L'installazione di una telecamera di sicurezza collegata a Internet in casa non porterà necessariamente un'ondata di hacker alla vostra rete Wi-Fi, ma è già successo in passato.
Nel 2020, ad esempio, una cliente di ADT si è accorta di un indirizzo e-mail sconosciuto collegato al suo account di sicurezza domestica, un sistema monitorato professionalmente che comprendeva telecamere e altri dispositivi all'interno della sua abitazione. Questa semplice scoperta, e la sua segnalazione all'azienda, ha iniziato a far cadere una lunga serie di tessere del domino che riconducevano a un tecnico che, nel corso di quattro anni e mezzo, aveva spiato centinaia di clienti, osservandoli mentre vivevano la loro vita privata, si spogliavano e facevano persino sesso.
ADT afferma di aver chiuso le falle sfruttate dal tecnico, implementando "nuove salvaguardie, formazione e politiche per rafforzare... la sicurezza degli account e la privacy dei clienti". Ma le violazioni della privacy non sono un'esclusiva di ADT e alcune vulnerabilità sono più difficili da salvaguardare di altre.
Sia che si utilizzino sistemi di sicurezza monitorati professionalmente come ADT, Comcast Xfinity o Vivint, sia che si disponga solo di alcune telecamere autonome di aziende non convenzionali come Ring, Nest o Arlo, ecco alcune pratiche che possono aiutare a proteggere la sicurezza dei dispositivi e la privacy dei dati. (Per ulteriori suggerimenti sulla sicurezza domestica, scoprite i posti migliori in cui collocare le telecamere di sicurezza e i migliori sistemi di sicurezza domestica economici che potete acquistare).
Il mio sistema di sicurezza domestica è a rischio di hacking?
Prima di affrontare i problemi di insicurezza dei dispositivi, è utile capire quanto siano realmente vulnerabili i vostri dispositivi.
I principali sistemi di sicurezza monitorati professionalmente - e anche le telecamere vendute singolarmente da sviluppatori affidabili come Google Nest e Wyze - includono quasi tutti la crittografia di alto livello (che scrambla i messaggi all'interno di un sistema e garantisce l'accesso tramite chiavi). Ciò significa che, se si mantengono aggiornati gli aggiornamenti delle app e dei dispositivi, non si deve temere di essere violati da vulnerabilità del software o del firmware.
Allo stesso modo, molte società di sicurezza che si avvalgono di installatori e tecnici professionisti dispongono di procedure rigorose per evitare proprio ciò che è accaduto ad ADT. La Security Industry Association, un gruppo terzo di esperti di sicurezza, fornisce consulenza a produttori come ADT su questioni relative alla privacy e alla sicurezza.
"Il settore della sicurezza ha prestato attenzione alla questione della privacy domestica fin dal 2010", ha dichiarato Kathleen Carroll, presidente del Data Privacy Advisory Board del SIA, "e continuiamo a lavorare per aiutare le nostre aziende associate a proteggere i loro clienti".
Le telecamere di sicurezza diventano sempre più economiche, ma questo non significa che i clienti debbano rinunciare alla propria privacy.
Alcuni sistemi di monitoraggio professionali, come Comcast e ora ADT, affrontano il problema semplicemente limitando in modo rigoroso le azioni che i tecnici possono compiere mentre assistono i clienti con i loro account, ad esempio impedendo loro di aggiungere indirizzi e-mail agli account o di accedere a qualsiasi clip registrata.
"In Comcast abbiamo un team dedicato specificamente alla sicurezza delle telecamere", ha dichiarato un portavoce di Comcast. "I nostri tecnici e installatori non hanno accesso ai feed video dei nostri clienti o ai video registrati, ai quali può accedere solo un piccolo gruppo di ingegneri, in condizioni controllate, per questioni come la risoluzione dei problemi tecnici".
"Solo i clienti possono decidere chi può accedere al loro sistema Vivint, compresi i loro feed video", ha dichiarato un portavoce della società di sicurezza domestica Vivint. "Come utenti amministratori, possono aggiungere, rimuovere o modificare le impostazioni degli utenti. E... conduciamo regolarmente una serie di controlli automatici e manuali dei nostri sistemi".
