Cosa succede se gli hacker prendono il controllo delle telecamere in città
Cosa succede se gli hacker prendono il controllo delle telecamere in città
La storia sventata dalla polizia postale di Milano, nell’operazione “Finestra sul cortile”, deve farci riflettere. Migliaia di immagini riprese, anche in diretta, da videocamere situate in luoghi pubblici e privati come appartamenti, spogliatoi, palestre, bagni, il tutto per soli 20 o 40 euro, pagabili in Bitcoin o via Paypal, per avere in cambio accesso illimitato alla vita di tante vittime ignare, adulti e minori.
Eppure, da anni siamo bombardati dal messaggio che più telecamere comportino più sicurezza. I sindaci magnificano l’installazione di nuove telecamere in parchi, piazze e strade mentre online si possono comprare a poche decine di euro sistemi per la video sorveglianza casalinga, accessibili facilmente da remoto tramite smartphone. Il tutto per sentirci più sicuri. Peccato che in molti casi, come questa storia dimostra, la verità sia ben diversa. Senza nulla togliere al “merito” dell’attività criminale realizzata con metodi quasi imprenditoriali, molte di queste violazioni non sarebbero state possibili se si fossero tenute a mente due lezioni.
Non una questione di se, ma di quando
Qualsiasi sistema o dispositivo connesso alla rete è hackerabile, con tempo e risorse sufficienti. Se degli attaccanti sono riusciti ad avere accesso all’iPhone di Jeff Bezos, uno degli uomini più ricchi al mondo e creatore di Amazon, una delle big tech più conosciute, di recente anche per vendere sistemi di sorveglianza privata, accedere ai nostri dispositivi non può essere considerato un evento così improbabile. Ma se per Bezos sono occorsi tempo e denaro per sviluppare il giusto attacco, per quanto riguarda router wi-fi, videocamere, robot aspirapolvere, la questione in alcuni casi può richiedere pochi minuti.
Molti di questi dispositivi hanno una password di default per l’installazione molto semplice, di solito “admin” o “0000”, per venire incontro agli utenti. Password che non viene mai cambiata, inclusa quella del router wi-fi di casa, cosa che consente un facile accesso agli utenti più esperti. Se poi anche venisse l’idea di modificare quella password, i risultati annuali delle password che si trovano nei leak degli attacchi in tutto il mondo confermano che la lista delle prime 20 password più usate non cambia mai troppo passando dal classico “123456”, a “password” o “qwerty”.
Ciò succede ovviamente per comodità, vista la difficoltà di ricordarle e la ancora scarsa adozione di strumenti comodi come i password manager, in grado di creare password lunghe e complesse e inserirle nei servizi che usiamo in modo quasi automatico, quando ne abbiamo bisogno ed eliminando il problema di doverle ricordare.
Non è un caso che Apple (ma non è l’unica in questo progetto) abbia annunciato da poco che nel prossimo aggiornamento del suo sistema operativo eliminerà le password, permettendo l’accesso ai servizi usando il proprio dispositivo, con l’impronta o il riconoscimento facciale.
Se questi problemi sono abbastanza generalizzati, bisogna aggiungere che l’Italia non brilla per competenze tecnologiche anche di base. Da anni l’indice europeo DESI, sullo sviluppo digitale nei Paesi dell’Unione, consegna una situazione poco felice sullo stato degli italiani. Pur essendo grandi amanti della tecnologia, troppi non riescono ad andare oltre l’uso di WhatsApp e dei social network. A questo fattore si aggiunge una scarsa iscrizione degli studenti alle discipline scientifiche e una mancanza di educazione basilare al digitale che usiamo tutti i giorni, ormai dalla più tenera età.
Mancata conoscenza o applicazione della normativa sulla privacy
Secondo quanto riportato dalla procura, molte delle telecamere installate, soprattutto casalinghe, erano molto economiche, da cui si deduce che forse non garantissero la stessa sicurezza offerta dalle omologhe prodotte dai marchi più conosciuti. Eppure, soprattutto quando si lavora in un settore così invasivo e rischioso, in cui sono trattati moltissimi dati personali, si devono rispettare dei livelli standard di sicurezza informatica e gestione dei dati personali più alti. Ma non finisce qui.
