Una smart home permette a chi abita in casa di controllare apparecchi smart in sicurezza, con l’obiettivo di ridurre i consumi, quindi di risparmiare, e di aumentare il comfort della propria abitazione. Per evitare i rischi legati alla smart home bisogna seguire alcuni semplici accorgimenti, oltre a imparare a distinguere i dispositivi migliori da quelli peggiori sul fronte sicurezza.
Già nel 2019 il 40% dei consumatori italiani aveva in casa almeno un dispositivo smart home: smart tv, smart speaker, sistemi di illuminazione, elettrodomestici, termostati, sistemi di allarme, telecamere (di videosorveglianza e videocitofonia con accesso alle immagini a distanza e/o da smart Tv) e serrature in grado di inviare allarmi in caso di intrusione. Il mercato italiano della smart home, secondo l’Osservatorio Internet of Things della School of Management del Politecnico di Milano, valeva 530 milioni di euro, in aumento del 40%, mentre nel 2020 ha fatto registrare una lieve flessione, attestandosi a 505 milioni di euro. A trainare il mercato sono le soluzioni per la sicurezza – che comprendono videocamere, sensori per porte e finestre e serrature connesse, al primo posto per quote di mercato (21%) con 105 milioni di euro, ma in calo del 30% rispetto al 2019. Il 54% degli utenti, però, dice di essere preoccupato per i rischi privacy e cyber-security legati alla smart home.
Come funziona una smart home?
La smart home si basa sulla tecnologia Internet of Things (IoT) e si differenzia dalla domotica (che sfruttava la connessione attraverso l’impianto elettrico cablato) in quanto sfrutta la connessione wireless. Infatti smart è sinonimo di connessione.
L’architettura IoT è definita su tre layer: Perception Layer, Network Layer e Application Layer.
Il Perception Layer rappresenta lo strato di sensori (Rfid compresi) con il compito di acquisire i dati dall’ambiente circostante mediante dispositivi di controllo e attuatori, attraverso rilevazione, raccolta ed elaborazione delle informazioni trasmesse al livello di rete.
Il Network Layer è il livello successivo, che deve instradare i dati raccolti e trasmetterli tramite i vari nodi. Gli apparati appartenenti a questo livello sono tipicamente i router, gli access point, i trasmettitori Bluetooth e tutti quei device che utilizzano tecnologie quali WiFi, LTE, 5G e Zigbee.
L’Application Layer è il terzo livello ovvero lo lo strato dove – a livello logico – nascono le applicazioni “intelligenti” per il funzionamento di smart city, smart home eccetera.
I dispositivi smart home interagiscono con un hub o un server, attraverso uno dei più popolari standard di comunicazione wireless: WiFi, Zigbee, Z-Wave e Bluetooth.
Sono “intelligenti” perché rispondono a un comando, possono essere programmati per seguire una routine e, nel caso di sensori e rilevatori, possono comunicare i dati raccolti, anche per essere analizzati su un display integrato. L’hub con cui lo smart device comunica si può trovare nella stessa casa o risiedere su un server magari a migliaia di chilometri di distanza.
Il gateway gestisce tutte le periferiche (cioè i dispositivi smart home) del sistema: è un router con interfacce wireless a basso consumo. Tramite il router, gli oggetti intelligenti si collegano alla rete domestica (Lan) e a Internet, in modo da poter essere comandati anche da remoto, grazie alle app e a credenziali di accesso. I gateway sono quasi sempre compatibili con i più popolari assistenti vocali di Google, Apple e Amazon.
Quali sono i vantaggi della smart home?
Se è possibile accendere il termostato solo quando usciamo dall’ufficio, evitiamo di sprecare il riscaldamento quando nessuno è presente in casa. I vantaggi della smart home sono energetici (ottimizzazione dei consumi energetici), economici (taglio delle bollette di luce e gas) e il miglioramento del comfort (la comodità di automatizzare alcune attività evita di dimenticarsene; l’automazione può anche essere sostituita dal ricorso ai comandi vocali, più immediati e comodi).
Altri vantaggi sono: il controllo da remoto (svolgere compiti dall’ufficio o durante uno spostamento, grazie alle app dedicate); l’assistenza ad anziani e a persone con disabilità motorie; la sicurezza (la videosorveglianza, integrata con tradizionali sistemi di allarme, aumenta il monitoraggio a distanza).
