Vai al contenuto

Webcam accessibili involontariamente via Internet: come trovarle

Questo articolo era stato pubblicato inizialmente sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione.

Molte webcam moderne sono webcam IP: in altre parole, hanno un proprio indirizzo IP e si comportano come dei mini-siti Web il cui unico scopo è visualizzare quello che stanno inquadrando. Sono facili da installare e configurare e costano poco, per cui rappresentano un’alternativa molto diffusa alle tradizionali telecamere di sicurezza.

Ma c’è un piccolo problema: se le impostazioni di sicurezza della rete locale non sono regolate correttamente, il mini-sito Web della webcam è visibile da chiunque via Internet, ed è incredibilmente facile trovarlo. È sufficiente usare Google con un trucchetto.

Basta infatti digitare in Google inurl:indexFrame.shtml “Axis Video Server” o intitle:”Live NetSnap Cam-Server feed”, oppure una qualunque delle chiavi di ricerca pubblicate per esempio qui, per trovare webcam in ogni parte del mondo, come questa, questa o questa.

Per distinguere quelle lasciate intenzionalmente accessibili da quelle aperte per errore si può guardare se la webcam viene trovata da Google associandola a un indirizzo IP numerico o a un nome di dominio: nel primo caso è probabile che sia accessibile per errore.

Come se non bastasse, queste webcam sono anche comandabili a distanza per puntarle in varie direzioni e regolarne lo zoom. Si può poi usare l’indirizzo IP per determinare la zona in cui si trova la telecamera. Buona caccia.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Cerco software di webcam virtuale per fare “sottopancia” su Zoom. Idee?

Sto cercando una soluzione software semplice (più semplice di quella attuale, che è OBS) che mi permetta di configurare una webcam virtuale e di sovrapporre un logo o sottopancia (lower thirds o overlay), come nell’illustre esempio qui accanto, a un’immagine della webcam vera, da mandare in streaming durante sessioni Zoom.

Mi va bene sia per Windows, sia per macOS (se c’è per entrambi, tanto meglio). Anche a pagamento: l’importante è che sia molto facile da installare e configurare, perché dovrei fare un deployment di massa a utenti non esperti che hanno pochissimo tempo a disposizione, guidandoli nell’installazione. Idee?

Queste sono le proposte che mi sono arrivate fin qui:

  • Manycam (sembra promettente, Mac e Windows, 71 dollari per la licenza Standard)
  • Bandicam (ma non sembra avere una funzione picture in picture o simil per i sottopancia)
  • Ecamm (solo macOS, 16 dollari al mese)
  • SplitCam (macOS e Windows, gratuito)
  • Virtual-webcam (scartato per troppa complessità di installazione)
  • ChromaCam (macOS e Windows)
  • CamTwist (solo macOS)
  • AlterCam (solo Windows, 40 dollari licenza Home, 200 dollari licenza Business)

Aggiungo che ho già considerato i filtri video integrati in Zoom, ma non vanno bene perché si possono personalizzare soltanto per chi ha un account Zoom a pagamento e le persone alle quali vorrei fornire un sottopancia non hanno account di questo tipo. Inoltre non posso acquisire i video da Zoom, aggiungere i sottopancia e poi far uscire altrove il video risultante: tutto deve svolgersi in Zoom e all’interno della stessa sessione Zoom.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Informatico scopre falla in macOS che consente anche di attivare la webcam: Apple lo premia con oltre 100.000 dollari

Ultimo aggiornamento: 2022/01/28 2:40.

Se avete un computer Apple, aggiornatelo appena possibile alla versione più
recente di macOS, la 12.2. Un informatico, Ryan Pickren, ha infatti scoperto
una serie di falle davvero notevoli nella sicurezza dei computer di questa
marca, che permettevano di prendere il controllo di tutti gli account
aperti della vittima e, ciliegina sulla torta, anche della sua webcam. 

La buona notizia è che l’aggiornamento a macOS 12.2 chiude queste falle e
Pickren è un hacker buono, ossia uno di quelli che invece di tenere per sé un
potere del genere o rivenderlo a qualche banda di criminali informatici
contatta le aziende e segnala le vulnerabilità, tenendole segrete fino al
momento in cui sono disponibili delle correzioni. Per questa sua scelta
responsabile Apple lo ha ricompensato con 100.500 dollari, come previsto dal
programma di
bug bounty
dell’azienda, che prevede premi variabili a seconda della gravità della falla
segnalata responsabilmente.

