Il conduttore televisivo Stefano De Martino e la sua compagna Caroline Tronelli sono diventati i protagonisti involontari di una grave intrusione informatica che ha alimentato le paure di tanti italiani.
Indice degli argomenti
Il caso del furto di immagini dalle videocamere di Tronelli-De Martino
Qualcuno è riuscito ad avere accesso ai video delle telecamere installate a casa della Tronelli, tentando prima una estorsione e successivamente – al rifiuto da parte del De Martino di pagare il riscatto – divulgando il materiale riservato su canali Whatsapp, Telegram e siti web.
Le informazioni sull’attacco sono poco precise e non del tutto coerenti, c’è chi parla di un sistema di allarme collegato a un modem Sky a sua volta connesso alla rete Tim, chi ipotizza un accesso tramite rete WiFi e chi pensa possa trattarsi di pesca a strascico.
Nell’attesa che vengano resi noti – se i protagonisti lo vorranno – ulteriori dettagli, non tanto per soddisfare la pruriginosa curiosità ma per fornire esempi concreti di superfici d’attacco abusate dai criminali, cerchiamo di raccogliere le idee per analizzare quanto accaduto al presentatore.
La sua situazione infatti è anche quella di tanti italiani che hanno deciso d’installare presso il loro domicilio sistemi di sorveglianza più o meno seri o magari semplicemente una telecamerina connessa alla rete WiFi che permette di visionare in diretta le immagini o accedervi tramite cloud per poter visionare gli animali domestici durante la propria assenza, i propri figli, controllare chi fa le pulizie o verificare che in casa vada tutto bene.
Caso Tronelli-De Martino, com’è potuto succedere? Alcune ipotesi
Se decidiamo di puntare verso il nostro salotto, ingresso o peggio ancora camera o bagno una videocamera dobbiamo essere consapevoli del fatto che se è accesa sta riprendendo delle immagini e chi ha accesso alla trasmissione o all’archiviazione le può visionare. Ovviamente tendiamo a essere convinti del fatto che solo noi abbiamo accesso alla nostra videocamera e in genere è così ma ci sono diverse situazioni nelle quali la platea di chi ci osserva da dietro l’obiettivo si allarga.
Il concetto chiave è che l’accesso a una videocamera IP/cloud lo ha chi conosce l’indirizzo IP oppure l’identificativo della videocamera (o lo username per l’accesso dal cloud) e ha anche le relative credenziali.
Password debole della videocamera
Sapere come contattare la videocamera o con quale nome utente si è registrato il proprietario ma non conoscere la password non permette l’accesso, a meno che non intervengano due fattori. Il primo è che si possono tentare tutte le password possibili, confidando nel fatto che l’utente che configura una telecamera wifi domestica prediligerà una password come “1987” (es. il suo anno di nascita) piuttosto che una codifica complessa come “àdE&+ $q2B-“ (sì, c’è uno spazio nella password ed è un bene che ci sia).
Una password come “1987” si può trovare provando tutti i numeri e partendo da zero, se il sistema non implementa contromisure al cosiddetto “brute force” in meno di un secondo quel tipo di password la si trova. Nei casi più fortunati non vi è necessità di tentare un attacco di tipo brute force perché gli utenti hanno lasciato le password di default come “admin”, “1234”, “0000” che sono ovviamente le prime ad essere provate dagli attaccanti.
Accesso all’account della videocamera
Precisiamo che non sempre è possibile (o richiesto) impostare una password direttamente sulla telecamera, ci sono App che fanno il “pairing” direttamente con il dispositivo chiedendo all’utente d’inquadrare il QR Code e si legano a essa permettendo di poterne visionare i video nell’App.
Allo stesso modo, ci sono impianti di videosorveglianza con telecamere IP locali che si collegano direttamente al DVR che ha a sua volta un account locale con amministratore e password. Spesso, questi account possono essere acceduti anche tramite tecnologia P2P, utilizzando l’identificativo UDI univoco memorizzato sui server cloud del produttore, con indirizzi tipo “052B235A5732.P2P”. Questa modalità di accesso permette di superare il problema del NAT (cioè il fatto che dall’esterno non ci si può connettere a un IP interno) e poter visionare da Internet l’impianto senza dover aprire porte sul router manualmente o tramite UPNP. Ovviamente, questa “comodità” espone il sistema a tentativi di brute force, enumerazione e utilizzo di vulnerabilità o, più semplicemente, permette a chi conosce la password di amministrazione di accedere dall’esterno senza che il proprietario dell’impianto ne abbia contezza. Tra l’altro, questo sistema di accesso è difficile da bloccare perché è il sistema a contattare i server esterni per “aprirsi una porta” e in genere non è possibile impostare un secondo fattore di autenticazione per ulteriore protezione dell’account.
