Va evidenziata la scarsa formazione di queste persone. Scarsa formazione sia in relazione ai rischi cyber in generale, sia al fatto che uno smartwatch è, a tutti gli effetti, un computer.
Nei giorni scorsi è apparso sul sito della CNN, e ripreso da diverse testate giornalistiche anglosassoni, la notizia che il US Naval Criminal Investigative Service sta effettuando indagini dopo aver scoperto che diversi militari americani hanno ricevuto per posta ordinaria degli smartwatch.
Smartwatch, ovviamente, non richiesti né comprati ed in assenza (a quanto riportato negli articoli) di una chiara indicazione di chi sia il mittente di questi gentili presenti.
Smartwatch che hanno capacità di collegarsi automaticamente alla rete wifi e allo smartphone del fortunato destinatario del regalo, acquisendo in questo modo tutta una serie di informazioni. L’articolo fa menzione che questo avviene perché lo smartwatch potrebbe avere pre-installato un malware in grado di acquisire fraudolentemente queste informazioni.
Il condizionale è d’obbligo, sia perché non sono presenti informazioni da fonti ufficiali, ma soprattutto perché gran parte delle informazioni sensibili di cui si parla nell’articolo possono essere raccolte dallo Smartwatch in modo “legittimo” qualora l’utente, nella fase di configurazione, accetti che il dispositivo abbia accesso a tali risorse (ad esempio accesso alla rubrica telefonica, alla mail, alla fotocamera, al microfono, ecc.). Ovviamente anche in questo secondo caso l’aggettivo “legittimo” è usato in modo improprio perché siamo in ogni caso in presenza di un reato che, più correttamente nel nostro codice penale avremo indicato con l’articolo 643 cdel Codice Penale. Ovvero: “circonvenzione di incapace”.
Sembrerebbe quanto meno sorprendente che qualcuno che opera in contesti in cui il tema della sicurezza è un elemento fondamentale riceva un dono non richiesto, da un mittente ignoto e non solo lo accetta, lo accende e per di più autorizza il dispositivo a prendere il controllo di uno o più risorse del proprio smartphone.
Non un caso unico, è successo più volte
Eppure a leggere l’articolo della CNN questo è successo, ed è successo più volte.
Sarebbe quasi da aspettarsi che gli stessi autori dei pacchi-dono di oggi, domani inviassero pacchi dono con smartphone, PC portatili o addirittura server aziendali tutti rigorosamente già pre-caricati con software in grado di fornire a queste azioni di generosità quell’auspicato ritorno in termini di acquisizione illegittima di informazioni e dati.
A parte le iperboli, è interessante soffermarci sul perché di reazioni così sorprendenti. L’articolo della CNN punta il dito sui bassi livelli di salario dei militari che hanno ricevuto il dono e che quindi sono stati ben contenti di poter avere a disposizione un gadget che altrimenti era proibitivo per le loro finanze.
Il fattore umano è e resta l’elemento fondamentale da cui far partire ogni strategia di cyber security
Io penso che, in aggiunta a ciò, va evidenziata la scarsa formazione di queste persone. Scarsa formazione sia in relazione ai rischi cyber in generale, sia al fatto che uno smartwatch è, a tutti gli effetti, un computer. Per molti di essi lo smartwatch è un orologio, con molte più funzioni, ma pur sempre un orologio. Ed un orologio non ha problemi di cybersecurity. Purtroppo, non vi è ancora la cultura che tutti gli oggetti smart, e più in generale i dispositivi IoT, sono dei veri e propri computer e come tali potenziali vettori di minacce cyber.
Per altro uno smartwatch è un oggetto dotato di autonoma capacità localizzazione, registrazioni di suoni e connettività, per cui anche senza connettersi allo smartphone del destinatario può raccogliere informazioni nell’ambito dell’ambiente di lavoro che potrebbero essere di interesse per molti soggetti.
Questo episodio degli smartwatch regalati a loro insaputa, è emblematico della necessità e della urgenza di investire maggiormente in formazione ed awareness. Il fattore umano è e resta l’elemento fondamentale da cui far partire ogni strategia di cyber security.