#383 – Proteggere i dispositivi

Questa puntata non arriva dall’aldilà come pare dalla voce che sentite. Ho solo mal di gola ed è stata registrata con una settimana di anticipo rispetto alla sua uscita, perché il fine settimana appena passato sono stato ospite al Linux Day di Pordenone e non ho avuto modo di registrarla e pubblicarla dal mio ritorno al lunedì mattina. Registrarla in treno non sarebbe stata una buona idea.
Buon ascolto e ci sentiamo, spero resusictato, la prossima settimana.

La storia è vecchiotta, se ne parlò parecchio nel 2023 persino in TV in un servizio delle Iene, che io non guardo, io non guardo proprio la TV, mi fecero vedere una registrazione, dove andarono a bussare alle porte di un’azienda dicendo loro che tutte le loro telecamere di sicurezza erano facilmente raggiungibili su Internet e l’azienda li cacciò via in malo modo, senza comprendere la portata del problema.
Un po’ come quando vedo la gente che sblocca il telefono senza PIN, impronta o sblocco con la faccia, mi permetto di dire che non è proprio il massimo della sicurezza, visto tutto quello che c’è nel telefono e vengo sistematicamente mandato a quel paese.
Non lo faccio con gli sconosciuti, ovviamente.
La questione delle telecamere di sicurezza esposte senza protezione alcuna è tornata alla ribalta dopo che si è scoperto che erano pubbliche quelle di un noto conduttore TV a casa sua.
Magari è il caso di fare un ripasso sulla sicurezza dei nostri dispositivi e delle nostre reti.
Non fai mai male e qualcuno, sentendo nuovamente cosa è bene fare, si alza e lo fa.

Questa puntata è stata realizzata grazie alle indispensabili donazioni di generosi ascoltatori che rimarranno sconosciuti fino alla settimana prossima, per i motivi che vi ho detto a inizio puntata.
Se volete donare per ascoltare la puntata extra di Ottobre avete ancora un po’ di tempo, bastano solo 3€.
Potreste persino pensare a un piccolo abbonamento. EH? EH?

Prima di iniziare, vi ricordo che potete contattarmi in mille modi, se preferite i social, su Bluesky sono francesco.iltucci.com, su Mastodon sono cesco_78 sull’istanza mastodon.social o pilloledibit sull’istanza hackyderm.io. Non ho altri social.
Se preferite la mail potete scrivere a [email protected]. Trovate tutti i link comodi comodi sull’app dalla quale state ascoltando la puntata o sul sito, rispondo sempre, se siete educati.
Il metodo migliore è iscriversi e usare il gruppo Slack attivo durante tutta la settimana, dove si parla delle puntate e di tecnologia in generale, lo trovate a pilloledib.it/slack, mi raccomando, all’ingresso vi sarà chiesto di compilare un rapido modulo per presentarvi e per confermare di aver letto il regolamento, non spaventatevi.

