilasciate patch di sicurezza per i vostri dispositivi connessi?". Una non-risposta è la tua risposta.