A questo punto, per entrambi i casi la protezione si sposta verso l’account e non sulla singola videocamera che non ha effettivamente una password, quindi è ancora più importante che la password dell’account principale sia robusta e che non sia nota a terzi, anche se si pensa che possa essere utilizzata soltanto localmente, proprio perché l’impianto potrebbe essere collegato al circuito P2P o comunque a un cloud e quindi accedibile dall’esterno.
Vulnerabilità della videocamera
Se non risulta possibile tentare un attacco di forza bruta, si può sperare che la videocamera abbia delle vulnerabilità, dei cosiddetti “CVE”, che permettano di aggirare la password ed entrare ugualmente nel sistema, avendo quindi accesso ai video.
Le videocamere domestiche sono spesso programmate con codice obsoleto e riutilizzato da migliaia di modelli, così succede come nel 2017 che i ricercatori hanno scoperto che 1.250 modelli di webcam erano vulnerabili ad attacchi di tipo RCE, che permettevano di accedere al sistema senza avere la password. In un colpo solo, 185.000 telecamerine sono diventate “pubbliche” e accessibili da chiunque, fino a che i proprietari non hanno rimosso la vulnerabilità aggiornando il firmware, cioè il programma che le fa funzionare, un po’ come Windows fa funzionare un PC e ogni tanto deve essere aggiornato.
Phishing
Consideriamo poi l’ipotesi del phishing, tipicamente più mirata ma spesso anche eseguita su larga scala: gli attaccanti possono inviare milioni di email a utenti in tutto il mondo fingendo di essere Amazon, ezVIZ, Reolink o altri provider di sistemi di sorveglianza chiedendo d’inserire la password di accesso per presunti “problemi di privacy” al sistema che l’utente è invitato appunto a risolvere inserendo le proprie credenziali.
Tipicamente questi attacchi vengono fatti “a strascico”, cioè in modo non mirato: vengono scansionati indirizzi IP, numeri di serie di telecamere, account cloud dei principali produttori tentando l’ingresso con credenziali prima di default e poi mediante forza bruta e segnando tutti gli accessi riusciti.
Le liste di accessi “pubblici” vengono quindi distribuite su canali Telegram o Whatsapp o a talvolta anche su siti nel dark web, spesso oltre ai link (contenti indirizzo o App, username e password) vengono venduti anche direttamente i video registrati dalle telecamere nei momenti più intimi.
Una ipotesi, per la vicenda De Martino, è che qualcuno degli affezionati acquirenti di questi canali abbia riconosciuto lui e la compagna e ne abbia approfittato per tentare l’estorsione o la vendita/distribuzione dei filmati.
Attacco mirato?
Non si può certamente escludere che l’attacco sia stato “mirato”, magari a monte (es. l’installatore, che può essersi tenuta una copia delle credenziali di accesso, magari con la “scusa” della manutenzione) oppure qualcuno che abbia tentato di accedere al cloud della compagna del presentatore tramite brute force, phishing o password reuse – cioè con password trovate su altri account e “riciclate” anche sui portali delle telecamere domestiche.
Ogni telecamera e ogni sistema ha il suo diverso protocollo, canale, App e cloud, spesso protetto in modo più o meno forte.
Ad esempio le diffusissime Blink di Amazon richiedono l’inserimento di un secondo fattore di autenticazione per poter visionare i filmati in diretta e memorizzati in cloud. Altre videocamere – soprattutto i sistemi CCTV/DVR domestici low cost – permettono accesso diretto tramite IP ma anche mediante sistemi di cloud che evitano di dover superare il NAT del modem aprendo porte locali. Proprio questi sistemi sono spesso sfruttabili per tentare l’accesso con credenziali diverse senza che l’utente se ne accorga.
I rischi oltre la videosorveglianza
Le possibilità di essere spiati ovviamente vanno oltre alla videosorveglianza ma, come nei casi illustrati sopra, in genere aumentano se non siamo attenti e precisi nel configurare i nostri dispositivi o gli account.
Sono a rischio gli smartphone, i PC, le caselle di posta elettronica, il cloud ma anche i dispositivi IoT come termostati, citofoni, elettrodomestici o sensori. Il sistema di accesso non è poi così diverso dalle videocamere: si tratta in genere sempre di conoscere un indirizzo o un ID oltre all’App/Portale da utilizzare e ovviamente le credenziali di accesso.
Sugli smartphone abbiamo poi i singoli “point of failure” come le email o gli SMS, oppure le App d’instant messaging (Whatsapp, Telegram, Signal, etc…) o le foto che carichiamo sul cloud, magari anche più di uno.