Ma come è possibile che delle falle di un sistema operativo (in questo caso
macOS) permettano di prendere il controllo degli account della vittima? A
prima vista sembrerebbero due cose molto distinte. Pickren ha
spiegato
i dettagli della sua
tecnica di attacco.

Il primo passo è molto banale: convincere la vittima a visitare con Safari, il
browser standard di Apple, un sito che fa da trappola. Il sito non contiene
virus o altro: ospita semplicemente un documento innocuo, per esempio
un’immagine di un tenerissimo cucciolo o il classico
buongiornissimo caffé, collegato tramite un link (URI) speciale,
icloud-sharing:, che viene usato normalmente da Safari per i documenti
condivisi tramite iCloud.

In pratica la vittima, quando visita il sito-trappola, riceve un invito a
scaricare un documento condiviso innocuo. Se accetta, come è probabile se il
documento ha un nome allettante, Safari scarica il documento stesso. La
vittima apre il documento, vede che è una foto non pericolosa e non ci pensa
più.

Fin qui niente di speciale. Ma la falla di macOS scoperta da Ryan Pickren ha
un effetto molto insolito: siccome il documento è stato scaricato usando la
funzione di condivisione di Apple,
il creatore del documento condiviso può cambiare a proprio piacimento il
contenuto della copia scaricata sul computer della vittima. In altre parole: la foto del cucciolo puccioso viene sostituita per esempio
da un programma eseguibile, che a questo punto l’aggressore può attivare sul
Mac della vittima quando vuole.

L’astuzia non è finita. Normalmente macOS non consente di eseguire programmi
non approvati (grazie a Gatekeeper). Ma Pickren ha scoperto un modo per
eludere questi controlli. Il programma ostile iniettato nel Mac della vittima
può quindi agire indisturbato, senza che la vittima riceva richieste di
approvazione, ed eseguire per esempio del JavaScript che può fingere di
provenire da Twitter, Google, Zoom, PayPal, Gmail, Facebook o qualunque altro
sito (è possibile impostarne l’origin a piacimento) e può fare tutto
quello che può fare la vittima nel proprio account presso questi servizi:
pubblicare messaggi, cambiare impostazioni, cancellare contenuti e anche
attivare la webcam.

Questa falla, comunque, è stata ora corretta, insieme a un’altra molto grave
che permetteva di prendere il controllo dei Mac e di sorvegliarne le attività
(creando una backdoor).

Morale della storia: non fidatevi delle offerte di scaricare documenti
condivisi da siti che non conoscete, neanche se i documenti sembrano innocui,
e aggiornate il vostro macOS appena possibile, naturalmente dopo aver creato
una copia di sicurezza dei vostri dati.

A proposito di aggiornamenti Apple: ce ne sono anche per gli Apple Watch, per
i media player della stessa marca, per i suoi altoparlanti smart (che
finalmente introducono il
riconoscimento vocale multiutente
in italiano),  per gli iPhone e per gli iPad. Smartphone e tablet
passano
alla versione 15.3 e risolvono una falla che permetteva ai siti ostili di
scoprire quali altri siti avevate visitato e di ottenere altri dati personali.
Anche qui, conviene aggiornarsi al più presto. Le istruzioni per farlo sono
come sempre sul
sito di Apple.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Trova una falla in iPhone, iPad e Mac, incassa 75.000 dollari

Trova una falla in iPhone, iPad e Mac, incassa 75.000 dollari

Cose da fare quando sei chiuso in casa: guadagnare 75.000 dollari, e farlo legalmente. È quello che è riuscito a fare un ricercatore di sicurezza, Ryan Pickren, che ha scoperto una serie di falle tecniche che consentivano di prendere il controllo da remoto della telecamera degli iPhone, degli iPad e dei laptop Apple.

In Safari, il browser di Apple, c’erano infatti ben sette vulnerabilità (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 e CVE-2020-9787). Concatenandone tre in modo astuto e corretto, permettevano a un sito ostile di accedere alla telecamera e al microfono della vittima, due delle risorse che Apple protegge maggiormente per ovvie ragioni.

Tutto quello che doveva fare la vittima era aver autorizzato in precedenza l’uso della telecamera e del microfono da parte di una qualsiasi app di Apple, cosa che fanno praticamente tutti, e visitare il sito ostile con Safari (cosa facilissima da ottenere con un classico messaggio “clicca qui per vincere un premio” o simile).

Pickren ha segnalato il problema con la massima discrezione ad Apple, che ha un bug bounty, ossia un programma di ricompense per chi segnala in maniera responsabile i difetti dei suoi prodotti, e l’azienda lo ha ringraziato dandogli appunto 75.000 dollari.

