Il malware arriva a domicilio

Si chiama BADBOX 2.0 ed è l’ennesima dimostrazione che un eccesso di fiducia nei dispositivi “intelligenti” è spesso una cattiva idea. Secondo l’FBI, milioni di device connessi alle reti domestiche, dai proiettori digitali alle cornici per foto, passando per sistemi di infotainment per auto, sarebbero già compromessi prima ancora di essere acquistati dagli utenti. Il malware presente sul dispositivo non è figlio del solito improvvido click dell’utente, ma è incorporato direttamente nel dispositivo.

Il punto, quindi, non è più soltanto un certo livello di attenzione nella navigazione sul web e nella gestione dei nostri sistemi di messaggistica e comunicazione. Il punto è che non c’è nulla da cliccare per infettarsi: il danno è fatto a monte, nella fase di fabbricazione o distribuzione, spesso in dispositivi prodotti in Cina e venduti poi in tutto il mondo. Il fatto che si tratti di una versione 2.0 ci dice che prima esisteva una versione 1.0 e questa è l’evoluzione della precedente. In effetti i criminali hanno migliorato il loro prodotto aggiungendo una nuova feature. Durante il setup iniziale del dispositivo viene richiesto di scaricare una app, magari attraverso un marketplace non ufficiale ma perfettamente integrato nella logica d’uso del dispositivo. L’utente segue le istruzioni, obbedisce, scarica, installa e il gioco, quello dei criminali, è fatto.

Questa dinamica pone una nuova questione. Certo, leggere prima di cliccare resta una buona regola, ma non basta. Non serve a niente quando il pericolo arriva confezionato all’interno del prodotto stesso, in un packaging colorato e pure con uno sconto, forse un po’ troppo alto. È la normalità dell’inganno che dovrebbe farci riflettere. Il pericolo non viene più soltanto da ciò che facciamo, ma da ciò che possediamo.

Se vi chiedete cosa se ne fanno i criminali di tanti oggetti, la risposta è semplice: creano una botnet ovvero un insieme di centinaia di migliaia di oggetti che possono controllare per scatenare, per esempio, attacchi DDoS, quelli che bloccano servizi e siti accessibili online.  Le nostre case stanno diventando silenziosamente parte di botnet criminali usate per condurre attacchi informatici su larga scala, per cui la nostra rete domestica sta divenendo un anello inconsapevole di una catena criminale globale.

Serve allora un cambio di paradigma. Dobbiamo smettere di pensare i dispositivi smart come estensioni comode e innocue della nostra vita quotidiana. Sono nodi sensibili, strumenti potenti che, se manomessi, non ci espongono solo a un problema tecnico ma a una violazione strutturale del nostro spazio privato. L’illusione è credere che siano “cose nostre”. In realtà, se compromessi, non ci appartengono più.

La vera sfida, dunque, non è più proteggere le nostre password, ma ripensare l’intera filiera di fiducia che ci lega ai dispositivi che portiamo nelle nostre case. E forse anche accettare un’amara verità: non siamo più solo noi a scegliere gli strumenti. Inizia a diventare sempre più chiaro che, talvolta, sono gli strumenti a scegliere noi.