TL;DR Ancora oggi la rischiosa abitudine di esporre sulla Rete impianti di videosorveglianza mette a repentaglio la privacy dei cittadini, spesso a loro insaputa. Individuati in Italia oltre 1800 “occhi elettronici” installati senza rispettare le normative e le misure tecniche minime di protezione.
È ormai passato qualche anno da quell’articolo sul sito web insecam.org, dove vengono indicizzate le webcam e telecamere di sorveglianza lasciate esposte pubblicamente sulla Rete. Ancora oggi attivo, per l’Italia all’epoca contava oltre 1000 telecamere esposte. Ad oggi siamo a oltre 600, un numero sempre molto alto e preoccupante.
A preoccupare, tuttavia, sono anche i risultati di alcune query mirate sul motore di ricerca shodan.io, che restituiscono, per l’Italia, un totale di 1817 flussi RTSP, Real-Time Streaming Protocol, porta TCP assegnata 554, usate dalle telecamere e webcam per lo streaming audio e video di quanto ripreso.
Nel catalogo dei risultati c’è di tutto, dalle riprese di esterni di abitazioni e fabbriche ai locali interni di abitazioni private, talvolta con i loro abitanti. Un occhio elettronico che, esposto inconsapevolmente in Rete (pensando che “ma tanto ma chi vuoi che vada a vedere!“), rappresenta una violazione pesantissima della nostra intimità e privacy.
Anche se non è facile individuare con precisione la posizione di queste telecamere, talvolta le riprese consentono anche l’identificazione precisa del luogo, magari grazie a una insegna, alla targa di una vita o a qualche altro elemento che permette di geolocalizzare l’origine del flusso video.
È stato molto semplice recuperare queste immagini, originate da telecamere esposte su Internet senza alcuna protezione: è bastata, come dicevo, una banale query su shodan.io per recuperare oltre 1000 sorgenti di flussi video provenienti da altrettanti occhi elettronici.
Non sorprende vedere in vetta alla classifica delle città metropoli come Roma, Milano e Napoli. Sorprende e preoccupa, però, la facilità con cui vengono installate telecamere di sorveglianza senza alcuna protezione, alla mercé di chiunque abbia un minimo di capacità tecnica e curiosità per scovarle.
È necessario, pertanto, aumentare la consapevolezza che ciò che esponiamo in Rete diventa, automaticamente, raggiungibile. I crawler dei motori di ricerca, che pattugliano continuamente Internet, scoprono e indicizzano un nuovo server o servizio nel giro di pochissimi minuti, rendendolo quindi –se non adeguatamente protetto– individuabile e sfruttabile.
Non aiuta ma, anzi, offre un falso senso di sicurezza, pensare che cambiare la porta TCP sia sufficiente: il principio del security through obscurity non ha mai funzionato molto bene, men che mai di questi tempi!
Avere un impianto di videosorveglianza, quindi, anche se “amatoriale“, comporta una grande responsabilità. Sia nei confronti propri che dei propri familiari, clienti, amici e cittadini in generale. Non sono mancate, a tal proposito, anche sanzioni importanti a carico di negozi e cittadini per aver installato impianti senza adeguarli alle normative vigenti.
È pertanto fondamentale assicurarsi di rispettare le normative attuali in materia di videosorveglianza, come indicato dal Garante della Privacy, nonché assicurarsi che siano messe in atto tutte le misure tecniche necessarie a garantire la sicurezza dell’impianto e dei dati generati.
Alcuni consigli a tal proposito sono:
- non esporre mai l’interfaccia della telecamera/webcam in Rete, soprattutto con IP pubblico, e non attivare il “port forwarding” sul router;
- implementare un sistema NVR autonomo e non direttamente connesso alla Rete ma sfruttare la tecnologia VPN per garantirsi un accesso sicuro e protetto al sistema quando si è fuori casa;
- evitare l’uso di piattaforme “cloud” di dubbia sicurezza;
- impostare sempre password sicure per tutti i dispositivi connessi in Rete, sia telecamere che NVR;
- affidatevi a consulenti specializzati in ambito cybersecurity per verificare la sicurezza del vostro impianto di videosorveglianza e proteggervi da fughe di dati non desiderate;
Nella speranza di aver contribuito a fornire maggiore consapevolezza sui rischi, sia legali che tecnologici, in merito alla videosorveglianza, vorrei sottolineare che le immagini pubblicate in questo post sono state recuperate senza la necessità di alcun accesso diretto a queste telecamere, essendo pubblicamente disponibili sul Web.