Le caselle di posta elettronica sono sempre più spesso bersaglio degli attaccanti perché contengono migliaia di dati potenzialmente utili per fare delle frodi: documenti d’identità, conti bancari, contratti o informazioni riservate.
Se i criminali non riescono a sfruttare quanto trovano all’interno di una mailbox, possono sempre fingere di essere dei fornitori a convincere le vittime a pagare tramite bonifico su conti a loro intestati. La truffa del MiTM – Man in The Mail – si basa proprio su questo tipo di attacco e colpisce da oltre 10 anni privati ma soprattutto aziende in tutti il mondo. Lo spionaggio di una casella di posta, quindi, può portare non tanto a situazioni imbarazzanti quanto a perdite economiche di rilievo dovute appunto alle truffe legate ai bonifici.
I criminali riescono in genere ad accedere ai nostri account con gli stessi metodi citati sopra per le videocamere di sorveglianza: brute force, password reuse, vulnerabilità, CVE e 0day, phishing ma anche malware installato su PC o smartphone, benché decisamente più rari come casi questi ultimi.
Come tutelarsi dai furto di immagini private a casa
Come possiamo tutelarci da questo tipo di attacchi? Dato che in genere operano tramite credenziali di accesso, la cosa migliore che possiamo fare è irrobustirle, creare password complesse, sempre diverse tra loro e associarle a un 2FA, un secondo fattore di autenticazione. Che configuriamo una mail o una videocamera, dobbiamo quindi ricordare il principio che la prima protezione è rappresentata dalla complessità dei segreti necessari per l’accesso.
Ovviamente rimangono rischi legati a vulnerabilità, firmware, bug che si possono ridurre aggiornando i dispositivi all’ultima versione del sistema. È raro che un utente si ricordi di aggiornare la telecamerina con la quale osserva da fuori casa il proprio gatto ma è importante ricordare che se l’obiettivo punta sul proprio divano o peggio ancora in bagno o in camera da letto, sarebbe opportuno considerare la possibilità di spegnere i dispositivi quando si è in casa o comunque tenerli aggiornati.
Uno dei consigli più validi, in ogni caso, è proprio quello di non puntare questi oggetti in aree “intime” come camera da letto o bagni, considerando sempre la possibilità che i video ripresi possano uscire ed essere divulgati. L’esfiltrazione di video della cuccia del gatto o del cane, per esempio, per quanto fastidiosa può essere di poco interesse rispetto invece ai video ripresi in camera da letto o in bagno, zone nelle quali assolutamente i sistemi di sorveglianza andrebbero evitati o spenti se in presenza.
Se abbiamo router come Eero o Google Mesh, possiamo anche periodicamente controllare a quanto ammonta il traffico trasmesso verso l’esterno dalle nostre telecamere o dal nostro impianto di sorveglianza: se siamo stati in casa tutto il giorno e sono usciti diversi GByte di dati dall’impianto, è possibile che ci sia qualcosa che non va e che qualcuno si sia connesso per esfiltrare i dati.
Non tutti i router hanno questa funzionalità di controllo “granulare” della quantità di dati scaricati e inviati verso l’esterno ma se è disponibile il consiglio è di utilizzarla proprio per verificare se ci sono attività anomale di esfiltrazione.
I rimedi dopo l’attacco
Nella vicenda De Martino emerge in modo evidente il tentativo delle vittime di rimediare alla fuoriuscita e divulgazione dei video tramite il ricorso all’autorità giudiziaria. Sicuramente ottima cosa dal punto di vista civile, ma poco utile per evitare la diffusione dei filmati, che una volta usciti dal controllo diventa praticamente impossibile fermare.
Certamente se pubblicati su siti di streaming “ufficiali” è possibile richiederne il “takedown” e la immediata rimozione, ma nella realtà i gruppi di condivisione fanno uso di piattaforme cifrate e chiuse come Telegram, Singal, Kik, etc… che non permettono né di visionare cosa si stanno scambiando le persone né di eliminare i contenuti.
L’intervento post divulgazione quindi è molto limitato, si può certamente ricorrere al Garante della Privacy come ha fatto il De Martino, ma senza sperare che sia risolutivo. Chiaramente qualcuno si farà delle remore in più e, letto l’intervento del Garante, comprenderà che la divulgazione dei video non solo è un illecito ma è anche un reato.
Purtroppo qualunque contromisura presa dopo l’esfiltrazione dei video è poco efficace, motivo per il quale è importante investire del tempo a prevenire l’eventuale attacco o accesso e mettere in sicurezza i propri sistemi di videosorveglianza.