Niente panico: le falle più gravi sono state risolte dalle versione 13.0.5 in poi di Safari, uscita a fine gennaio, e le altre sono state messe a posto con Safari 13.1 a fine marzo. Se non avete ancora aggiornato Safari, fatelo.

Se vi interessano i dettagli tecnici delle scoperte di Pickren, li trovate qui in versione estesa e qui in sintesi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
L’avvocato che diventa gatto su Zoom fa sorridere il mondo. Sì, ma come si fa a diventare gatti?

L’avvocato che diventa gatto su Zoom fa sorridere il mondo. Sì, ma come si fa a diventare gatti?

Collegarsi a una videoconferenza e accorgersi troppo tardi che chi ha usato il
computer prima di noi ha lasciato attivi i filtri che aggiungono baffi o
orecchie da coniglietto può capitare, ma stavolta è capitato in un contesto
particolarmente comico.

L‘avvocato texano Rod Ponton ha cercato di collegarsi su Zoom con il tribunale
per un‘udienza e si è reso conto che il suo volto veniva sostituito
digitalmente da un filtro, diventando quello di un gattino che ne seguiva i
movimenti e le espressioni, muovendo la bocca quando l‘avvocato parlava.

Lo spezzone di video dell’incidente ha fatto subito il
giro di tutta Internet, non solo per le espressioni ridicole del gattino ma anche per la serietà e
l’aplomb con il quale tutti hanno gestito la situazione, specialmente
quando l’avvocato ha detto al giudice, Roy B. Ferguson, che non riusciva a
disattivare il filtro e che era disposto a proseguire l’udienza in quelle
condizioni, dichiarando solennemente di essere presente e di non essere un
gatto. “I’m here live; I’m not a cat”.

L‘avvocato Ponton è diventato immediatamente una celebrità mondiale grazie al
fatto che il giudice ha
pubblicato
lo spezzone su Twitter, usandolo per diffondere un avviso:
“CONSIGLIO IMPORTANTE PER ZOOM: se un bambino ha usato il vostro computer,
prima di collegarvi a un’udienza virtuale controllate le Opzioni Video di
Zoom per assicurarvi che i filtri siano disattivati. Questo gattino ha
appena rilasciato una dichiarazione formale in un caso presso il 349°
[tribunale distrettuale]”.

Il giudice ha lodato l’impegno e la professionalità di tutti i partecipanti e
ha chiarito che il momentaneo inconveniente è stato risolto e l’udienza è
proseguita regolarmente. L’avvocato, da parte sua, ha
spiegato
che ha usato il computer della sua segretaria, sul quale era attivo quel filtro
per ragioni non meglio chiarite. 

Succedeva anche agli antichi egizi.

 

Ma a questo punto, finite le risate, all’informatico viene spontanea e
irresistibile una domanda: come si fa, di preciso, ad attivare in Zoom il
filtro testa di gatto? Non c’è. I filtri disponibili Zoom aggiungono
barba e/o baffi, occhiali, cappelli, orecchie o antenne e poco altro. Non c’è
traccia di gattini. Allora da dove arriva il gattino animato dell’avvocato
texano?

Secondo
LifeHacker
e la BBC, quello
specifico gattino così comicamente animato esiste soltanto in Live Cam
Avatar della Reallusion, un vecchio software per webcam della Dell che risale
al
2010 circa

Se però vi accontentate di un filtro che ottenga un effetto analogo anche se
non identico, potete usare
Snap Camera, per
Windows 10 o macOS 10.13 o successivi. Dopo averlo installato, cercate uno dei
suoi filtri felini, attivatelo e poi lanciate Zoom o Teams o qualunque altro
software di videoconferenza, avendo cura di scegliere come webcam non quella
integrata nel computer ma quella virtuale creata da Snap Camera. 

Per disattivare questo filtro è sufficiente riselezionare la webcam normale.

La domanda finale, però, arriva dall’account Twitter di
Larry the Cat, il gatto del numero 10 di Downing Street:
“Esiste un filtro per Zoom che trasforma i gatti in avvocati?”

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
One more try.app: come rivedersi in ritardo, e perché

One more try.app: come rivedersi in ritardo, e perché

Che senso ha un sito come Onemoretry.app, che mostra l’immagine della webcam del computer in ritardo di vari secondi? Molto più di quel che si potrebbe pensare a prima vista.

Onemoretry è la creazione di Tom Lum, che come skater si è reso conto che era molto scomodo registrarsi col telefonino per rivedersi mentre provava una nuova acrobazia con lo skateboard: significava far partire la registrazione, fare la prova, fermare la registrazione, cercare il punto in cui aveva fatto la prova, e poi cancellare e ricominciare. Perché non creare un software che facesse tutto questo in automatico?

