Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

Una scoperta, una morte sospetta e una teoria cospiratoria. Sono i tre elementi iniziali di questa storia, che riguarda l’ i nternet-of-things , l’insieme di oggetti di uso comune connessi a internet: l’internet delle cose, quindi, non solo quello dei computer e dei telefonini; una giungla di dispostivi (dalle auto ai termostati, dai tostapane ai pacemaker) aggrappati alla Rete per comodità e — così recita la promessa iniziale — per sicurezza. Un termine coniato nel 1999 dal britannico Kevin Ashton e sviluppato nel corso degli anni sulla base di una precisa visione del futuro: «Se avessimo computer che sanno tutto quello che c’è da sapere riguardo le cose — scrisse l’informatico — usando dati da loro raccolti senza il nostro intervento, potremmo registrare e quantificare qualsiasi cosa, riducendo lo spreco di tempo e risorse».
Negli ultimi anni l’idea ha cominciato a diventare realtà (Google per esempio ha comprato per 3,2 miliardi di dollari Nest, un termostato intelligente creato da Tony Fadell, designer dell’iPod, ma le acquisizioni nel settore casalingo sono solo cominciate) e tra le «cose» assorbite dal web si contano anche molti apparecchi medici tra cui i citati pacemaker e i microinfusori di insulina per diabetici. Dispostivi che in tal modo possono operare meglio e più facilmente, conoscendo in modo più approfondito il paziente che servono.
Peccato che tanta semplicità nasconda delle insidie. Nell’agosto 2011 Jay Radcliffe si occupava di sicurezza digitale per conto dell’Ibm: diabetico e portatore di un microinfusore per insulina, mise alla prova la sicurezza della macchina, scoprendo notevoli falle all’interno del sistema. Lo stesso sentiero fu seguito dall’hacker neozelandese Barnaby Jack quando nel luglio del 2013 annunciò di aver capito come collegarsi a un pacemaker, modificandone il funzionamento e uccidendone il portatore. Il tutto a 90 metri di distanza dalla potenziale vittima. Un annuncio che fece scalpore e creò un’enorme attesa per la sua dimostrazione, che si sarebbe dovuta tenere a fine luglio 2013 in occasione dell’annuale conferenza per hacker «Black Hat». E a questo punto arriviamo alla morte sospetta: pochi giorni prima dell’evento, Jack fu trovato morto nel suo appartamento, una tragedia inspiegabile che ha dato vita a molte teorie del complotto secondo le quali l’hacker sarebbe stato eliminato dalla Cia o dall’Fbi prima che potesse svelare la sua scoperta.

