La piccola board ARM Raspberry Pi è una delle piattaforme più gettonate per la realizzazione di device IoT. La diffusione di dispositivi simili ha permesso l'avvio della rivoluzione dell'Internet of Things rendendo possibile a tutti l'acquisto di device altamente personalizzabili, con costi contenuti, e di dimensioni molto ridotte.
Tuttavia, con il diffondersi dei sistemi IoT, sono nate diverse nuove problematiche riguardo la sicurezza dei dati dell'utente; di ciò abbiamo già parlato in modo approfondito qualche tempo fa in un precedente articolo. Oggi vogliamo focalizzare l'attenzione sulla sicurezza dei progetti basati su Rasbperry Pi.
La scheda supporta vari sistemi operativi, tuttavia quasi tutte le applicazioni per sistemi IoT fanno riferimento a Linux, dunque buona parte dei problemi di sicurezza viene risolta grazie ai protocolli implementati nelle distribuzioni. Bisognerebbero però assicurarsi che la propria applicazione IoT venga sempre aggiornata automaticamente insieme al sistema, cosi da disporre di tutte le ultime patch di sicurezza.
Ma andiamo con ordine: la prima cosa da fare è sicuramente cambiare tutte le password di default dei programmi e del sistema. Successivamente bisogna tenere conto del tipo di dati che passano da Raspberry Pi alla Rete, se si tratta di informazioni molto sensibili bisogna assolutamente implementare l'uso della crittografia in modo da tutelare la propria piattaforma e gli utilizzatori.
Dopo di ciò è bene valutare anche che tipo di hardware si sta controllando e a quale device ha accesso Raspberry Pi. Telecamere, sensori, porte, e altri device per l'Home automation sono a rischio, ma anche la presenza di un semplice display può essere problematica. Un malintenzionato potrebbe prendere il controllo di uno schermo, facendo comparire a video qualsiasi contenuto. Oppure apprendere le abitudini dell'utente tramite telecamere e sensori per poi colpirlo quando è più vulnerabile.
Dunque il principale obbiettivo di ogni team che sviluppa applicazioni IoT per Raspberry Pi è ridurre la "attack surface" ovvero l'insieme dei possibili modi in cui il sistema può essere aggredito da un agente esterno. La superficie d'attacco è costituita da Rete, ingressi fisici, database, web API e gli stessi utenti con le loro abitudini.
In fase di testing del prodotto bisognerebbe simulare dei possibili attacchi remoti verso Raspberry Pi cosi da scoprire come il proprio software e le API reagiscono agli usi impropri. Inoltre è sempre bene mantenersi aggiornati con i principali siti di news e con le mailinglist delle distribuzioni, cosi da sfruttare patch e aggiornamenti di sicurezza appena disponibili.
In Rete esistono numerosi portali dedicati alla riduzione della superficie d'attacco; come ad esempio OWASP (Open Web Application Security Project), uno dei più interessanti con un'ampia documentazione a riguardo.
Esiste anche un'ultima possibilità per diminuire ancora di più il rischio di possibili attacchi esterni, ovvero scollegare Raspberry Pi da Internet. Un device IoT non sempre ha necessità di essere connesso h24, basterebbe pianificare la connessione unicamente per gli update del firmware. Una parte delle applicazioni di domotica sono utili solo quando ci si trova in casa e Raspberry Pi potrebbe operare unicamente all'interno della propria rete locale.
Via Ian Kluft
/https://www.html.it/app/uploads/2023/10/Raspberry-Pi.jpg)
/https://www.html.it/app/uploads/2023/09/RaspBerry5.png)
/https://www.html.it/app/uploads/2018/07/raspberry-pi%402x.png)
/https://www.html.it/app/uploads/2023/02/Coresight-Debug-Probe-800x267-1.png)