Tom Lum è anche un informatico, per cui si è scritto da solo il software e già che c’era ha pensato di metterlo a disposizione di tutti gratuitamente.

A parte lo skateboard, Onemoretry è ideale per provare vestiti (per vedersi di spalle, per esempio), per provare un passo di danza, esercitarsi con un gioco di prestigio e per mille altre situazioni. Oltretutto il sito non acquisisce nulla, perché la registrazione e l’elaborazione avvengono sul computer dell’utente, e questo vuol dire che può essere usato anche senza essere connessi a Internet: basta visitare il sito, caricare la pagina di Onemoretry, dare i permessi di accesso a webcam e/o microfono, e poi ci si può scollegare. Il ritardo e la durata del loop di registrazione sono entrambi regolabili.

Buon divertimento!

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Telecamere IP. Telecamere IP insicure ovunque. Anche su Google

Telecamere IP. Telecamere IP insicure ovunque. Anche su Google

Nella puntata precedente del Disinformatico radiofonico ho parlato delle telecamere IP troppo facilmente accessibili anche a sconosciuti tramite siti come Insecam.org, che è sufficiente visitare per poter vedere le immagini trasmesse in diretta da questi dispositivi. Ma esistono metodi ancora più facili, e vale la pena conoscerli per far capire ai proprietari di queste telecamere che trovarle e anche identificarle con precisione è molto più facile di quello che pensano.

Quando dico “facile”, intendo che basta usare Google.

Ogni telecamera IP visibile, infatti, viene vista anche dai motori di ricerca, dato che le sue immagini vengono presentate come pagine Web, e quindi basta digitare il titolo di queste pagine (che è standard per ogni modello di telecamera) per trovarne intere collezioni. Aggiungendo altri parametri alla ricerca è possibile selezionare ulteriormente regioni geografiche. Queste ricerche si chiamano in gergo google dork. Questi sono alcuni esempi, segnalati dall’informatica Stefanie Proto:

“please visit” intitle:”i-Catcher Console” Copyright “iCode Systems”

 intitle:”active webcam page”

 inurl:”MultiCameraFrame?Mode=Motion”

 intitle:”snc-rz30 home”

 allintitle: “Network Camera NetworkCamera”

Per esempio, questa telecamera che riprende un ingresso è addirittura comandabile oltre che osservabile.

È sufficiente invertire l’immagine per leggere le scritte visibili sulle porte a vetri, inquadrate quando si fa muovere la telecamera, e ottenere il numero di telefono e il nome del locale e quindi capire, con una rapida ricerca in Google, che si tratta dell’ingresso di una chiesa a Glenville, a Wichita, in Kansas.

Google Street View ci permette di vederla anche da fuori:

Questo permetterebbe di sorvegliare chi entra e chi esce da questo luogo di culto. I gestori di questa telecamera lo sanno e ne sono contenti?

Gliel’ho chiesto ieri (30 luglio) via mail. Vediamo se rispondono.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Telecamere IP. Telecamere IP insicure ovunque

Telecamere IP. Telecamere IP insicure ovunque

Le telecamere IP o webcam sono diffusissime ma moltissimi utenti si ostinano a installarle senza cambiarne le password predefinite o addirittura senza impostare una password. Il risultato è che online si trovano migliaia di queste telecamere le cui immagini possono essere viste in diretta da chiunque, con tutte le conseguenze del caso.

Alcuni siti, come il classico Insecam.org, catalogano queste telecamere pubblicamente accessibili (e in molti casi comandabili) per area geografica (in maniera molto imprecisa), per marca e per tema delle immagini mostrate.

Insecam sottolinea che queste telecamere non sono state “hackerate”: sono pubblicamente accessibili, anche se forse i proprietari non se ne rendono conto. Le FAQ di Insecam spiegano inoltre quanto è facile usare semplicemente Google per trovare queste telecamere aperte: non è necessaria alcuna particolare abilità informatica, per cui se avete una di queste telecamere non pensate (come fanno molti) “ma tanto chi vuoi che perda tempo a cercare e trovare proprio la mia”, perché il tempo necessario è zero e i curiosi vanno a caso.

Qualche esempio: l’interno di una chiesa, un rifugio per animali in Svizzera, un ingresso di un edificio, un refettorio (forse) e un campo d’aviazione a Kaegiswil, nel canton Obvaldo. In alcuni casi la località è indicata direttamente sullo schermo; in altri è facilmente deducibile da qualche elemento presente nell’inquadratura (insegne, cartelli, edifici caratteristici); in tutti è facilmente circoscrivibile, dato che i loro indirizzi IP sono visibili e questo permette di risalire al luogo di installazione.

