Controller smart home WiFi IoT per installazione fai-da-te

Controller smart home WiFi con architettura IoT per installazioni residenziali. Fonte: Wikimedia Commons, licenza CC.

L'aggiunta di dispositivi connessi a una rete domestica introduce nuove variabili dal punto di vista della sicurezza informatica. Molti dispositivi IoT consumer vengono prodotti con configurazioni predefinite non ottimali: password di fabbrica identiche per tutti gli esemplari, firmware che non si aggiorna automaticamente, comunicazioni non cifrate verso server del produttore.

Non si tratta di scenari teorici: le ricerche pubblicate da ENISA (Agenzia dell'Unione europea per la cybersicurezza) documentano vulnerabilità ricorrenti in questa categoria di dispositivi. Un approccio strutturato alla configurazione riduce concretamente la superficie di attacco.

Rete IoT separata dalla rete principale

La misura più efficace per limitare l'impatto di un dispositivo compromesso è la segmentazione della rete. I router di fascia media e alta supportano la creazione di reti guest o VLAN (Virtual Local Area Network) che isolano il traffico dei dispositivi IoT dalla rete principale dove operano computer, smartphone e NAS.

Come configurare una rete IoT separata

  1. Accedere all'interfaccia di amministrazione del router (tipicamente all'indirizzo 192.168.1.1 o 192.168.0.1).
  2. Creare una rete Wi-Fi aggiuntiva (SSID separato) o, se supportato, una VLAN dedicata ai dispositivi IoT.
  3. Abilitare il client isolation sulla rete IoT: questa opzione impedisce ai dispositivi della stessa rete di comunicare tra loro, limitando la propagazione interna in caso di compromissione.
  4. Configurare le regole firewall del router per bloccare il traffico dalla rete IoT verso la rete principale. Permettere solo le connessioni necessarie (ad esempio, quella tra il server Home Assistant e i dispositivi).

Router consumer diffusi in Italia come Fritz!Box (AVM) e alcuni modelli di TP-Link e ASUS supportano la creazione di reti guest con isolamento. Verificare la disponibilità di queste funzionalità nelle impostazioni del proprio dispositivo.

Gestione delle credenziali

I dispositivi IoT vengono spesso forniti con password di amministrazione predefinite (admin/admin, root/root o varianti simili). La modifica delle credenziali predefinite deve essere effettuata prima di collegare il dispositivo alla rete domestica.

Criteri pratici

  • Utilizzare password distinte per ogni dispositivo o categoria di dispositivi, evitando la riutilizzazione delle stesse credenziali della rete principale.
  • Se il dispositivo supporta l'autenticazione a due fattori (2FA) per l'accesso all'app o al pannello web, abilitarla.
  • Per i dispositivi gestiti tramite account cloud del produttore, controllare le impostazioni sulla condivisione dei dati e le opzioni di accesso remoto. Disabilitare l'accesso remoto se non necessario.

Aggiornamenti firmware

Il firmware è il software che controlla il funzionamento del dispositivo. Gli aggiornamenti firmware correggono vulnerabilità di sicurezza identificate dopo la distribuzione del prodotto. Mantenere il firmware aggiornato è una delle misure più semplici ed efficaci per ridurre il rischio di sfruttamento di vulnerabilità note.

Automazione degli aggiornamenti

Alcuni dispositivi offrono l'aggiornamento automatico del firmware. Dove disponibile, questa opzione è generalmente consigliata per le abitazioni domestiche. Per chi utilizza Home Assistant come hub centrale, il componente HACS (Home Assistant Community Store) include strumenti per monitorare la disponibilità di aggiornamenti per i dispositivi integrati.

Per i dispositivi che non si aggiornano automaticamente, è utile impostare un promemoria periodico per verificare la disponibilità di nuove versioni firmware sul sito del produttore.

Dispositivi con firmware di terze parti

Una pratica diffusa tra gli utenti più tecnici è la sostituzione del firmware originale con alternative open source come Tasmota o ESPHome, disponibili per una vasta gamma di dispositivi basati sul chip ESP8266 e ESP32. Questi firmware eliminano la dipendenza dai server cloud del produttore e permettono una gestione completamente locale.

Questa opzione richiede competenze tecniche nella fase di installazione (flashing) e non è adatta a tutti gli utenti. È opportuno verificare la compatibilità del dispositivo specifico prima di procedere.

Riferimento normativo europeo

Il documento ENISA "Baseline Security Recommendations for IoT" fornisce un quadro di riferimento per la sicurezza dei dispositivi connessi. Alcune delle raccomandazioni contenute in quel documento (cambio delle credenziali predefinite, aggiornamento del firmware, segmentazione della rete) sono le stesse descritte in questa guida.

Il Cyber Resilience Act europeo, entrato in vigore nel 2024, introduce obblighi di sicurezza per i produttori di dispositivi connessi immessi nel mercato UE. Nei prossimi anni, i requisiti di sicurezza sui dispositivi IoT consumer dovrebbero aumentare progressivamente.

Riferimenti: ENISA — Agenzia dell'UE per la cybersicurezza, Tasmota — documentazione.