Cerca nel blog

2017/10/13

Video: se la telecamera di sorveglianza di casa comincia a parlarti, hai un problema

Ho parlato spesso del rischio che un dispositivo collegato alla rete informatica domestica possa essere sfruttato dagli aggressori. Ma un conto è la teoria, un altro è vedere le cose la pratica.

Una donna olandese, Rilana Hamer, ha pubblicato su Facebook un video (attenzione: contiene turpiloquio in inglese) nel quale mostra che la sua telecamerina di sorveglianza via Internet, che aveva comprato per tenere d’occhio il suo cagnolino mentre lei è fuori casa, ha cominciato a muoversi da sola e a parlarle.

Rilana racconta di essere tornata a casa e di aver sentito una voce proveniente dalla telecamera, che si rivolgeva a lei in francese, dicendole “Bonjour madame”. Si è spaventata così tanto che ha scollegato la telecamera dall’alimentazione e l’ha chiusa in una scatola.

La donna pensava di essere impazzita, ma ha raccontato l’episodio a un amico e ha deciso di ricollegare la telecamera per documentare in video il fenomeno. Puntualmente sono ritornate le voci.

Questo genere di attacco avviene perché molte di queste telecamerine di sorveglianza contengono software difettoso e non aggiornato e vengono spesso installate senza cambiarne le password di accesso predefinite. Molti utenti non sanno che una telecamera connessa a Internet è rilevabile da chiunque con gli appositi motori di ricerca (come Shodan.io) e quindi è un bersaglio facile per ficcanaso e burloni.

La donna, giustamente, si chiede “Che cosa ha visto di me questa persona? La mia casa, le mie cose personali...la mia privacy”. Prima di installare in casa dispositivi come questi, insomma, pensiamoci bene e dedichiamo qualche minuto a leggere il manuale d’istruzioni per cambiare le password predefinite e scaricare gli aggiornamenti del software di controllo.

15 commenti:

blu-flame ha detto...

forse installare una cosa e sbatterla su internet e' da cucu'
il fatto che vogliono installare un oggetto complesso senza chiamare nessuno. Mi chiedo perrche per una cosa semplice come un rubinetto chiamino l'idraulico.

Una telecamera che non sia intubata con una VPN e' una solenne minxhiata.

Pero' sono tutti abituati che sono geni che dominano le workstation che tengono in tasca (parliamo di WA buhahahhahahaha!) e' una cosa come una telecamera da 50$ gli sembra piu' semplice.

Il gelato in fronte non e' compreso nella scatola

Sapiens ha detto...
Questo commento è stato eliminato dall'autore.
Sapiens ha detto...

Nel mio precedente commento ho commesso un ORRORE di base, ho dato per scontato, senza guardare il video, che la donna parlasse naturalmente in inglese e ho pensato quindi che il video potesse essere una bufala.

Mi pento amaramente.

Mi resta solo una domanda: che cosa ci fa un altoparlante in una videocamera di sorveglianza?!?! Sarà mica riuscito a far parlare il microfono, in questo caso sarebbe un buco nel software ancora più grande!!!

FranKO ha detto...

@Sapiens certo che ci sono videocamere di sorveglianza con altoparlante, servono a comunicare con chi vedi remotamente. Cmq concordo sull'ignoranza delle persone che si improvvisano tecnici informatici solamente perché hanno configurato Whatsapp sul proprio cellulare.

Guido Baccarini ha detto...

@Sapiens
a parte l'utilità di una comunicazione audio bidirezionale se la usi per controllare i tuoi figli piccoli/genitori anziani/il tuo cane, ci sono anche utilizzi più professionali, come metterla in sala macchine in luogo remoto non presidiato da personale IT e usarla per guidare la sostituzione di un nastro di salvataggio o altre attività, senza ricorrere ad un cellulare che solitamente, causa schermature antincendio/antiallagamento/antisismico, non prende....
Da tempo ne facciamo questo uso ricorrendo a quelle motorizzate con zoom ottico (si parla di fascia prezzo 100-150€), rigorosamente cablate e non wireless.

Tony ha detto...

Praticamente un grande fratello fai da te!
Orwell si starà rivoltando nella tomba.
Certo che se tali telecamere sono ormai diventate beni che si trovano nei supermarket, va da sé che l'acquirente sia un po' spinto al, diciamo, plug and play ed i produttori hanno fatto di tutto per spingere in quella direzione, mentre, se avessero a cuore la sicurezza, potrebbero benissimo far sì che il prodotto richieda alla prima installazione un minimo di configurazione afferente alla sicurezza.
Eppure, non obbligano neppure al cambio delle password di default, cosa che, invece, avviene con l'iscrizione ai siti. Almeno alcuni al primo accesso ti obbligo a scegliere una password non banale, ma con lettere, cifre, etc.
Quando questi ammennicoli erano prodotti di nicchia che richiedevano un installatore e, quindi, competenze specifiche era ben diverso.
Quindi l'ignoranza della "casalinga di Voghera" è forse scusabile... ...o forse no. Si fida e non si fa domande.
D'altra parte questa corsa alla tv smart, cellulare smart, casa smart e auto smart sembra più una gara a chi lo ha più lungo (perdonatemi la velata volgarità), quando, poi, l'utente tanto smart non è.
E i produttori lo sanno.
Avete, per esempio, fatto caso alle pubblicità di autovetture?
Generalmente si sottolineano sempre più i gadget multimediali a bordo (praticamente un tablet) che le caratteristiche dei motori (che so, consumi) o dinamiche o, non so, anche il minor peso della vettura.
Comunque, nulla di nuovo: la sicurezza informatica è inversamente proporzionale alla semplicità ed i produttori optano per quest'ultima, visto che devono vendere e far soldi.
L'utente rimane fregato? Problemi suoi.
Il gadget non si aggiorna più e diventa ancor più vulnerabile? Problemi suoi.