I dispositivi smart home, connessi direttamente alla rete tramite connettività wireless che permette di controllare e gestire gli oggetti via smartphone, tablet o comandi vocali, servono ad automatizzare una serie di attività di routine nelle abitazioni, attraverso le apposite app, per tagliare i consumi e offrire maggiore comodità:
- accendere e spegnere le luci, programmarle, cambiarne colore o intensità;
- regolare la temperatura, accendendo il riscaldamento o il climatizzatore quando stiamo per tornare a casa (ma anche abbassare o alzare le tapparelle);
- usare elettrodomestici a distanza (accendere la macchinetta del caffè per preparare il caffè al nostro risveglio; accendere lavastoviglie, lavatrici, forni a microonde con comandi vocali; il frigorifero smart gestisce le scadenze alimentari e ci segnala sullo smartphone se manca il latte oppure lo compra grazie all’eCommerce);
- monitorare gli accessi tramite videosorveglianza eccetera.
Quali sono i rischi alla sicurezza di una smart home?
Una smart home corre numerosi rischi alla sicurezza, soprattutto legati alle vulnerabilità dei dispositivi intelligenti ad uso domestico.
Ecco le falle più gravi, etichettate come critiche, finora riscontrate:
- comunicazioni non criptate;
- de-autenticazione WiFi;
- esposizione dati sensibili degli utenti (rischio di violazione della privacy).
Il progetto “Hackable Home”, condotto in Italia da Altroconsumo e promosso a livello europeo dalle organizzazioni di consumatori riunite nel cluster Euroconsumers, ha testato sicurezza e affidabilità di 16 dispositivi smart home dei principali brand presenti sul mercato di quattro Paesi europei coinvolti nello studio (Belgio, Italia, Portogallo e Spagna), senza registrare nessun progresso rispetto a un’analoga ricerca svolta nel 2018.
Dieci device hanno presentato falle critiche nella comunicazione non criptata, o almeno non adeguatamente cifrata, per proteggere privacy e sicurezza dei dati degli utenti.
La de-autenticazione WiFi permette a cyber-criminali di disconnettere il dispositivo disattivando la rete internet. Altra vulnerabilità, lato hardware, è la possibilità di esporre i dati sensibili degli utenti, a rischio violazioni.
Perché i dispositivi IoT smart sono vulnerabili?
I dispositivi IoT smart corrono rischi non solo legati alle vulnerabilità (sia lato hardware che software), ma anche relativi alla loro eterogeneità, ubiquità e mancanza di una visione comune e strutturata del sistema IoT che può essere sfruttata dagli attaccanti.
Ogni volta che un dispositivo smart viene aggiunto alla rete, la superficie di attacco si amplia, perché i dispositivi connessi sono spesso intrinsecamente vulnerabili e facili da attaccare.
Il motivo di questa vulnerabilità intrinseca è semplice: in molti casi non sono stati progettati o realizzati pensando alla sicurezza, ma sono stati realizzati su software legacy o proprietari che non sono progettati con una sicurezza integrata, spesso dotati di password deboli o tutte uguali (il che equivale a non avere password). Inoltre sono spesso equipaggiati con software che non può essere aggiornato frequentemente (a volte sistemi operativi obsoleti come Windows Xp o Windows 7), a causa di limitazioni di accesso, timori per i tempi di inattività o l’esigenza di ri-certificare i sistemi.
Inoltre, i componenti hanno necessità di alimentazione, connessioni, scalabilità che implicano autenticazione delle comunicazioni, integrità e sicurezza end-to-end. Il fitto scambio di informazioni tra sensori, dispositivi e applicazioni ipoteca l’integrità dei dati. Inoltre, è complesso gestire la confidenzialità dei dati, garantendo che il dato sia accessibile solo ed esclusivamente agli utenti autorizzati (umani, macchine o servizi). La ridotta capacità computazionale dei nodi di calcolo (contenenti la CPU e necessari per l’elaborazione dei dati e delle informazioni ricevute dai sensori) non è sufficiente per assicurare comunicazioni end-to-end con protocolli sicuri.
I consigli per proteggere la smart home da un attacco hacker
Password
I dispositivi smart home spesso non sono protetti da password o utilizzano password predefinite. La priorità è dunque quella di cambiare password, scegliendone una forte (contenente anche lettere maiuscole, minuscole, numeri e caratteri speciali). La password predefinita di un dispositivo è infatti nota a tutti coloro che hanno lo stesso device, il che equivale a non averne una.
