I tuoi amici di Facebook potrebbero presto ottenere l’accesso ai tuoi dispositivi smart home

AI contro AI, Malware polimorfico, Formjacking: ecco le nuove minacce alla sicurezza informatica

La tecnologia smart home si sta diffondendo: telecamere, lampadine, frigoriferi – tutti connessi a Internet e alla rete Wi-Fi domestica. Questi dispositivi sono controllati da unità che funzionano con riconoscimento vocale in lingua naturale, come Alexa di Amazon, Home di Google e HomePod di Apple

Di Massimiliano Brugnoli, Business Development Manager di Orange Business Services

Alcune di queste applicazioni utilizzano l’apprendimento automatico per analizzare e prevedere il comportamento degli utenti. Un termostato stabilirà la temperatura preferita degli inquilini sulla base degli utilizzi precedenti, e analizzerà le previsioni meteo locali per “prevedere” che temperatura impostare. Ho sottoposto la “mia” Alexa a un duro training sui miei gusti musicali: come da regola statistica, più grande è il set di dati, più la frequenza “ritorna alla media”: perciò Alexa sa che accetterò la musica di artisti come Neil Diamond e Fleetwood Mac il più delle volte. Quando i robot prenderanno il sopravvento, non sarà una rivoluzione violenta, ma avrà la musica dei Dire Straits e degli Eagles come sottofondo musicale.

La crescente disponibilità di servizi di smart home sta generando un misto di interesse, entusiasmo e preoccupazione in parti uguali negli esperti di sicurezza per il controllo degli accessi, ovvero le regole che controllano “chi” è autorizzato ad accedere a “quale” servizio IT. Le smart home sovvertono le regole, e lasciano gli esperti sconcertati.

Un tempo le cose erano ben più semplici: le aziende o le organizzazioni governative gestivano le applicazioni. I team IT specializzati gestivano la politica di controllo degli accessi in base ad aspetti come il ruolo in azienda o l’anzianità del personale. I sistemi HR consentivano ai manager di ottenere diverse informazioni dai membri del proprio team. Questo è, in pratica, quello che intendiamo come controllo dell’accesso.

Leggi anche:  Da Kaspersky una soluzione dedicata ai droni per salvaguardare privacy e sicurezza

L’ambiente domestico non è così: questi rigorosi livelli di autorità e approvazione non si applicano. Ovviamente ci sono un’infinità di discussioni: dibattiti sull’opportunità di alzare il riscaldamento, su quale musica sentire o come far entrare qualcuno in casa fanno parte della vita domestica. Il processo decisionale è più vago, fluido e basato su disposizioni sociali.

Ma presto, gli ambienti domestici “smart” avranno bisogno di un chiaro controllo degli accessi. Il caso d’uso per la tecnologia della smart home è in continua crescita: cartelle cliniche disponibili per i paramedici che arrivano in una casa per soccorrere una persona, persone estranee che avranno accesso alla casa per consegnare pacchi e portare i cani in passeggiata. Non è pensabile concedere a tutti coloro che entrano in casa – bambini, famiglia allargata, ospiti occasionali e tecnici – lo stesso livello di autorizzazione. È necessario mettere già ora le basi per il funzionamento di questi nuovi servizi.

Una soluzione a questo problema viene da un’area che ha già sviluppato metodi di controllo dell’accesso sulla base di relazioni sociali: i social network. Probabilmente avete già sperimentato questo controllo dell’accesso basato sulle relazioni (noto come ReBAC): Facebook chiede una doppia conferma sulla natura della relazione tra due persone (ti viene chiesto di confermare che qualcuno è un “amico” o “fratello”). Questo facilita quindi la politica di controllo degli accessi (“permetti a tutti gli amici di vedere le foto”). Le policy e le relazioni ci sono già. Alcuni esperti di sicurezza suggeriscono che questo possa risolvere il problema: basare il controllo dell’accesso alle smart home sulle relazioni dei social network. Gli “amici” sui social media sarebbero in grado di accedere a determinate applicazioni, la “famiglia” avrebbe accesso a più servizi e il coniuge/partner potrebbe accedere praticamente a tutto. Queste relazioni sarebbero semplicemente estratte dal tuo account Facebook.

Leggi anche:  In Italia cresce l’interesse per la cryptovaluta ma solo l’8% sa come funziona

Personalmente, questo mi fa sentire a disagio. Come ti sentiresti se il controllo dell’accesso alla tua smart home fosse basato sulle tue relazioni su Facebook? La mia opinione è che la natura delle relazioni delle persone sui social network può essere molto diversa dai livelli di fiducia associati alle persone nel mondo non digitale. La maggior parte delle persone non descriverebbe tutti i suoi amici online come amici “veri”. Inoltre, la fiducia pubblica nella sicurezza fornita da aziende come Facebook è diminuita in modo significativo a causa di una serie di violazioni dei dati di alto profilo.

Ma allora questa mancanza di fiducia nei social network (per via della privacy dei dati e della scarsa affidabilità nel descrivere i rapporti interpersonali) ostacolerà l’adozione di questo protocollo per la smart home? Non necessariamente.

L’approccio del controllo dell’accesso basato sulle relazioni rispecchia più da vicino la natura mutevole e imprecisa delle relazioni sociali. Basare l’accesso ai sistemi di smart home sui sistemi di social network risulta però scomodo e insicuro. Sarebbe possibile falsificare le richieste di amicizia – o “falsificare” i veri amici – allo scopo di ottenere l’accesso al social network di qualcuno e, quindi, iniziare ad accedere alla loro casa. Molti utenti intuirebbero questa debolezza e, di conseguenza, non lo considererebbero accettabile (e questo potrebbe potenzialmente danneggiare l’adozione della tecnologia della smart home).

Un modo per affrontare questo problema sarebbe di consentire al sistema di smart home di “apprendere” le autorizzazioni e le relazioni corrette dei vari utenti nel tempo. L’obiettivo sarebbe quello di rendere la smart home più in sintonia con le reali relazioni all’interno della casa. Questo crea inoltre il potenziale, per i fornitori di smart home, di sviluppare social network che rispecchino maggiormente la vera natura dei legami interpersonali.

Leggi anche:  Yandex, il Google russo, è stato hackerato