8BitSecurity

il blog in italiano!

News, approfondimenti e knowledge sharing per una Cybersecurity a tutto bit

Come Mettere in Sicurezza le Telecamere Wi-Fi: guida tecnica e buone pratiche

Copertina articolo

Hai riempito la tua casa di dispositivi IoT, ma sei sicuro di averli messi in sicurezza, o sarai tra le vittime che finiranno nel prossimo articolo di giornale che parla di Shodan? In questo articolo forniamo una guida per una convivenza sicura con i tuoi dispositivi IoT.

Lorenzo Langeli
5–8 minuti

di lettura

Lo so come ti senti: quel bisogno irrefrenabile di avere una casa smart che risponde ai tuoi comandi e asseconda la tua pigrizia; quel desiderio inarrestabile di controllare cosa succede dentro e fuori casa tua in qualsiasi momento (soprattutto se hai un animale domestico). Ok, ma adesso che hai riempito la tua casa di dispositivi IoT (Internet of Things), sei sicuro di averli messi in sicurezza, o sarai tra le vittime che finiranno nel prossimo articolo scandalistico il cui autore pensa di aver scoperto l’esistenza di Shodan?

Se non sei completamente sicuro della risposta, ti conviene dare una lettura ai consigli che lasciamo in questo articolo, per una convivenza sicura con i tuoi dispositivi IoT (soprattutto telecamere!).

Capire l’IoT domestico

Dal punto di vista tecnico, un ecosistema IoT domestico è composto da tre livelli principali:

  1. Dispositivi endpoint, ovvero sensori, attuatori e device connessi (telecamere, lampadine smart, assistenti vocali, TV, ecc.);
  2. Gateway o hub locali, che coordinano le comunicazioni interne alla rete (router domestici, hub Zigbee o Z-Wave, NAS, ecc.);
  3. Servizi cloud, che gestiscono autenticazione, aggiornamenti, storage e analisi dei dati generati dai dispositivi.

Questa architettura distribuita introduce diversi punti critici, perché le comunicazioni tra dispositivi e cloud, ad esempio, avvengono spesso tramite protocolli non cifrati o proprietari, mentre le interfacce web o API locali possono essere vulnerabili a exploit classici come command injection, directory traversal o autenticazione debole.

A questo, possiamo aggiungere produttori con competenze e politiche di sicurezza molto diverse, firmware raramente aggiornati e configurazioni di default che privilegiano la facilità d’uso rispetto alla protezione.

Come funziona una telecamera Wi-Fi

Le telecamere Wi-Fi sono tra i dispositivi più diffusi nelle case connesse. Si installano in pochi minuti, si gestiscono da app e promettono sicurezza. Sicurezza fisica forse, quella informatica un po’ meno: negli ultimi anni si sprecano i modelli di telecamere IP di brand noti e meno noti che sono stati coinvolti in vulnerabilità gravi, credenziali di default, firmware non firmati, servizi Telnet aperti, e funzioni cloud che inviano dati a server all’estero all’insaputa del proprietario.

Il problema è che una telecamera IP domestica è essenzialmente un piccolo computer: monta un sistema Linux embedded, un web server interno, un modulo Wi-Fi e un servizio di streaming video (RTSP o HTTP).
Quando la colleghiamo, succede più di quanto sembri:

  1. Avvia un server HTTP o RTSP per permettere la gestione e lo streaming;
  2. Effettua connessioni in uscita verso il cloud del produttore per l’autenticazione e l’accesso remoto (non sempre, ma può farlo!);
  3. Espone porte sulla rete locale, che in alcuni modelli restano raggiungibili anche da Internet se il router abilita UPnP o port forwarding automatico.

Tipicamente, chi finisce con esporre i video di casa propria su internet ha comprato telecamere da produttori di scarsa affidabilità che, più o meno intenzionalmente, vendono un prodotto pericoloso.

In questo senso, i problemi più comuni sono il protocollo UPnP esposto sul router, accesso remoto cloud mal configurato, credenziali di default deboli e firmware obsoleto.

Qualsiasi sia il tuo problema, vediamo insieme una serie di controlli che puoi adottare per verificare che effettivamente i tuoi dispositivi siano configurati correttamente.

Controlli tecnici concreti

Fase 1 — Prima dell’installazione

  1. Scarica il firmware più recente dal sito ufficiale del produttore.
    Verifica che la versione corrisponda all’ultima disponibile (consultando il changelog o la pagina “Support” del modello).
  2. Scegli la rete giusta: prepara una rete separata o VLAN dedicata ai dispositivi IoT.
    Se il tuo router ha un’opzione “Guest Wi-Fi”, abilitala e usala per la telecamera.
    Evita di collegare il dispositivo alla stessa rete dei tuoi PC o NAS.
  3. Prepara una password forte: Minimo 12 caratteri, alfanumerica, con simboli. Usa un password manager per conservarla.

