e videosorveglianza di rete
Nell’accedere con lo smartphone o il pc al sistema di videosorveglianza aziendale o di casa vostra, vi siete mai chiesti se al sistema accedete davvero soltanto voi? La risposta più immediata è sì: abbiamo creato una buona password – una di quelle lunghe, con caratteri speciali, con almeno una lettera maiuscola, con dei numeri – insomma, una di quelle password che la fantasia di “CRYPTO” è anni luce distante. Eppure il bug sta proprio nel nostro modo di vivere quotidiano: per non dimenticare la password, ce la scriviamo. Un problema dal quale la videosorveglianza non è esonerata.
Se già negli anni 90 si recitava il detto “non esiste il personal computer sicuro, se non quello spento e scollegato dalla rete elettrica”, l’esposizione al rischio è assai più elevata ora, che le macchine sono sempre accese e sempre pronte a rendere il servizio che da esse ci attendiamo. E’ ovvio, un sistema di videosorveglianza non può essere spento, deve lavorare in modalità 24h su 24h e 7 giorni su 7, peraltro siamo in grado di garantirgli elettricità in caso di black out, possiamo conferire stabilità con dischi garantiti al funzionamento “Surveillance Dedicated”, ultraveloci e più duraturi… ma qualcosa è rimasto indietro.
Quando dimentichiamo la password del nostro pc, per riaccedere abbiamo a disposizione degli strumenti per “violare” la stessa nostra sicurezza: accediamo fisicamente alla macchina, accediamo al disco ed ecco violata anche la nostra password più complessa, l’abbiamo cancellata! Ma abbiamo acceduto fisicamente al sistema con vari strumenti (una penna usb, un CD, un DVD) per operare il ripristino. Bene, tutto questo lo vediamo quotidianamente anche nelle operazioni forensi: la creazione di immagini di dischi, la lettura di porzioni di dati, l’accesso ad uno smartphone, l’accesso al più alto livello ai nostri dati in maniera del tutto fisica rispetto al supporto stesso di contenimento dei dati – cosa che ovviamente non è più garantibile con alcuni moderni prodotti di videosorveglianza. Normalmente, nelle operazioni forensi di recupero delle immagini video registrate, qualora queste siano di provenienza di un digital video recorder, viene richiesto l’intero apparato. Questo perché la scrittura dei dati nel supporto rigido (hard disk) avviene in data striping, leggibile cioè solo dalla macchina stessa che li ha registrati.
Ma prima come si faceva? Anche con i vecchi digital video recorder era possibile azzerare la password, così come con i pc, nella mainboard c’era infatti un piccolo jumper da spostare che permetteva di azzerare la password di sistema, ma era comunque un accesso fisico: potevamo controllarlo. L’accesso via rete è più complicato, non suona il campanello e non ha la valigetta e gli occhiali quadrati del buon vecchio tecnico o nerd. La porta blindata e la cassaforte non bastano più. Ma questa opzione, almeno, è disattivabile? La risposta è secca: no. Quest’opzione esiste anche su altri prodotti come le telecamere? La risposta anche qui è secca: sì, è disponibile anche nelle telecamere IP.
E quindi? La nostra Privacy? Il Garante? Le Leggi? Come possiamo difenderci? Certamente, al semplice pensiero diviene tutto aleatorio e inutile: anzi, avremmo di che scrivere e tenere corsi per il prossimo decennio. Però esiste un comportamento che possiamo e dobbiamo tenere e trasmettere: osservare, chiedere ed informarci al meglio non solo del prezzo migliore o dell’aspetto più accattivante del prodotto che ci viene offerto, ma anche della sicurezza che possiamo applicare al sistema, quindi del grado di controllo che possiamo avere sulla tecnologia sulla quale andremo ad operare. In questo modo non solo abbiamo messo in sicurezza la Videosorveglianza, ma anche noi stessi da un problema di cui eravamo all’oscuro. L’analisi e le richieste devono avvenire a più ampio spettro: non bastano password o firewall a difenderci da attacchi sconsiderati, ma è essenziale sapere come possiamo difenderci dal controllo esterno sui nostri sistemi perché non è solo importante evitare che ci vengano rubate le immagini, ma accorgerci che fa più male avere un sistema che non risponde più ai nostri comandi e alle nostre password.