Roby10 ha detto...

Il problema vero non è che alcuni utenti non professionisti si comprano delle telecamere e le piazzino in casa senza preoccuparsi della sicurezza o senza nemmeno essere consapevoli del fatto che siano accessibili.
Il problema vero è che anche io, perito informatico, super appassionato di tecnologia, esperto di sicurezza e chi più ne ha più ne metta, posso anche perdere una settimana a configurare tutto il mio sistema casalingo a regola d'arte, ma non mi sentirai comunque al sicuro.
Certo, Potrei comunque usare delle telecamere per controllare la casa quando sono fuori, ma nel momento in cui sto uscendo dalla doccia o scatta della "passione" con la mia compagna, non riuscirei mai a stare davanti all'obbiettivo.
Bucano la nsa, l'fbi, le più grandi compagnie di sicurezza... Senza contare eventuali bug non noti è tutta un'altra serie di casistiche che per quanto tu possa essere esperto non sono mai sicure al 100%.
Questo è il vero problema

Tony ha detto...

@Roby10
Certo, concordo. Lo sappiamo che la sicurezza assoluta non esiste.
Se voglio avere la certezza assoluta di non essere spiato via web non metto le telecamere connesse ad internet.
Perciò parlavo di questa eccessiva e cieca corsa al tutto connesso che fa figo.
La connettività a volte è (ormai) necessaria altre volte è utile, altre comoda, altre futile. In ogni caso è rischiosa, questo è scontato.

Marco P ha detto...

La colpa, non sarebbe nemmeno totalmente dell'utente finale: solo per caso ho notato che le foscam installate in casa comunicavano all'esterno, nonostante avessi disattivato esplicitamente tutti i servizi non essenziali (quindi, utilizzando la telecamera solo come telecamera); risolto impostando lo switch in modo da isolare la rete delle telecamere dalla rete casalinga, ma non è una configurazione immediata.

DvD ha detto...

Tutti ad attaccare questa povera signora, che merita un abbraccio.
Si vendono con troppa semplicità questi oggetti che per essere sicuri necessitano conoscenze informatiche non banali e non diffuse.

Se si usasse la stessa logica con le auto saremmo sommersi da auto che si smontano da sole perché "il proprietario non sapeva che l'unico modo per usarla è non girare mai il volante a 93 gradi a destra per più di 20 secondi! Lo sanno tutti! Altrimenti non è sicura."

Bahamuttone ha detto...

Uno dei problemi GROSSI è proprio che sono fatte sostanzialmente coi piedi... Sistemi largamente incompatibili, impossibilità di cambiare password alle volte, NECESSITA' di passare dai server del produttore... E' difficilissimo trovare una telecamera web decente che non costi cifre ridicolamente alte

pgc ha detto...

tempo fa ho comprato un modello che in fase di setup richiede necessariamente di introdurre una nuova password. Costava sui 45 euro e la uso per monitorare la mia casa in Italia. Funziona egregiamente. Purtroppo mio figlio l'ha lasciata spenta l'ultima volta che c'è andato...

pgc ha detto...
Questo commento è stato eliminato dall'autore.
EpSiLoN74 ha detto...

E' un problema essenzialmente di marketing poichè oggi vogliono far passare la tecnologia casalinga come una cosa che ti porti a casa e senza neanche leggerti il manuale la fai funzionare. Questo è profondamente sbagliato. Così come si chiama l'idraulico, l'elettricista, il pittore, etc... serve un professionista per l'installazione di questi oggetti. E' ovvio che qualche lavoro di idraulica sono capace di farlo anche io ma per il resto mi devo affidare ad un professionista che si deve anche assumere tutte le responsabilità.

vale56 ha detto...

A livello aziendale, le telecamere DOVREBBERO essere in una rete separata, con indirizzi che NON POSSONO andare in internet (in gergo non routable) e con firewall che blocca il traffico.
Inoltre, PER CAPITOLATO, dovrebbero imporre il cambio password alla prima accensione.
Gli utenti casalinghi non sono in grado di fare ciò, ma ALMENO il cambio pasword con strong authentication dovrebbero imporlo i produttori di TLC