Con i sistemi fai-da-te, i clienti installano i propri dispositivi, rendendo l'accesso dei tecnici un punto irrilevante. Ma se i clienti optano per un monitoraggio aggiuntivo, che spesso viene offerto insieme ai singoli prodotti, la questione potrebbe complicarsi.
Sono disponibili più telecamere che mai, sia che si opti per un sistema di sicurezza monitorato professionalmente che per un'alternativa fai-da-te.
Una di queste aziende, Frontpoint, ha dichiarato in un messaggio di posta elettronica che limita strettamente l'accesso del personale alle informazioni sui clienti, impedendo, ad esempio, agli agenti di guardare i filmati delle telecamere dei clienti, tranne in casi particolari e limitati nel tempo, in cui l'autorizzazione viene ottenuta dal cliente, allo scopo di risolvere i problemi o di fornire altri tipi di assistenza.
Un rappresentante di SimpliSafe, un altro sviluppatore a cavallo tra il fai da te e l'installazione professionale di sistemi di sicurezza domestica, ha risposto in modo più ampio alle domande sulle sue procedure: "Gran parte del nostro lavoro quotidiano si concentra sulla manutenzione dei nostri sistemi, in modo che le vulnerabilità vengano immediatamente identificate e affrontate. Questa attenzione incessante comprende protocolli di sicurezza sia interni che esterni".
In breve, le aziende di sicurezza sembrano utilizzare consapevolmente più livelli di sicurezza per proteggere i clienti da potenziali abusi da parte di installatori e tecnici, anche se i processi con cui lo fanno non sono del tutto trasparenti. Ma anche se sono efficaci, questo non significa che le vostre telecamere intelligenti siano totalmente sicure.
Come possono gli hacker accedere alle mie telecamere di sicurezza domestiche?
Il caso ADT non richiedeva tecnicamente alcun hacking da parte del tecnico, ma cosa succede se l'hacking è coinvolto? Dopotutto, i casi di hacking da remoto sono numerosi. E anche i dispositivi di qualità con alti livelli di crittografia non sono necessariamente al sicuro da hacking, date le giuste circostanze.
L'esperto di sicurezza Aamir Lakhani di FortiGuard ha spiegato a CNET che esistono due modi principali in cui un hacker può ottenere il controllo di un feed video: localmente e da remoto.
Per accedere a una telecamera in locale, un hacker deve trovarsi nel raggio d'azione della rete wireless a cui la telecamera è collegata. A quel punto, dovrà ottenere l'accesso alla rete wireless utilizzando diversi metodi, come indovinare la passphrase di sicurezza con la forza bruta o fare lo spoofing della rete wireless e disturbare quella reale.
All'interno di una rete locale, alcune vecchie telecamere di sicurezza non sono crittografate o protette da password, poiché la sicurezza della rete wireless è spesso considerata un deterrente sufficiente a tenere a bada gli attacchi malevoli. Quindi, una volta entrato nella rete, un hacker dovrebbe fare ben poco per prendere il controllo delle telecamere e potenzialmente di altri dispositivi IoT presenti in casa.
L'hacking dei router direttamente e localmente è una via, anche se poco comune, per accedere al feed di una telecamera di sicurezza.
Tuttavia, è improbabile che gli hacker locali vi colpiscano, poiché richiedono un intento mirato sull'obiettivo. Gli hacker remoti sono lo scenario più probabile, e gli esempi si presentano abbastanza spesso nelle cronache. Qualcosa di comune come una violazione dei dati, come quelle di Equifax o Delta, potrebbe mettere le vostre credenziali di accesso nelle mani sbagliate e, a parte cambiare spesso la password, non c'è molto che possiate fare per evitare che accada.
Anche se la società di sicurezza che utilizzate - monitorata professionalmente o meno - ha una forte sicurezza e una crittografia end-to-end, se utilizzate per i vostri account le stesse password che utilizzate altrove su Internet e queste credenziali vengono compromesse, la vostra privacy è a rischio. (Se non lo fate già, dovreste assolutamente iniziare a usare un gestore di password per tenere traccia di tutte le vostre password forti e uniche).