Ma non è di complottismo che vogliamo parlare qui, perché l’ultimo report sul crimine online della polizia europea Europol ( The Internet Organised Crime Threat Assessment 2014 ) è tornato sull’argomento «morte da internet» ricordando che «case, automobili e smart cities hanno alla base programmi software che possono essere attaccati e spesso non sono progettati tenendo conto della loro sicurezza».
Nascosto nel quarto capitolo, dal titolo «Il futuro è già qui», si può leggere anche un monito minaccioso che riguarda il nostro futuro: «Con l’aumentare degli oggetti connessi a internet, possiamo aspettarci di assistere a un maggior numero di attacchi a sistemi nuovi ed emergenti, incluse nuove forme di ricatto ed estorsione» (come il ransomware , in cui degli hacker rubano dati personali per chiedere un riscatto ai loro proprietari). Non solo furto di dati, però, «anche danni fisici e possibili morti», conclude la ricerca di Europol, confermando la convinzione diffusa secondo cui manca ormai pochissimo al primo omicidio via internet: la società di cybersicurezza Idd ritiene che si consumerà entro la fine del 2014. Si tratta di uno scenario plumbeo che sembra ispirato a un film. E in qualche modo è proprio così: nella seconda stagione di Homeland , serie statunitense sulla lotta al terrorismo, un gruppo eversivo uccide il vicepresidente americano hackerando il suo pacemaker e causandogli un infarto. Un colpo di scena che allo spettatore medio sarà apparso scientificamente non provato («un’americanata») ma che dipinge uno scenario che ora Europol definisce nel suo report «preoccupante». Reale. C’è addirittura un precedente storico di cui gli autori della serie non potevano sapere, visto che è stato svelato solo nel 2013 dalla trasmissione statunitense 60 minutes : nel 2007 l’allora vicepresidente Dick Cheney si sottopose in gran segreto a un’operazione per eliminare dal suo pacemaker la possibilità di comunicare a distanza con altri dispositivi. Il timore di Cheney era che un terrorista potesse assassinarlo in modalità wireless, senza lasciare indizi né impronte, colpendo direttamente il suo cuore.
L’«omicidio via internet» alla Homeland non è però l’unica minaccia legata all’ internet-of-things : ce n’è un’altra più banale e diffusa, in cui il vecchio furto di dati viene declinato alla luce della messa in Rete di sempre più apparecchi. Torniamo al ransomware , la richiesta di riscatto per dati personali, e immaginiamola applicata ai dati personali conservati da molte istituzioni mediche come ospedali, centri di ricerca e cause farmaceutiche, tutte nuove «cose» che ora sono connesse a internet: secondo i calcoli del Ponemon Institute il 94% delle strutture mediche statunitensi sostengono di essere state vittime di cyberattacchi; un altro studio di Barbara Filkins del Sans Technology Institute ha scoperto che spesso «l’adesione alle norme di sicurezza in vigore non assicura protezione» dai cyberattacchi.
Serve di più, molto di più, anche perché «a differenza delle truffe e dei furti legati all’ecommerce, reati per i quali gli utenti sono protetti, nel campo medico i consumatori sono responsabili dei costi legati alla manomissione dei dati dell’assicurazione». Un giro d’affari, continua Filkins, che «nel 2013 ha superato 12 miliardi di dollari». Salute, problemi fisici, informazioni personali e fiscali, dettagli privati: ogni database medico contiene un’infinità di informazioni sensibili che può trasformarsi in un tesoro per un «mercato nero» dei dati. Basta guardare i prezzi: il valore di un’identità medica completa (ovvero tutti quei dati personali di una persona che posso usare per pagare un trattamento con un’assicurazione altrui) è di circa duemila dollari a unità, molto di più rispetto a quello dei dati relativi a una carta di credito «rubata» su internet. È un nuovo business «molto gratificante» per i delinquenti, spiega lo studio del Sans Technology Institute.
Ma che c’entra l’internet delle cose in tutto questo? C’entra eccome, visto che la maggior parte di questi attacchi è stata perpetuata tramite macchine per le radiografie e altri macchinari medici connessi al web, e quindi falle di un sistema che dovrebbe essere inespugnabile.
Il caso più citato nel settore è quello di Anndorie Sachs, cittadina statunitense che nel 2010 ha rischiato di perdere la custodia dei suoi figli dopo essere stato accusata di aver dato alla luce un bimbo risultato positivo alle metanfetamine. Sachs rispose alle accuse spiegando che erano passati due anni dalla nascita del suo ultimo figlio e alla fine si scoprì che la donna era stata vittima di un furto d’identità.
L’ i nternet-of-things viene spesso dipinto come una tecnologia in grado di sapere sempre di cosa abbiamo bisogno e di permetterci di regolare qualsiasi nostro oggetto — dal condizionatore al microonde — anche a distanza. Per farlo dobbiamo semplicemente collegare le nostre cose al web, quello stesso web che recentemente ci ha regalato lo scandalo delle foto nude di molte celebrità «rubate» dai loro account iCloud e che da decenni mette a rischio un mare di informazioni personali.
Come fare quindi? La soluzione sta nelle radici del problema stesso: come dimostrato da Filkins la gran parte delle organizzazioni interessate (il 50%), dalle case farmaceutiche agli ospedali, non hanno fatto nulla per migliorare la sicurezza dei loro apparecchi. Eppure sempre più apparecchi medici vengono connessi a internet, comodi ed efficenti, aumentando la dimensione e l’attrattiva di una Rete zeppa di documenti personali e preziosi. Il pericolo di un infarto causato da un hacker tramite pacemaker esiste, certo, ma sembra un’eventualità più remota, un atto estremo, mentre la salvaguardia delle informazioni personali legate a milioni di persone dovrebbe essere la priorità. L’allarme Europol l’ha lanciato.

PIETRO MINTO