Inutile ripeterlo, credevo, invece serve.
Ogni dispositivo o sistema digitale, se connesso, in certi casi anche se non connesso, va protetto.
Esattamente come siamo abituati a chiudere la porta di casa e l’automobile quando ci allontaniamo.
Le auto nuove adesso ti avvisano via app se non hai chiuso le portiere, un po’ di ansia in meno.
Tutte le cose che ci passano per le mani, che colleghiamo a una rete, con un filo o senza, che accendiamo, configuriamo, alle quali accediamo da remoto tramite un’app, tutti i sistemi che contengono qualcosa di nostro, i soldi, i dati, degli oggetti, tutto. Va tutto protetto e va protetto bene.
Perché c’è gente in giro che non fa altro che pensare metodi per fare soldi sulle spalle e sulle tasche di chi non sta attento.
E bisogna imparare a stare attenti.
Anche se le cose ci sembrano difficli.
Se sono troppo difficili è necessario chiedere aiuto.
Tutto quello che facciamo per semplificare qualcosa che impatta sulla sicurezza ci espone a un rischio.
Allacciare la cintura di sicurezza in auto è noioso.
C’è gente che, per evitare il cicalino, la lascia attaccata e ci si siede sopra.
È comodo fino a quando, a causa di un incidente, l’airbag non ci sfonda la faccia o ci trovano a 100m dal luogo dell’impatto perché siamo stati catapultati fuori.
E forse siamo ancora vivi. Forse.
La stessa cosa vale per i dispositivi tecnologici.
Compriamo le telecamere, ci scoccia cambiare la password di default o è noioso e dispendioso chiamare qualcuno che ci aiuti a fare un lavoro fatto per bene ed ecco che ci si trova con i video di casa propria su youtube prima e sui tg dopo.
Ci sono dei siti dove è possibile, da molti anni, accedere a decine di migliaia di sistemi lasciati ad accesso pubblico. Telecamere, computer, pannelli di controllo di centraline, di tutto.
E non perché ci sono hacker che passano la notte a cercarli.
Ci sono dei bot automatici che scandagliano la rete, trovano una porta aperta, verificano il protocollo, testano l’accesso ed ecco che hanno trovato un sistema vulnerabile.
Un po’ come se qualcuno passasse vicino ad ogni auto parcheggiata e cercasse di aprirla, quella non chiusa finisce su un sito “a quell’indirizzo c’è una panda rossa che non è chiusa”.
Come ci si protegge da tutto questo?
Alcune cose le ho già dette, altre forse saranno nuove, iniziamo la lista delle cose fatte per bene.
Usate un password manager
Usate una password lunga e diversa per ogni servizio che avete, ovunque. Non serve che ve la ricordiate, se la ricorda il password manager.
Attivate l’autenticazione a due fattori per ogni servizio che la richiede, meglio di no con SMS, molto meglio con APP, ancora meglio con chiavetta di autenticazione.
Se possibile usate le passkeys.
Mettete la password a ogni vostro computer, anche quello che usate a casa, che poi lo portate in vacanza, lo attaccate alla WiFi dell’hotel e qualcuno può entrare.
Proteggete tutti i vostri dispositivi mobili con PIN di almeno 6 cifre e sblocco biometrico. Mettete PIN seri. Non fatevi vedere se li sbloccate con PIN in pubblico.
Sappiate come bloccare i dispositivi in fretta se ve li rubano.
Quando comprate un dispositivo da collegare in rete a casa, se ha una password di default, cambiatela con una vostra alla prima installazione, non dite “lo faccio dopo”, che poi non lo fate.
Router, switch gestiti, access point, telecamere, sensori, NAS, ogni cosa.
Mettete una password seria alla rete WiFi e non datela a nessuno, se volete dare la WiFi ad amici e parenti fate la rete guest.
Se un dispositivo, per essere raggiunto dall’esterno, chiede di fare un intervento sul router, nella sezione portforwarding, non fatelo.
Studiatevi Tailscale e usate quello, oppure fatevi aiutare da qualcuno che ne sa per installare una VPN per accedere alle risorse di casa.
Se avete dei dispositivi che necessitano di un’app per essere gestiti, mettete password serie e autenticazione a due fattori, sempre.
Se sono dispositivi che gestite in più persone e poi, per qualche motivo quelle persone non li devono gestire più, perché finisce l’anno accademico, vi lasciate o altro, fate in modo che siano subito fuori dalla gestione. Se non ci riuscite, staccateli dalla corrente e dalla rete.
Le telecamere, di solito, vanno accese solo quando in casa non c’è nessuno, se c’è qualcuno vanno tenute spente. Questa regola non vale solo nella casa del Grande Fratello.
Se sono telecamere di sicurezza è davvero poco utile, oltre che rischioso, metterle in posti sensibili della casa, come il bagno e la camera da letto.
Se le usate per controllare qualcuno, come bambini piccoli o parenti anziani, ricordatevi che hanno violato una marea di telecamere, anche se ben configurate, hanno scoperto che alcune telecamere di controllo per bambini permettevano a sconosciuti di parlare con loro.
Comprate un router evoluto, le installate, non permettete loro di accedere ad Internet con una regola specifica in uscita sul firewall e le controllate in modo diretto sul loro flusso video dalla rete di casa o via VPN, niente app proprietaria.
Vi ricordo anche che uno dei più grandi attacchi DDOS della storia è avvenuto tramite telecamere esposte su Internet che erano vulnerabili a causa di un bug software e una password di amministrazione non sostituibile nel firmware originale.
Per questo, mai fare portforwarding di nessun dispositivo verso l’esterno.
Se mettete una sistema di videosorvglianza con DVR, di qualsiasi tipo e l’installatore vi dice di pubblicare una porta per vederlo da ovunque, meglio di no, molto meglio una VPN.
Se l’installatore non lo fa, fatelo voi, cambiate la password.
Nel mio lavoro passato ho girato molti negozi e piccoli supermercati, tutti con DVR, marche e modelli diversi, tutti con la porta standard pubblicata tutti con la password di default mai cambiata.
Riuscivo ad accedere perché alla mia domanda “la password delle telecamere qual è?” la risposta era sempre “non lo so”
Cercavo su Google la marca del DVR e la parola chiave “default password” e ci prendevo sempre.
E se l’installatore vi dice “ma tanto chi vuoi che scopra che sono proprio le tue telecamere” ditegli di lasciare la macchina aperta da ora in poi, tanto chi vuoi che se la porti via. Vediamo cosa vi risponde.
Tutto questo che vi ho detto sembra paranoia.
Poi si scopre che i video finiscono sul mercato nero, sui social, in TV.
No, non è paranoia.

