È possibile che un sistema pensato per proteggerci da intrusioni e violazioni della nostra sfera personale si trasformi in uno strumento per violare quegli stessi spazi che vorremmo difendere? Nel caso dei sistemi di videosorveglianza accade fin troppo di frequente.

Oltre ai recenti casi di cronaca, tra i quali spicca l’individuazione di un portale che consente di acquistare in maniera fraudolenta l’accesso a migliaia di videocamere connesse su Internet che mostrano aree “sensibili” delle abitazioni in cui sono installate, ci sono numerosi precedenti in cui le IP-camera sono state vittima di attacchi informatici che hanno permesso di accedervi e addirittura sfruttarle per alimentare le botnet gestite dai cyber criminali.

“Per comprendere quali siano gli aspetti da considerare per gestire in sicurezza questo tipo di dispositivi è necessario considerare due prospettive diverse. La prima è quella dell’installazione dei sistemi di videosorveglianza, la seconda quella relativa alla gestione a livello di cyber security” spiegano gli esperti di Cittadini dell’Ordine (CDO), gruppo che ha recentemente ampliato il suo orizzonte per creare una sinergia tra sicurezza fisica e sicurezza informatica.

Tutti i problemi delle videocamere connesse al Web

All’interno del settore IoT, le videocamere rappresentano il più evidente “anello debole” nella catena della sicurezza informatica. Le ragioni sono note: nella prima fase della diffusione di questo tipo di dispositivi, concetti come quello della “security by design” erano ben lontani dal rappresentare uno standard.

Negli ultimi anni, gli esperti di sicurezza hanno lanciato numerosi allarmi riguardanti sia la diffusa presenza di backdoor non documentate, sia l’utilizzo di credenziali predefinite che mettono a rischio la sicurezza dei dispositivi e, infine, una scarsa attitudine a rilasciare gli aggiornamenti che correggono le vulnerabilità.

“Alla base delle violazioni di questo tipo di solito ci sono delle vulnerabilità piuttosto banali, spesso accompagnate da una scarsa attenzione nell’impostazione e nella gestione dei dispositivi” spiega Eugenio Cavina, cybersecurity consultant di CyberLoop, gruppo CDO. “I problemi si verificano sia nell’ambito domestico, sia in quello aziendale. Per mitigare i rischi è sufficiente adottare alcune best practice che consentono di mettere in sicurezza i sistemi”.

Sotto il profilo degli aggiornamenti, sottolinea l’esperto, è indispensabile avere la consapevolezza che i produttori spesso adottano logiche di obsolescenza programmata. Dopo qualche anno, di conseguenza, è possibile che il prodotto non goda più di un livello di assistenza adeguato e sia quindi necessario cambiarlo.

La scelta del produttore viene sottolineata come fondamentale da Nicola Santoro, presidente di Sicurtecnica srl (gruppo CDO) ed esperto nell’installazione di impianti di videosorveglianza. “Chi ha a cuore la sicurezza dovrebbe per prima cosa selezionare i prodotti sulla base delle caratteristiche del produttore. È indispensabile rivolgersi ad aziende che forniscano un’assistenza puntuale”, sottolinea.

“Soprattutto in ambito domestico, dove spesso ci si rivolge a dispositivi di fascia bassa a livello di costo, è indispensabile avere una buona conoscenza delle aziende che operano nel settore e scegliere solo i migliori, individuando il miglior rapporto qualità/prezzo”.

Dall’ambiente domestico a quello aziendale: le precauzioni indispensabili

Gli aspetti più rilevanti secondo l’esperto di sicurezza informatica di Cyberloop riguardano le modalità di accesso al dispositivo. “È indispensabile modificare le credenziali predefinite di accesso” sottolinea Cavina.

Fondamentale, inoltre, l’utilizzo di password complesse con una lunghezza di almeno 14 caratteri e l’uso di maiuscole, minuscole, numeri e caratteri speciali e dove possibile l’attivazione di secondo fattore di autenticazione.

Nicola Santoro sottolinea un ulteriore aspetto legato all’accesso alle videocamere. “Come policy, evitiamo di utilizzare le piattaforme cloud messe a disposizione dai produttori per accedere ai device. Meglio prevedere delle connessioni dirette, che mettono al riparo da eventuali violazioni che interessano i sistemi del fornitore”.

In altre parole, la strategia suggerita si ispira a una fondamentale regola della cyber security: ridurre la superficie di attacco limitando il numero di soggetti coinvolti nella sua gestione.

I due esperti del gruppo CDO concordano sull’attenzione necessaria nell’implementazione dei sistemi di sorveglianza. “Tra le buone pratiche c’è sicuramente quella che prevede di non esporre su Internet il dispositivo, utilizzando in ambiente domestico una VPN, mentre in ambito aziendale è fondamentale prevedere una segmentazione della rete in modo che il circuito di videosorveglianza sia segregato rispetto al resto dell’infrastruttura IT, prevedendo in ogni caso l’uso di credenziali per l’accesso, anche se le videocamere sono accessibili solo dalla rete locale” spiega Cavina.

Nel caso in cui i dispositivi siano accessibili da Internet, infine, Cavina suggerisce di prevedere un sistema di whitelist basato sugli indirizzi IP che permetta la connessione solo a utenti identificati. “Prevedere in anticipo un elenco specifico di chi si può connettere elimina all’origine il problema di bloccare collegamenti non autorizzati” sottolinea.

Nell’ambito domestico, Nicola Santoro spiega di adottare un approccio rigoroso. “Una delle precauzioni che adottiamo è quella di installare i sistemi di videosorveglianza utilizzando un router dedicato con collegamento tramite SIM” spiega. “In questo modo separiamo nettamente le videocamere dalla rete locale e riduciamo i potenziali rischi di intrusione”.

Una questione di buon senso

Sul caso specifico legato alla violazione sistemica dei sistemi di videosorveglianza domestici, che negli ultimi mesi hanno provocato grande allarme, molti esperti hanno sottolineato un aspetto raramente preso in considerazione: il posizionamento delle videocamere.

Se l’obiettivo dei sistemi di sorveglianza è quello di individuare eventuali tentativi di intrusione nelle abitazioni, infatti, installare videocamere all’interno dei locali ha ben poco senso.

“Per proteggere la propria abitazione è sufficiente controllare le aree esterne e i punti di accesso” conferma Santoro. “Purtroppo, in alcuni casi ci si trova di fronte a richieste che vanno oltre questo obiettivo e che sono spesso dettate da un eccessivo desiderio di controllo”.

Un eccesso, che in caso di intrusione da parte di cyber criminali, si trasforma in un clamoroso boomerang ed espone a gravissime violazioni della privacy.

Articolo realizzato in collaborazione con CDO – Cittadini dell’Ordine.