Fase 2 — Durante la configurazione iniziale

  1. Connetti la telecamera localmente, senza ancora abilitarne l’accesso remoto. Completa il setup tramite l’app o l’interfaccia web.
  2. Aggiorna subito il firmware. Se l’opzione non appare, controlla nelle impostazioni avanzate (“Maintenance”, “Device Info”, o simili).
  3. Cambia credenziali di default (es. admin/admin o user/1234). Non riutilizzare password già impiegate altrove.
  4. Disattiva l’accesso remoto e il P2P cloud se non necessario. Se devi vedere la telecamera da remoto, configura una VPN sul router (es. WireGuard o OpenVPN).
  5. Attiva HTTPS o RTSPS se disponibili. Questo garantisce la cifratura dello streaming e delle credenziali di login.

Da qui in poi entriamo nella categoria “smanettoni”. Se non hai mai sentito parlare di Nmap o non sai come modificare il firewall del tuo router, puoi fermarti qui: hai comunque fatto un ottimo lavoro e puoi dormire sonno tranquilli.

Fase 3 — Controlli tecnici post-installazione

  1. Scansiona le porte aperte del dispositivo. Da un computer nella stessa rete, esegui:
    • nmap -sV 192.168.x.x

Puoi anche cercare il tuo IP su Shodan.io per verificare se risulta indicizzato.
Disattiva qualsiasi servizio non essenziale (Telnet, FTP, HTTP non cifrato, ecc.).

  1. Controlla il traffico di rete iniziale. Usa Wireshark o tcpdump per 5-10 minuti dopo la connessione e osserva eventuali connessioni verso domini o IP sconosciuti. Blocca traffico anomalo via Pi-hole, pfSense, o le regole DNS/firewall del router.
  2. Verifica la cifratura dello streaming: Se vedi pacchetti leggibili contenenti stringhe tipo GET /video o RTSP/1.0, il flusso non è cifrato. Se il produttore non supporta cifratura, valuta di bloccare lo streaming esterno e limitarlo alla LAN.
  3. Controlla i permessi dell’app mobile. Installa l’app solo dagli store ufficiali e revoca i permessi non necessari (contatti, posizione, microfono).

Fase 4 — Configurazione avanzata e monitoraggio

  1. Isola il traffico IoT con regole firewall.
    Il modo più efficace per limitare i danni di una compromissione è la segmentazione di rete. Crea una rete separata per tutti i dispositivi IoT. Se il tuo router non supporta VLAN, usa la “Guest Wi-Fi”.

Su un router OpenWRT o simile:

# Blocca l'accesso dei dispositivi IoT alla LAN

uci add firewall rule

uci set firewall.@rule[-1].src='iot'

uci set firewall.@rule[-1].dest='lan'

uci set firewall.@rule[-1].target='DROP'

uci commit firewall

/etc/init.d/firewall restart
  1. Consenti solo connessioni in uscita verso i domini del produttore. Crea whitelist DNS o regole firewall mirate. In caso di traffico anomalo, blocca l’IP e riavvia la telecamera.
  2. Abilita logging e monitoraggio. Se il router supporta Syslog, registra gli eventi e analizza connessioni periodicamente. Esamina eventuali tentativi di accesso non autorizzati.

Fase 5 — Mantenimento e revisione periodica

  1. Aggiorna firmware ogni 2-3 mesi o quando disponibile. Abilita notifiche automatiche di update se previste.
  2. Controlla trimestralmente la rete con Nmap e Shodan, come mostrato prima.

Conclusioni e best practice operative

Se vuoi mettere in sicurezza i dispositivi IoT domestici, devi adottare un approccio di architettura consapevole. Ogni oggetto connesso è un nodo di una rete più ampia e deve essere trattato con lo stesso rigore con cui si proteggerebbe un server o un endpoint aziendale.

In sintesi, le azioni più efficaci restano:

  • Separare i dispositivi IoT su una rete dedicata;
  • Aggiornare regolarmente firmware e applicazioni;
  • Disattivare i servizi inutili e l’accesso remoto diretto;
  • Utilizzare crittografia e autenticazioni forti;
  • Monitorare il traffico e le connessioni anomale.

Non puoi più pensare che la tua sicurezza digitale sia un optional: compreresti mai un lucchetto per poi lasciarci attaccata la chiave? No. Ecco perché, se ti metti in casa dispositivi che ormai sono mini-computer a tutti gli effetti, devi essere consapevole di quello che fai, e di quello che possono fare.

Anche per oggi è tutto. Se l’articolo ti è stato utile, vieni a seguirci su LinkedIn e lasciaci un commento, il tuo sostegno è importante per noi!

Ti è piaciuto l’articolo? Seguici su Linkedin per sostenerci!

Offrici un Caffè e Sostieni il Progetto!

8BitSecurity è un progetto Indipendente e Gratuito. Sostienici con un piccolo contributo!

DONAZIONE
, , , , , , , ,

consigliati