Durante un corso di sicurezza informatica una partecipante mi ha chiesto: "Ma perché mai dovrebbero voler entrare nel mio PC? Non sono certo una persona speciale che susciti interesse."
Con il tempo ho scoperto che questa convinzione è più diffusa di quanto sembri.

Nel 2005, mi pare fosse quell'anno, avevamo installato sui nostri cellulari Nokia (io avevo un 6600) un programma che sfruttava una vulnerabilità Bluetooth.
Era di una semplicità disarmante e qualsiasi idiota avrebbe potuto usarlo.
Un click per cercare dispositivi con il BT attivo.
Un click per attaccare.
Se l'attacco aveva successo, scaricava rubrica telefonica, foto e SMS.
Devastante.

E, occasionalmente, anche imbarazzante. Durante una delle tante prove sul mio telefono vennero scaricate una serie di foto porno.
Guardai le due protagoniste e mi bastò girare la testa per scoprire che erano sedute al ristorante di fianco al nostro tavolo.

Non bucavamo per hobby: stavamo conducendo una ricerca per determinare la percentuale di dispositivi vulnerabili.
Parliamo di telefoni di una generazione obsoleta, eppure era già possibile sferrare attacchi devastanti.
Con le tecnologie attuali aumenta la complessità dei programmi, e quindi la probabilità che siano presenti bug di sicurezza.

A questo dettaglio dobbiamo aggiungere l'esperimento di Milgram apparso su Psychology Today: la celebre ipotesi dei sei gradi di separazione.
Avere a disposizione quante più macchine bucate aumenta la possibilità di arrivare a VIP.
A un attaccante "serio" può non interessare avere accesso al telefono di Kevin Costner, ma quello di Trump o Vance a quanti fa gola?

Se i sei gradi di separazione funzionano con le persone, con le macchine come funzionano?
Nel 1997 o 1998 bucai una macchina in Spagna. Era il server di un'università.
Sniffando il traffico trovai le credenziali di un utente che ci si collegava dal Messico.
Entrai quindi nella macchina del messicano, installai uno sniffer e scoprii le credenziali per accedere al CERN di Ginevra.
Tre gradi di separazione per entrare nel dipartimento di matematica del CERN.

Se ogni dispositivo "smart" è potenzialmente un launchpad per attacchi di ogni tipo, i dispositivi "dumb" connessi alla rete possono essere ancora più golosi.
Agli inizi degli anni 2000 mi avevano commissionato un programma per scansionare Internet alla ricerca di Dreambox buttate online (dbox che non stavano dietro un firewall).
I Dreambox sono degli stupidissimi decoder che avevano la peculiarità di non loggare niente.
Avevo creato un programma che usava expect per provare le password di default, entrare, installare un determinato software, cambiare la password di default con una nostra e notificare "un altro dbox ($ip) è nostro".
Erano degli anonimizzatori meravigliosi per sferrare attacchi ovunque.

La sicurezza informatica non è uno scherzo.
Non siate ingenui nel considerarvi "non interessanti", perché qualunque dispositivo può essere utile. Basta un po' di fantasia.
E molti hacker (etici e non) sono fantasiosi, intelligenti e determinati a raggiungere i propri obiettivi.

A un attaccante non interessate voi.
Gli interessa quante porte aperte avete.