E se i dispositivi utilizzati sono datati, con software non aggiornato o semplicemente prodotti da produttori che non danno priorità alla sicurezza, le possibilità che la vostra privacy venga messa a repentaglio aumentano notevolmente.
Per gli hacker con un po' di know-how, basta una ricerca su Google per trovare il prossimo obiettivo con un feed video non protetto. Un numero sorprendente di persone e aziende installa sistemi di telecamere di sicurezza e non cambia mai il nome utente e la password predefiniti. Alcuni siti web, come Shodan.io, mostrano quanto sia facile accedere a feed video non protetti come questi, aggregandoli e mostrandoli a tutti.
Come sapere se le vostre telecamere sono state violate
È quasi impossibile sapere se la vostra telecamera di sicurezza, o forse in modo più inquietante il vostro baby monitor, è stata violata. Gli attacchi potrebbero passare del tutto inosservati a un occhio inesperto e la maggior parte delle persone non saprebbe da dove cominciare per controllare.
Un segnale di allarme per un'attività dannosa su una telecamera di sicurezza è rappresentato da prestazioni lente o peggiori del normale. "Molte telecamere hanno una memoria limitata e quando gli aggressori sfruttano le telecamere, i cicli della CPU devono lavorare molto, rendendo a volte quasi o del tutto inutilizzabili le normali operazioni della telecamera", ha dichiarato Lakhani.
D'altra parte, le scarse prestazioni non sono solo indice di un attacco dannoso: potrebbero avere una spiegazione perfettamente normale, come una scarsa connessione a Internet o un segnale wireless.
Alcuni dispositivi, come i nuovi display Echo Show di Amazon, sono dotati di otturatori fisici per coprire le fotocamere quando non sono in uso.
Come proteggere la propria privacy a casa
Anche se nessun sistema è immune da attacchi, alcune precauzioni possono ridurre ulteriormente le probabilità di essere violati e proteggere la vostra privacy in caso di violazione.
Utilizzate telecamere di produttori affidabili, sia che facciano parte di un sistema di sicurezza monitorato professionalmente sia che siano un dispositivo fai-da-te.
Utilizzare telecamere di sicurezza con crittografia end-to-end di alto livello.
Cambiate le vostre credenziali con qualcosa che non possa essere facilmente indovinato (in particolare, evitate di utilizzare le password che già usate per altri account online).
Aggiornare il firmware della fotocamera frequentemente o quando possibile.
Se possibile, utilizzate l'autenticazione a due fattori.
Un altro passo importante è semplicemente evitare le condizioni per una violazione della privacy. Le violazioni sono improbabili e possono essere in gran parte evitate, ma tenere le telecamere fuori dalle stanze private e puntate invece verso gli ingressi della casa è un buon modo per evitare i peggiori esiti potenziali di una violazione.
Lakhani suggerisce anche di mettere le telecamere di sicurezza autonome su una rete propria. Se da un lato questo potrebbe senza dubbio rovinare i vostri piani per la casa intelligente perfetta, dall'altro aiuterebbe a prevenire il "land and expand", un processo attraverso il quale un aggressore ottiene l'accesso a un dispositivo e lo utilizza per prendere il controllo di altri dispositivi connessi sulla stessa rete.
Per fare un ulteriore passo avanti, è possibile utilizzare una rete privata virtuale, o VPN, per limitare ulteriormente i dispositivi che possono accedere alla rete in cui si trovano le telecamere di sicurezza. È inoltre possibile registrare tutte le attività sulla rete e accertarsi che non vi sia nulla di insolito.
Anche in questo caso, le probabilità di essere vittima di un attacco di questo tipo sono piuttosto ridotte, soprattutto se si seguono le precauzioni di sicurezza più elementari. L'utilizzo dei passaggi sopra descritti fornisce più livelli di sicurezza, rendendo sempre più difficile per un aggressore prendere il controllo.