C'è un motore di ricerca per sbirciare nelle case altrui

Si chiama Shodan ed è noto come il motore di ricerca per internet delle cose, Internet of Things. Di recente ha aggiunto una nuova categoria di ricerca in cui trovare screenshot provenienti da webcam non sicure. Qui si possono osservare immagini geolocalizzate e provenienti da tutto il mondo, inviate su internet in tempo reale senza alcuna protezione di sicurezza. Gli utenti del servizio possono addirittura guardare quello che fa la gente nel proprio focolaio domestico, praticamente ad insaputa della vittima.

Stando a Dan Tentler, ricercatore che ha trascorso molti anni a studiare la sicurezza di Internet of Things e nello specifico quella di webcam e telecamere di sorveglianza, all'interno del servizio non è difficile imbattersi in immagini provenienti da piantagioni di marijuana, banche, bambini che dormono, cucine, salotti, garage, giardini, piscine, scuole, laboratori e registratori di cassa all'interno dei negozi. Del resto basta effettuare una rapida ricerca su Shodan per accorgersene da soli.

Shodan, immagine catturata da una webcam in Giappone

Di solito le webcam utilizzano il protocollo RTSP (Real Time Streaming protocol) sulla porta 554 per condividere il video online. Spesso però i proprietari non utilizzano password di sicurezza ed è qui che subentra Shodan: il servizio utilizza uno script per scandagliare il web in cerca di indirizzi IP con quelle specifiche porte aperte e che stanno eseguendo lo stream di un video. Una volta trovata la "vittima" Shodan scatta uno screenshot, salva alcuni dati, e passa avanti alla ricerca di una nuova cam scoperta.

Stiamo parlando di un'enorme violazione della privacy degli utenti, con questi che vengono cercati e trovati in tutto il mondo. Ma dall'altra parte, come scrive ArsTechnica, stiamo anche assistendo allo "stato patetico" in cui versa il mondo della Internet of Things sul versante della sicurezza. La FTC ha fatto qualcosa in passato per garantire che i produttori adottassero alcune metodiche per garantire la privacy degli utenti di webcam e telecamere di sorveglianza, ma sembra che gli sforzi effettuati sino ad oggi non bastino.

Nel 2013 la Commissione aveva sanzionato il produttore TRENDnet per aver esposto "le vite private di centinaia di consumatori al pubblico", ma le stime di Tentler parlano di "milioni di webcam insicure connesse e facilmente rintracciabili da tutti su Shodan". Un numero tra l'altro che è destinato a crescere, visto che da una parte vede consumatori disinteressati o semplicemente che ignorano la situazione, dall'altra produttori che puntano al ribasso nel tentativo di conquistare il mercato con il prodotto più economico possibile.

Le idee per arginare il fenomeno ci sono, come ad esempio introdurre una certificazione basata su criteri di sicurezza e classificare i singoli prodotti, tuttavia i problemi di questo fenomeno potrebbero trovarsi ancora più in radice, con la noncuranza del consumatore finale che rappresenta in moltissimi casi il problema più difficile da abbattere. L'articolo approfondito di ArsTechnica può essere trovato in questa pagina (in lingua inglese).