Pensateci bene, insomma, prima di lasciare la vostra webcam visibile al mondo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Perché Apple mette in guardia contro le coperture per webcam sui portatili?

Perché Apple mette in guardia contro le coperture per webcam sui portatili?

Dopo anni di raccomandazioni da parte degli esperti di sicurezza, che invitano a coprire la webcam del computer per evitare di essere visti e sorvegliati, Apple ha pubblicato un articolo nel quale consiglia di “[n]on chiudere il tuo MacBook, MacBook Air o MacBook Pro con una copertura applicata sulla videocamera”.

L’azienda avvisa che “[c]hiudere il notebook Mac con una copertura sulla videocamera potrebbe danneggiare il display […] in quanto lo spazio tra il display e la tastiera è progettato per sopportare tolleranze minime. Coprire la videocamera integrata potrebbe anche interferire con il sensore di luce ambientale e impedire il funzionamento di funzioni quali la luminosità automatica e True Tone.”

Chi usa computer fissi o tablet non ha problemi, perché le tolleranze citate da Apple riguardano solo i portatili, e non si tratta comunque di una contrarietà totale alle webcam cover: Apple precisa infatti che se è necessario coprire la webcam, lo si può fare benissimo anche sui laptop, se si usa una copertura che non sia spessa più di un decimo di millimetro (un comune foglio di carta da stampante).

L’azienda specifica inoltre che l’indicatore luminoso si accende sempre quando la webcam viene usata e che si può andare nelle Preferenze di Sistema per verificare quali app la possono usare, ma ovviamente questo indicatore è inutile se si sta già facendo uso della webcam (per esempio per una videoconferenza) e quindi la sua luce è già accesa per altre ragioni.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Difendersi dai ricattatori sessuali su Internet

Questo articolo vi arriva grazie alla gentile donazione di “angelagabri*”.

Ieri, proprio mentre ero in una scuola di Locarno a raccontare agli studenti come riconoscere i tentativi d’inganno, di attacco e di molestia via Internet, è arrivata la notizia del fermo di un uomo di 47 anni, residente nella zona di Berna, per molestie sessuali, atti sessuali con fanciulli e ricatto.

I reati sono stati compiuti selezionando via Internet le vittime (adolescenti maschi fra i 15 e i 17 anni) con una tecnica micidiale: per due anni, sui social network (in particolare Facebook), l’uomo fingeva impunemente di essere una ragazzina (usando foto raccolte in Rete) e offriva materiale pornografico ai ragazzi presi di mira. Difficile resistere alle lusinghe di una ragazzina disinibita: i giovani venivano così convinti a ricambiare l’offerta esibendosi davanti alla webcam. Le loro attività venivano registrate e poi usate come arma di ricatto da parte del pedofilo, sfociando in incontri di persona.

I ragazzi hanno esitato a lungo prima di denunciare i fatti: come avviene spesso in questi terribili casi, la vittima si vergogna di essere caduta nella trappola, teme di essere ulteriormente umiliata se il suo comportamento viene reso pubblico e quindi non ne parla con nessuno, men che meno con i genitori. Il pedofilo crea insomma una situazione dalla quale la vittima non vede alcuna via d’uscita e questo consente alle molestie di protrarsi.

Ma quando questi crimini avvengono via Internet lasciano delle tracce digitali molto chiare, che gli esperti sanno analizzare, non solo per identificare i colpevoli ma anche per confermare, in prima istanza, le accuse dei minorenni coinvolti, che spesso temono di non essere presi sul serio. Internet aiuta i molestati a dimostrare i fatti terribili che raccontano, come ho suggerito in un’intervista [2018/10: link non più funzionante] per il telegiornale della RSI.

Vale, come sempre, la regola di fondo: mai fare davanti a una webcam o a qualunque fotocamera o telecamera nulla che non si farebbe sulla pubblica piazza, neanche quando si crede di conoscere l’interlocutore. Purtroppo molti utenti, non solo giovani, non sanno quanto è facile creare false identità in Rete, si fidano troppo, credono spesso di essere abbastanza furbi da riconoscere un impostore e non immaginano che qualcuno possa essere così vile da circuirli per settimane e anche mesi prima di far scattare la trappola del ricatto.

E se la trappola scatta, l’unico modo per uscirne è parlarne ai genitori e alle autorità, con il conforto di essere creduti grazie alle tracce lasciate inevitabilmente in Rete dai tormentatori.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.