Trovo che sia davvero incredibile come nel 2021 debba ancora parlare delle telecamere di sicurezza e del loro uso abbastanza disinvolto.
Ho affrontato quest’argomento più di quindici anni fa e nemmeno ricordo su quale sito/piattaforma o blog ne scrissi ma già all’epoca sottolineavo il fatto che certe videocamere non potevano definirsi di sicurezza se le immagini catturate finivano costantemente sul Web, pur riprendendo ambienti che sarebbero dovuti restare privati e, pertanto, non visibili da qualsiasi parte del pianeta attraverso Internet.
Un tempo le telecamere di sicurezza costituivano la cd. TV a circuito chiuso (alias CCTV) poiché il loro sistema iniziava e finiva con l’apparecchiatura che sovrintendeva la visualizzazione dei flussi video e la loro registrazione. Tutto collegato via cavo, tutto inserito in un impianto ben progettato e ben installato da personale specializzato che sapeva cosa fare e dove mettere le mani, e quello era davvero un sistema di sicurezza.
L’evoluzione tecnologica ha fatto il resto: dapprima il Wi-Fi ha sostituito i cavi per collegare le telecamere, poi l’impianto è divenuto accessibile da remoto, persino attraverso oscuri sistemi cloud.
Diciamoci la verità: questi sistemi, un tempo costosissimi, sono ormai alla portata di tutti ed è difficile resistere alla tentazione di tenere sotto controllo i luoghi che ci stanno a cuore; oltre ai prezzi bassi, l’installazione di questi sistemi è semplificata – appunto – dall’assoluta mancanza di cavi da collegare: si montano le telecamere a parete, si orientano le antenne e si accendere il registratore digitale (ossia l’NVR), il quale fa tutto il lavoro sporco di ricercare le telecamere e di registrare il loro indirizzo IP (non a caso, da qui in poi parleremo di IP-CAM) per ricevere i flussi video (e talvolta audio) così da registrarli nell’hard disk dell’NVR.
Questi apparecchi sono spesso di produzione cinese e di marche mai sentite prima e, anzi, spesso capita di vedere apparati identici con marchi diversi – al sottoscritto, per esempio, è capitato di dover sostituire l’NVR per un guasto elettrico e attualmente il mio NVR mostra una marca che non coincide con quella delle telecamere, però usa lo stesso software del precedente dispositivo e punta alla medesima piattaforma cloud che mi consente di vedere le telecamere anche dallo smartphone.
Che le IP-CAM fossero accessibili via Internet anche da soggetti non autorizzati, è storia ben nota che risale proprio al momento in cui dalle telecamere CCTV (a circuito chiuso) si è passati alle telecamere munite di proprio indirizzo IP e di NVR connesso alla rete; già all’epoca, però, il problema venne rapidamente individuato nella mancata modifica della password di default dell’NVR – ossia della porta d’ingresso principale al sistema di videocamere – che consentiva di accedere alla gestione dell’NVR e, pertanto, di ricavare gli indirizzi internet dei flussi video. Se poi l’NVR era esposto su Internet attraverso un indirizzo IP fisso, il flusso video diveniva immediatamente pubblico e spesso lo si poteva anche ricercare sul motore shodan.io, il preferito dagli hacker e dagli esperti di sicurezza informatica.
Dopo tutti questi anni e dopo le migliaia di raccomandazioni a non mantenere dispositivi connessi a Internet protetti dalla sola password di default, ancora oggi mi imbatto in telecamere perfettamente accessibili via Web. La scusa è sempre quella: verificare che le mie telecamere non siano alla mercé di chiunque.
Nel corso della ricerca trovo un sito web insecam.org, nella home page del quale c’è un bel disclaimer:
Colpisce l’ossimoro iniziale: “la più grande raccolta mondiale di telecamere di sicurezza” – “Sono disponibili solo camere filtrate. In questo modo non si viola la vita privata di nessuno“. Per definizione, una telecamera di sicurezza dovrebbe offrire – appunto – sicurezza e se questa è accessibile dall’esterno della rete cui è collegata, allora la sicurezza non esiste più.
Tralasciamo il fatto che il sito rimuova il link a una telecamera solo su reclamo via e-mail e, contemporaneamente, consenta a chiunque di aggiungere altre telecamere previo consenso dell’amministratore del sito. Bella battuta, complimenti.
Quel sito è si un’immensa raccolta di webcam da tutti gli angoli del mondo ma vorrei tanto chiedere all’amministratore quali criteri segue per approvare l’inserimento di una webcam – semmai sia vero che l’inserimento è sottoposto a detto vaglio.
