Quando si acquista un nuovo dispositivo per la smart home o un prodotto appartenente alla categoria dell’Internet delle Cose (IoT) bisognerebbe raccogliere sempre informazioni sul suo ciclo di vita.
Ne abbiamo parlato spesso: un dispositivo capace di collegarsi a Internet e scambiare dati in rete può diventare un potenziale pericolo se eventuali vulnerabilità di sicurezza non vengono più corrette dal produttore attraverso il rilascio di patch correttive.
I britannici di Which? hanno in questi giorni pubblicato il resoconto di una loro indagine: lo studio mette in evidenza che non sono tanti i prodotti smart di uso comune come TV, elettrodomestici, dispositivi mobili e così via ad essere supportati per più di 3 anni.
In un altro articolo ci siamo chiesti per quanto tempo è sicuro usare un dispositivo Android ma la stessa cosa vale per qualunque altro prodotto. Con la differenza che nel caso dei dispositivi Android è possibile sostituire la ROM ufficiale caricandone una (scegliendo tra quelle affidabili e sicure) di terze parti mentre il firmware dei dispositivi per la smart home non aggiornati di solito non può essere sostituito. O meglio, tranne rari casi, non è possibile trovare versioni più aggiornate e sicure rispetto a quelle ufficiali.
Il comportamento dei vari produttori cozza con la durata stimata dei dispositivi: lavatrici, lavastoviglie e televisori smart ci si aspetta che durino almeno 10 anni; in realtà, l’aggiornamento delle funzionalità smart viene interrotto dal produttore, spesso, dopo appena 2 anni. E non dall’acquisto da parte del cliente ma dalla data di prima presentazione del prodotto sul mercato.
Which? osserva che LG offre due anni di aggiornamenti per i suoi prodotti, come Sony nel caso dei TV; Samsung arriva a tre anni per i suoi televisori.
Una nota di merito va ad HiSense e Miele che, rispettivamente per TV e lavatrici/lavastoviglie, assicurano la distribuzione di aggiornamenti su questi prodotti per 10 anni.
Tanti brand sono invece poco chiari sulle politiche di aggiornamento dei loro prodotti.
Come abbiamo detto in passato, tanti dispositivi con funzionalità di networking continuano a essere utilizzati oltre la fine del loro ciclo di vita esponendo in alcuni casi la rete dell’utente privato o dell’azienda ad aggressioni provenienti dall’esterno.
Prima di acquistare non solo un dispositivo per la smart home ma anche qualunque altro prodotto IoT, si dovrebbe accertare per quanto tempo il produttore lo supporterà attraverso la distribuzione di aggiornamenti.
In un altro articolo abbiamo visto quando cambiare router: trattandosi di un dispositivo che fa da interfaccia tra la rete WAN (“il mondo esterno”) e la rete locale è fondamentale utilizzare un prodotto che rimane aggiornato dal produttore e che possa continuare a ricevere eventuali aggiornamenti di sicurezza.
In alcuni casi è anche possibile non abbandonare il router ma sostituire il firmware in uso con DD-WRT, OpenWrt, Tomato e così via.
Nella stragrande maggioranza dei casi, se il router utilizza firewall e NAT con l’utente che non espone sulla porta WAN nessuna delle porte aperte in locale dai dispositivi per la smart home il problema non sussiste.
Ad ogni modo è spesso opportuno separare i dispositivi IoT dalla rete LAN principale usando ad esempio una WiFi guest. Inoltre, è essenziale verificare i programmi in esecuzione sulle macchine locali perché eventuali componenti malevoli potrebbero trarre vantaggio dalle falle di sicurezza presenti sui dispositivi vulnerabili previa scansione della rete.
I problemi di sicurezza possono essere sfruttati per porre in essere movimenti laterali e, ad esempio, aprire porte verso l’esterno.