Se quindi sarà opportuno verificare il livello di sicurezza base dei fornitori di queste telecamere, al contempo occorre farsi delle domande sull’opportunità di installare telecamere in luoghi sensibili per la privacy come spogliatoi e bagni. In uno dei casi raccontati dall’inchiesta alcune telecamere erano state installate negli spogliatoi per prevenire possibili furti. Il Garante europeo per la privacy, nel 2019, ha pubblicato delle linee guida sulla videosorveglianza con numerosi esempi. Per il Garante l’uso di videosorveglianza è giustificato solo quando le circostanze concrete e l’impossibilità di ricorrere a misure tecniche e organizzative meno invasive non sia possibile.
Se dunque la telecamera che inquadra una piscina, nella sua interezza, potrebbe essere utile ad avvertire un bagnino distratto nel caso di annegamento, quella messa negli spogliatoi o in un bagno più difficilmente potrebbero trovare una giustificazione, anche in presenza di furti passati. Il fatto che a queste telecamere si potesse inoltre accedere da remoto aggrava la situazione. Se l’accesso da remoto si può immaginare come necessario nel caso di telecamere interne alla propria abitazione, per evitare sorprese quando si va in vacanza, nel caso di telecamere installate in un bagno tale necessità risulta molto più difficile da provare. Sarà dunque opportuno che il gestore dello stabile abbia fatto una valutazione del rischio per i diritti degli interessati e al contempo abbia scelto delle telecamere e un sistema di sicurezza idoneo a prevenire facili intrusioni esterne.
Con l’intelligenza artificiale la situazione potrebbe peggiorare
Tutto questo accade mentre a Bruxelles si discute sull’opportunità o meno di rendere illecita la possibilità di usare tecnologie di riconoscimento biometrico da remoto, anche da parte delle forze dell’ordine. Se finora abbiamo parlato di semplici telecamere, quelle che consento anche il riconoscimento facciale potrebbero, in assenza di una adeguata regolamentazione, diffondersi in spazi pubblici e privati, giustificate dalla necessità di prevenzione e sicurezza. In questi mesi se ne parla a Bruxelles relativamente alla proposta di regolamento europeo sull’intelligenza artificiale.
Nella posizione del Parlamento europeo c’è l’intenzione di impedirne l’uso anche da parte delle forze dell’ordine, per le quali sono previste delle eccezioni non troppo stringenti. Vale poi la pena ricordare che in passato il Garante della privacy si è già dovuto pronunciare sull’uso della videosorveglianza con riconoscimento facciale da parte delle forze dell’ordine, quando queste hanno proceduto all’installazione senza aver condotto una valutazione d’impatto o aver chiesto una consultazione preventiva al Garante.
Tornando al caso di cronaca, l’accesso a queste telecamere consentirebbe ad eventuali stalker di conoscere anche l’identità delle persone ritratte. Pericolo non del tutto scongiurato anche oggi, quando sono disponibili sul mercato software che consentono di individuare altre foto dalla rete e dai social, e le conseguenti informazioni, caricando la foto della persona che si vuole identificare. Il Garante della privacy ha da poco sanzionato con 20 milioni di euro Clearview AI, una azienda americana che ha preso dal web, senza consenso, anche le immagini di italiani per alimentare il suo database di oltre 10 miliardi di foto.
Il rischio Grande Fratello
La combinazione di una forte propensione a dotarsi di dispositivi tecnologici, unita alle scarse competenze informatiche e di sicurezza anche di base e ad una ancora poco diffusa cultura della tutela della privacy, costituisce la formula perfetta perché episodi come quello descritto siano all’ordine del giorno. Pensare che installare videocamere ovunque sia il modo più semplice per garantire la nostra sicurezza è frutto di una visione distorta di una società sempre più tecnosoluzionista, dove ogni problema si risolve con un gadget.
La verità è che il mondo e la tecnologia sono più complessi di come appaiono. Se si vuole davvero prevenire e garantire una maggior sicurezza, occorre diffondere la cultura della privacy e della sicurezza informatica nelle scuole e sul luogo di lavoro in modo continuativo, e non solo in occasione di un evento come un data breach. Il Garante della privacy lo sta facendo da tempo ma serve che anche la politica persegua questa idea altrimenti quanto immaginato da Orwell nel 1948, quando scrisse 1984, potrebbe diventare realtà, non importa se dietro allo schermo ci sia la polizia, un politico, o un guardone che ti spia quando vuole per 20 euro.
FONTE: lastampa