“Rubavano” le immagini riprese dai sistemi di videosorveglianza all’interno di abitazioni private ma anche degli spogliatoi di piscine e palestre o dei camerini dei negozi di abbigliamento in 10 città italiane, mettendole le registrazioni o le immagini “live” a disposizione di coloro che erano disposti a pagare 20 euro per questo servizio illegale. A finire nella rete della Polizia Postale di Milano, con il coordinamento della struttura romana e della Procura della Repubblica di Milano, sono due organizzazioni criminali individuate grazie a un’operazione di polizia giudiziaria. L’accusa per gli indagati, che sono stati sottoposti a perquisizioni domiciliari e informatiche, con il sequestro dei materiali rinvenuti, è di aver messo in piedi un sistema criminale finalizzato alla violazione, mediante intrusioni informatiche, di impianti di videosorveglianza. I contenuti ottenuti illegalmente venivano messi sul mercato attraverso gruppi social: uno “premium” attraverso il quale gli amministratori condividevano le registrazioni, e uno “vip” che consentiva di accedere alle dirette in streaming dei sistemi di videosorveglianza violati.
La storia delle indagini
A dare il via alle indagini è stata la segnalazione di un cittadino, da cui è partita un’analisi forense sullo smartphone sequestrato a uno degli indagati nell’ambito di un altro procedimento penale. Per una delle due organizzazioni sgominate gli inquirenti sono arrivati a ipotizzare l’accusa di associazione per delinquere.
Secondo quanto accertato dagli investigatori, il primo anello delle organizzazioni era composto da criminali informatici che scandagliavano la rete alla ricerca di impianti di videosorveglianza connessi a Internet, e che si occupavano di hackerare i sistemi e di introdursi nei network utilizzati dalle videocamere, ottenendo accessi abusivi. Una volta entrati in possesso delle credenziali per violare i sistemi, altri operatori delle stesse organizzazioni catalogavano il tipo di impianto, la tipologia degli ambienti ripresi e la qualità delle immagini, selezionando quelli più “interessanti” da tenere sotto controllo, compresi bagni e camere da letto, per arrivare a spiare le vittime inconsapevoli nei loro momenti di intimità, sia nelle abitazioni private sia ad esempio all’interno di alberghi.
Una volta completata questa fase di selezione, le credenziali venivano passate a un terzo gruppo di operatori che avevano il compito di creare delle vere e proprie “vetrine” online per vendere i contenuti in rete. Secondo quanto risulta dalle indagini, le organizzazioni erano anche impegnate a reinvestire quanto ottenuto per migliorare i propri sistemi tecnologici per gli attacchi futuri. Per diffondere i contenuti gli hacker avevano scelto la piattaforma “VKontakte”, una sorta di Facebook per il mercato russo, e il sistema di instant messaging Telegram.
L’operazione, a cui hanno preso parte anche la Polizia Postale di Napoli e Catania, sono stati sequestrati 10 smartphone, 3 workstation, 5 Pc portatili, 12 hard disk e capacità in i cloud, per una capacità di storage in cloud, per complessivi 50 Terabyte di memoria disponibile. Sotto sequestro sono inoltre finiti tutti gli account social utilizzati dagli indagati e diverse migliaia di euro, una parte dei quali accantonati sottoforma di criptovalute.
Come difendersi: i consigli della Polizia Postale
Ma come difendersi da questo genere di intrusioni informatiche? Il primo passo è “di affidarsi, nell’installazione di impianti di videosorveglianza, a professionisti di comprovata affidabilità, evitando soluzioni ‘fai da te’, a meno che non si disponga di solide e specifiche competenze tecniche – si legge in una nota della Polizia postale – Gli attuali sistemi di videosorveglianza, infatti, sono a tutti gli effetti sistemi informatici connessi ad internet e, come tali, sono esposti alle fisiologiche insidie della rete. Necessitano quindi di costanti aggiornamenti software per eliminare vulnerabilità di sistema e, naturalmente, vanno configurati in maniera adeguata”.
“Ad esempio – prosegue la Polizia Postale – è preferibile inibire l’accesso tramite web per il controllo remoto delle telecamere e optare per sistemi “peer to peer” tramite cloud (a patto però che ci si orienti verso dispositivi realizzati da primarie aziende del settore, evitando assolutamente prodotti acquistabili online a basso costo). Inoltre, anche se può apparire scontato e banale, si raccomanda sempre di cambiare la password di default per l’accesso all’interfaccia di configurazione – scegliendone una robusta, che contenga almeno otto caratteri, con lettere minuscole, maiuscole (possibilmente non all’inizio), numeri e caratteri speciali – e orientare le telecamere in modo da non inquadrare bagni, camere da letto e altri ambienti ‘sensibili’ per l’intimità delle persone”.