Questo podcast vive perché io lo produco, lo registro e lo pubblico settimana dopo settimana o quasi. Ma continua ad andare avanti perché la soddisfazione di vedere le notifiche delle donazioni mi spinge a fare sempre nuove puntate, come ringraziamento e impegno nei vostri confronti. Se esce ogni settimana è grazie a voi.
E se donate, compilate il form, vi spedisco anche i gadget, così siamo tutti contenti.
Potete farlo con Satispay, SumUp o Paypal.
Potete partecipare anche usando i link sponsorizzati di Amazon o acquistare la connettività o uno degli altri servizi di Ehiweb, che sponsorizzo con molto piacere da tempo, un gestore di connettività come loro non lo trovate in giro.
Oltre alla connettività per casa FTTH o FTTC, hanno le SIM, posano fibra dedicata per le aziende, fanno servizio VoIP, hanno un supporto spaziale e tutti i loro dipendenti sono assunti a tempo indeterminato.
Provateli, non tornerete più indietro.
E se avete bisogno di un servizio di Hosting, andate da ThridEye, che ospita da anni il sito del podcast, ho fatto la mia scelta e anche qui il livello è altissimo, i contatti sono sul sito.

Il tip di oggi non è tecnologico, ma culturale. Quante volte in inglese avete letto una parola e vi siete chiesti come fosse la pronuncia corretta?
Non è una cosa banale e ho trovato un canale su Youtube, che seguono in 25.000 persone, quindi magari lo conoscete già, dove Teo the Teach vi spiega come pronunciare le parole più terribili della lingua inglese, versione britannica. Lo fa bene e in modo divertente, vi lascio nelle note il link al suo canale

Questa puntata di Pillole di Bit è giunta al termine, vi ricordo che se ne può discutere nel gruppo Slack e che tutti i link e i riferimenti li trovate sull’app di ascolto podcast o sul sito, non serve prendere appunti.
Io sono Francesco e vi do appuntamento a lunedì prossimo per una nuova puntata del podcast che, se siete iscritti al feed o con una qualunque app di ascolto vi arriva automagicamente.

Grazie per avermi ascoltato

Ciao!