Ho trovato di tutto.
Ho raccolto un po’ di materiale e per rispettare la privacy (già violentata da chi ha inserito la telecamera nel sito), ho nascosto informazioni e ritagliato/alterato le immagini che ho catturato.
- le telecamere meteo/turitstiche;
- le telecamere su aree pubbliche;
- le telecamere su aree private o aperte al pubblico;
- le telecamere all’interno degli edifici o degli appartamenti.
Le telecamere meteo/turistiche.
Su queste nulla quaestio: sono webcam messe apposta per mostrare un panorama ed è ovvio che siano pubblicamente accessibili.Le telecamere su aree pubbliche.
La questione in questo caso è controversa e ci si deve domandare: chi ha installato la telecamera? Perché riprendono un’area pubblica? Nel sito Insecam, infatti, capita di trovare webcam che inquadrano strade o piazze in modo molto ravvicinato pertanto il dubbio sorge spontaneamente: non saranno mica telecamere installate da qualche Comune? Se così, la cosa sarebbe abbastanza allarmante poiché quel flusso video dovrebbe essere a uso e consumo esclusivo del Comune e della relativa Polizia Locale, e non visibile pubblicamente perché magari qualcuno ha scordato di modificare la password di default dell’apparecchio di controllo delle telecamere. Qualora, invece, quella telecamera appartenga a un privato, il problema allora esiste e grava tutto sul capo del proprietario dell’impianto poiché non è possibile inquadrare la pubblica strada o proprietà attigue: quando si installa una telecamera per monitorare l’ingresso di un immobile, questa dev’essere posizionata in modo tale da riprendere solo ed esclusivamente l’area di pertinenza immediatamente antistante l’ingresso.Le webcam su aree private o aree private aperte al pubblico.
Con questa categoria iniziamo a muoverci su un campo minato perché poniamo un primo punto fermo: deduciamo che si tratti di telecamere installate per la sorveglianza di un luogo e, quindi, per una forma di protezione passiva dei luoghi e delle persone che vi stazionano; dunque si tratta di flussi video che devono restare nella sola disponibilità del proprietario dell’area privata (che è anche il Titolare del trattamento). In tutti questi esempi il problema diviene evidente: un flusso video che sarebbero dovuto restare privato, finalizzato solo ad aumentare la sicurezza dei luoghi che riprende, a causa di una leggerezza – chiamiamola così – finisce in una directory pubblicamente accessibile e causando con ciò:- la vanificazione della sicurezza che si ricercava con le telecamere;
- la violazione della riservatezza delle persone eventualmente coinvolte;
- la messa in pericolo di beni di un certo valore.
Le telecamere in aree private.
Questa categoria, invece, costituisce una vera e propria bomba quale violazione della privacy delle persone che risiedono abitualmente nei luoghi inquadrati. Stiamo parlando di cortili, giardini e persino stanze di appartamenti. Bisogna ribadire il concetto: quando si acquistano delle telecamere di sicurezza, la prima cosa da fare è modificare le credenziali d’accesso dell’NVR e dell’eventuale accesso via cloud che alcune soluzioni offrono. In questo campo il principio “set it and forget it” è assolutamente da disapplicare poiché sul Web basta cercare su Google per ritrovare enormi elenchi contenenti le credenziali predefinite per accedere a tutte le marche di telecamere (dunque non bisogna scandagliare il Deep Web per avere accesso a queste informazioni): ne va della sicurezza personale. Tutte le webcam raccolte in insecam.org sono accomunate dall’uso della password di default per l’accesso all’NVR che, in taluni casi, consiste nell’inserire “admin” come username e nel lasciare il campo password in bianco. Insecam, quindi, accede ai flussi delle webcam sfruttando l’indirizzo IP dell’impianto (che spesso è un indirizzo IP statico e ciò facilita molto l’accesso) e la creazione di un URL in una forma simile a:https://[indirizzo IP]/view.php?u=[nome utente]&p=[password]
(La sintassi dell’URL varia secondo le marche di telecamere)
Con questa tecnica il sito riesce a collegarsi direttamente a un flusso video e a trasmetterlo attraverso le proprie pagine, tanto in forma di anteprima quando si sfoglia la directory quanto come pagina dedicata a esso. In quest’ultimo caso la pagina contiene varie informazioni tra cui le coordinate geografiche e una mappa su cui è evidenziata la posizione dell’impianto. Fortunatamente in molti casi la posizione è errata poiché il più delle volte essa è derivata dalla geolocalizzazione dell’indirizzo IP, quindi dalla posizione geografica dell’Internet Provider.