Piuttosto che rischiare conviene affidarsi agli specialisti: i consigli di Federico Bertamino esperto di reti informatiche e fondatore di Altatensione.
Ogni sistema di registrazione per videosorveglianza in Italia è a rischio attacco hacker, in primis a causa della mancata manutenzione. In Italia il concetto di manutenzione programmata fa fatica ad entrare nella mentalità di installatori e clienti finali e, salvo il caso di sistemi di videosorveglianza molto grandi o estesi, è molto difficile organizzare un piano di gestione degli aggiornamenti.
Un sistema di videocontrollo viene tendenzialmente abbandonato a se stesso per anni: è quindi normale aspettarsi che, con il passare del tempo, esso sia sempre più esposto a pericoli e vulnerabilità per le quali non riceverà nessuna patch di sicurezza. Si pensi inoltre che, soprattutto per la fascia di registratori più economici, l’obsolescenza è molto rapida: nel giro di quattro o cinque anni, o forse anche meno, è possibile che il produttore non rilasci nuovi firmware per quello specifico modello.
Come blindare il proprio sistema di Videosorveglianza
Come proteggersi quindi? “Occorre blindare ogni impianto di videosorveglianza, anche il più umile, osservando piccoli ma utili accorgimenti volti a mitigare il rischio di attacco”, spiega Federico Bertamino, esperto di reti informatiche e fondatore di Altatensione, azienda che da oltre dieci anni si occupa di sistemi di sicurezza.
“La scelta del verbo mitigare non è casuale”, prosegue. “In ambito cybersecurity il rischio zero è ottenibile solamente mantenendo l’impianto fisicamente disconnesso dalla rete. Nel 2023 non è più pensabile un approccio superficiale a impianti e apparati che prevedano la connessione a internet. Un installatore di sicurezza, lo dice la parola stessa, deve provvedere non solo a garantirla ai propri clienti, ma ancor prima ai propri impianti, sempre più esposti ai pericoli del cyber crimine. L’installatore dovrebbe, in particolare, valutare alcuni aspetti: gestione delle password, dei privilegi, dell’accesso. Per quel che riguarda le password, purtroppo, troppi impianti vengono esposti sul web senza che le password di default siano state modificate. Per avere un’idea di quale rischio comporti, basta visitare il sito shodan.io che rappresenta un vero e proprio “Google” degli impianti connessi a Internet con credenziali di default. Peraltro, Shodan è in grado di indicizzare questi impianti. Cosa significa? Significa che esistono tecnologie che scansionano la rete alla ricerca di impianti vulnerabili in maniera automatica e, una volta trovati, essi vengono aggiunti a questo grande database. Utilizzare password sicure e robuste è una misura minima di sicurezza, applicabile da chiunque e per la quale è necessario solo un po’ di buon senso. Se l’apparato lo consentisse sarebbe inoltre consigliabile disabilitare l’utente admin e creare un amministratore con un nome diverso. Infatti, dal momento che admin è l’utente di default di qualsiasi apparato di videosorveglianza, è probabile che un eventuale attacco sarà rivolto a lui. Per ciò che riguarda i privilegi, ogniutente deve possedere almeno quelli minimi per fare ciò che gli compete. Nulla di più. È assolutamente sbagliato consegnare utenti con privilegi di amministrazione a persone che devono semplicemente visualizzare il live o il registrato di un sistema di videocontrollo. Si tenga presente che la maggior parte degli attacchi informatici non nasce, infatti, grazie a prodigiosi e talentuosi ragazzi che digitano comandi su una tastiera, ma molto più banalmente da errori e disattenzioni degli utenti finali. Minore è il numero delle persone che godono di accesso completo ad un sistema, minore è il rischio che quel sistema venga violato».
Gli errori più comuni
Non basta. “Sulla gestione dell’accesso”, prosegue Bertamino,, il problema è che il principale vettore di collegamento a internet dei sistemi di videosorveglianza è il Cloud fornito dal costruttore. Questo servizio, innegabilmente comodo, equivale però a delegare un perfetto estraneo a entrare e uscire dalla nostra rete senza peraltro chiedere alcun permesso. Nessuno affiderebbe mai a un estraneo le proprie chiavi di casa, il Cloud è esattamente la stessa cosa. Attenzione: non si vuole assolutamente intendere che i principali produttori di sistemi di videocontrollo vogliano deliberatamente utilizzare questi collegamenti in rete per compiere malefatte in prima persona. Si vuole piuttosto ricordare che, nel caso siano loro, per primi, vittime di un attacco informatico, esso potrebbe propagarsi senza controllo anche in ognuna delle nostre reti. L’esposizione di un sistema di videosorveglianza su IP pubblico tramite la procedura di port forwarding rappresenta il modo migliore di procedere rispetto al Cloud, ma anche questo non è esente da rischi. La parola pubblico, del resto, non dà adito a fraintendimenti: chiunque può trovarlo. Quando si esegue un’esposizione su IP pubblico si ricordi di limitare il numero di porte aperte allo stretto necessario per il funzionamento di app o software, evitando di lasciare i sistemi di registrazione esposti su tutto il range (che va da 0 a 65.535)”.
Quando è necessario rivolgersi a uno specialista
Come proteggersi allora? “L’accesso a un sistema di videosorveglianza tramite VPN rappresenta l’unico modo di procedere davvero sicuro. Quando si accede in VPN ad una rete LAN, infatti, si hanno a disposizione tutte le risorse lavorando con la stessa sicurezza che si avrebbe trovandosi fisicamente nel luogo di installazione, senza bisogno di dover lasciare nulla esposto sul web. Certo, per l’utente finale questo rappresenta uno scalino di difficoltà di gestione aggiuntiva e anche per l’installatore sono necessarie competenze nel mondo delle reti informatiche più elevate”. Forse non proprio alla portata di tutti, ma piuttosto che rischiare può valer la pena affidarsi a qualcuno di esperto che possa provvedere in tal senso.
A proposito di sicurezza, leggi anche Una cassaforte contro i ladri di dati personali e aziendali
