Cybersecurity per makers: minacce reali nei progetti connessi

La sicurezza nei progetti maker non è più un optional. I dispositivi connessi, anche quelli autocostruiti o destinati all’uso hobbistico, sono oggi parte di reti reali, esposti a rischi concreti e, talvolta, sfruttati in modo inconsapevole per attività malevole. Chi progetta sistemi connessi, anche dalla propria cameretta o tra le pagine di un blog tecnico, ha una responsabilità implicita: quella di non contribuire, anche involontariamente, all’insicurezza globale della rete. Fortunatamente, oggi esistono strumenti open-source, librerie robuste, ambienti di sviluppo maturi e risorse accessibili per costruire dispositivi più sicuri senza costi aggiuntivi e con un minimo impatto sul ciclo di sviluppo. In questo articolo, andremo ad affrontare alcuni aspetti e concetti base di cybersecurity, osservando le buone pratiche di progettazione e una checklist base per rendere più sicuri i nostri progetti.

Introduzione

Negli ultimi anni, i progetti elettronici fai-da-te hanno fatto un salto enorme grazie all’evoluzione tecnologica e all’hardware low-cost disponibile sul mercato. Infatti, bastano pochi componenti, una scheda ESP32 e qualche riga di codice per realizzare sensori connessi, automazioni, dispositivi indossabili o centraline che comunicano, Bluetooth o Wi-Fi. Una rivoluzione silenziosa che ha avvicinato migliaia di makers al mondo dell'Internet of Things. Purtroppo, connesso non vuol dire sicuro, anzi la connettività incrementa notevolmente i rischi, e troppo spesso questi ultimi sono sottovalutati da chi realizza progetti. Dal punto di vista della cybersecurity, la questione non è se un dispositivo sia interessante per un attaccante.

La realtà è che ogni oggetto connesso, anche il più banale, può diventare un punto d’ingresso per tutta la rete.

Anche semplicemente un relè Wi-Fi installato in casa, se configurato in maniera errata, può finire esposto su Internet e concedere una porta di accesso aperta ai malintenzionati. Anche se consideriamo un’app per controllare le luci via Telegram, questa può rivelare token e API in chiaro. Una telecamera artigianale costruita con un Raspberry e un web-server improvvisato può trasformarsi in una finestra aperta sulla propria vita. Succede ogni giorno, spesso senza che chi ha realizzato il progetto se ne accorga.

Un altro fattore di enorme rischio è la frequenza con cui molti makers pubblicano con entusiasmo il proprio codice su GitHub, condividono schemi e firmware, ma dimenticano di rimuovere le credenziali, i certificati, le chiavi. Questo, spesso capita anche nei tutorial, nei forum e nei progetti open-source. Non c'è malizia, solo inesperienza nel valutare il rischio. Purtroppo, l'effetto è lo stesso: porte aperte disponibili per i malintenzionati, e quindi, quello che per noi è un passatempo creativo può diventare un problema serio.

Con questo articolo andremo ad analizzare le minacce concrete nei progetti connessi fai-da-te, partendo da casi realmente accaduti, errori comuni e cattive pratiche che circolano online.

[...]

ATTENZIONE: quello che hai appena letto è solo un estratto, l'Articolo Tecnico completo è composto da ben 2071 parole ed è riservato agli ABBONATI. Con l'Abbonamento avrai anche accesso a tutti gli altri Articoli Tecnici che potrai leggere in formato PDF per un anno. ABBONATI ORA, è semplice e sicuro.