Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Oggi Shodan ha pubblicato questa schermata di un generatore elettrico collegato a Internet e comandabile da chiunque tramite VNC non criptato e senza password. La presento qui senza mascherarne i dati perché comunque tutti i dettagli sono su Shodan e perché ho avvisato i responsabili, che l’hanno scollegata.

Ho verificato che la segnalazione di Shodan era ancora valida: mi sono collegato tramite VNC all’indirizzo IP 88.147.120.248 (pubblicato da Shodan) e ho trovato la schermata, aggiornata in tempo reale, con quel pulsante “START/STOP” disponibile a qualunque malintenzionato. Non l’ho toccato. Pochi clic su siti pubblicamente disponibili mi hanno permesso di scoprire che si trattava dell’impianto idroelettrico Rio Brent.

Altri, però, sono stati meno rispettosi di me. Ho trovato online il numero di telefono dell’azienda in questione e l’ho chiamato. Ha risposto una voce che ha avuto una risposta decisamente incredula quando mi sono presentato con nome e cognome, qualificandomi come giornalista informatico, e gli ho spiegato il problema. Ha risposto che solitamente mettono le password a protezione degli accessi VNC ai loro generatori e che stavolta se ne sono dimenticati. Hanno ringraziato per la mia segnalazione.

Ho aspettato che scollegassero il generatore da Internet e poi ho pubblicato queste note.

Forse sarò paranoico io, ma collegare un generatore idroelettrico a Internet e renderlo non solo monitorabile ma addirittura comandabile con un semplice VNC, senza né cifratura né password, non mi sembra una buona idea.

Il problema di fondo è che ci sono ancora molti tecnici di altri settori (non informatici) che ora si trovano a doversi assumere delle competenze da informatici senza avere la cultura della sicurezza online e quindi non sanno che tenere segreto un indirizzo IP non è affatto una misura di protezione accettabile, specialmente se quell’IP offre accesso a macchinari importanti. E da quando esistono motori di ricerca come Shodan, scoprire questi IP “segreti” è ormai un gioco da ragazzi.

Spero che questo episodio risolto felicemente serva da monito ai tanti, troppi gestori di dispositivi sensibili che ancora usano queste prassi pericolose.