Bisogna inoltre cambiare password ogni sei mesi per incrementare il livello di sicurezza.
WiFi
I dispositivi smart home si connettono in modalità wireless, dunque l’accesso WiFi deve essere protetto con una password forte, dopo aver cambiato anche il nome utente del router (per impedire che venga individuato dall’attaccante). Conviene usare l’autenticazione WPA per creare una rete sicura.
Il primo passo per proteggere la propria casa consiste nell’isolare la rete domestica intelligente dalle altre reti, configurando una rete guest per i dispositivi smart home. Si consiglia di abilitare il firewall integrato nell’hardware del router. Se il router non ne dispone, bisogns sostituirlo con un router con firewall integrato, da abilitare da parte dell’utente.
Comandi vocali
Il comando di attivazione vocale “OK Google” o “Hey Alexa” è noto a tutti. Per impedire a un intruso di utilizzare il sistema, conviene personalizzare il comando di attivazione con una parola nota solo ai componenti della famiglia.
Costante aggiornamento software
Quando si compra un dispositivo smart home sarebbe necessario verificare che il vendor rilascia aggiornamenti regolari del firmware. Un dispositivo di smart home può durare dieci anni, dunque il software deve ricevere aggiornamenti costanti, patch tempestive ed efficaci, soprattutto in grado di sanare le vulnerabilità eventualmente scoperte. Scegliere un vendor affidabile è una garanzia per la sicurezza.
Rfid
Alcune applicazioni usano Rfid, vulnerabili a causa della scarsa capacità di memorizzazione e minime capacità di elaborazione. Quando si installa una telecamera o un sensore di movimento fuori casa dovrà essere protetto adeguatamente, per prevenire Replay attack via spoofing dell’identità di un device o violazione delle chiavi di crittografia tramite attacchi Side Channel di tipo timing attack.
Smartphone
Molti utenti controllano la smart home via smartphone. Bisogna utilizzare lo screen locker sullo smartphone per evitare che nessuno possa accedervi in caso di furto o smarrimento; gli smartphone devono essere protetti con password complesse difficili da violare; bisogna mantenere il sistema operativo sempre aggiornato e proteggerlo con anti-malware e una soluzione cybersecurity all-in-one, anche per la smart home.
Cloud
Poiché il dispositivo smart home richiede una connessione al cloud per l’upload e il download di contenuti, un estraneo potrebbe attaccare tale connessione e sfruttarla per accedere alla rete. Blindare il cloud risulta cruciale per evitare cyber-attacchi.
Bluetooth
L’inserimento di relé multifunzione a tecnologia Bluetooth da inserire nell’impianto elettrico (domotica) garantisce maggiormente la sicurezza dei dati rispetto al WiFi, unita alla trasmissione crittografata a 128 bit. Laddove venga utilizzato un sistema cloud dell’azienda produttrice, conviene accertarsi che essa protegga i dati sensibili prodotti dai dispositivi installati nelle abitazioni dei clienti.
Privacy
Prima di acquistare un dispositivo di smart home, converrebbe leggere l’informativa sulla privacy allegata, per sapere come verranno sfruttati i dati personali dal produttore e conoscere i dati ai quali ha accesso il dispositivo. In ogni caso, se si prevede di non impiegare l’attivazione vocale, è meglio disattivare il microfono per evitare che conversazioni possano essere intercettate e trasmesse. Conviene mantenere un dispositivo offline se, per esempio, non si usano le funzionalità connesse della macchina da caffè o del forno.
I dispositivi smart migliori e quelli peggiori per la sicurezza
I dispositivi di smart home migliori sono quelli realizzati da produttori che aggiornano il software, che rilasciano aggiornamenti regolari del firmware e patch di sicurezza da scaricare dai siti Web dei vendor, che si connettono a un cloud protetto, che sono dotati di informativa sulla privacy e che consentono di disattivare l’Universal Plug & Play (UPnP), un protocollo vulnerabile agli attacchi esterni.
Quelli peggiori non hanno siti Web aggiornati con i firmare e la patch da scaricare sul dispositivo. Inoltre i peggiori device non permettono di disattivare l’Universal Plug & Play (UPnP), un protocollo che consente a un cyber-criminale di assumere il controllo di più dispositivi, dopo averne attaccato uno solo. I dispositivi peggiori richiedono l’autorizzazione per modificare le impostazioni del router: è necessario controllare le autorizzazioni per le app in esecuzione per prevenire questa potenziale minaccia alla sicurezza.