Siamo spiati. Dentro casa. Dalle migliaia di telecamere comprate da noi in rete. Ci guardano, ci osservano nei nostri momenti più intimi. Sanno quando siamo in casa e quando no, conoscono le nostre abitudini. Tutto. Ed è colpa nostra.
Shodan è una specie di Google dei cyber criminali. È lì (ma non solo, anche in altri portali) che si possono trovare e identificare tutti i dispositivi IT e gli indirizzi ip - cioè le stringhe alfanumeriche - che individuano le telecamere in rete, preceduta dal codice rtsp. Basta scegliere una località, Italia, si copia l'indirizzo sul player di video VLC (software gratuito che si trova online) e in un attimo si spalanca un mondo. Il vostro. Gratis. Le immagini si possono registrare, manipolare, condividere. Basta un po' di astuzia per individuare la zona, l'isolato e l'appartamento.
In questo viaggio dentro la pancia del web ci siamo fatti accompagnare da un hacker etico non nuovo a queste denunce choc che ha scoperto l'inghippo e l'ha già denunciato all'autorità giudiziaria. Ne è venuta fuori una chiacchierata di 10 minuti che sarà online su ilGiornale.it. Andrea Mavilla a questa indagine ci lavora da settimane, proprio mentre a Milano il tribunale stava processando con rito abbreviato cinque informatici. Dalle indagini del pm Giovanni Tarzia era emerso che gli imputati avevano diffuso online le immagini delle telecamere di sorveglianza di case e negozi e avevano venduto nel social russo VKontaktea le credenziali di accesso (50 password a 10 euro), a volte identiche a quelle di default. L'altro giorno è arrivata la condanna da 30 mesi a 3 anni per "associazione per delinquere" e "detenzione/diffusione abusiva di codici atti all'accesso a sistemi informatici", in assenza delle migliaia di ignare parti lese.
In questo caso, per colpa della scarsa protezione informatica di questi dispositivi, non serve nemmeno la password. E in più per alcuni reati, come "l'accesso abusivo al sistema informatico o telematico protetto da misure di sicurezza" non si può procedere senza la denuncia delle vittime. Ma nessuno sa di essere spiato a sua insaputa, denuncia Mavilla.
Alla stringa rtsp://109.115 eccetera appaiono le immagini di un garage al buio. A un altro 2.36 c'è una cantina, a un altro indirizzo un cortile con delle auto parcheggiate, e ancora una stanzetta, un ingresso con cucina, c'è un ufficio con quattro persone alla scrivania, c'è persino un negozio di toelette per cani dove si vede un uomo di circa 60 anni con la camicia azzurra che aspetta il suo animale domestico. Si possono anche sentire le conversazioni.
In attesa che l'autorità giudiziaria (quale?) decida se aprire o meno un'inchiesta, è plausibile che intervenga anche il Garante della Privacy - a cui il Giornale è pronto a mettere a disposizione le immagini, girate a fini di cronaca e custodite in un server con password - ma anche la politica dovrebbe interrogarsi. "È necessario - suggerisce l'hacker - che le persone abbiamo maggiore consapevolezza quando acquistano le telecamere".
Il suggerimento è quello di comprare le telecamere con standard di sicurezza elevati e protette da mail come Google o Apple che garantiscono di per sé un livello di protezione dei dati personali necessario (ma non sufficiente) per scongiurare il rischio di sentirci spiati a casa nostra.
