Vi racconto un caso pratico, senza fare nomi per ovvie ragioni. Molte aziende hanno impianti gestiti tramite telecontrollo: macchinari, dighe, depuratori e altro ancora. È quella che si chiama in gergo l’Internet delle Cose. È un sistema molto comodo, che fa risparmiare tempo, denaro e trasferte, ma bisogna usarlo in modo responsabile. Il problema, infatti, è che questo telecontrollo in molti casi viene svolto via Internet usando connessioni non protette da password e crittografia.
Questo significa che chiunque può sorvegliare abusivamente questi impianti e spesso prenderne anche il controllo. Tutto quello che serve è saperne le coordinate Internet, ossia l’indirizzo IP, e poi immetterlo in un programma liberamente scaricabile, come per esempio VNC. Fatto questo, l’aggressore può cliccare sui pulsanti dell’impianto come se ce l’avesse davanti.
Purtroppo molti installatori, gestori e utenti di questi impianti pensano che questo indirizzo IP non sia facilmente reperibile e quindi credono di essere al sicuro e che proteggere la connessione con una password non serva e sia anzi solo una scocciatura che intralcia il loro lavoro: tanto, se nessuno sa qual è l’indirizzo IP, non c’è pericolo. Ma è un errore gravissimo, perché esistono motori di ricerca per gli indirizzi IP dei dispositivi connessi a Internet: una sorta di Google per macchinari online.
Di conseguenza, un aggressore non deve fare altro che usare questi motori di ricerca pubblicamente accessibili, come Shodan.io, per scoprire tutti i dispositivi connessi in modo insicuro, presentati su una pratica cartina geografica. Il talento informatico che gli serve è praticamente zero. A quel punto è pronto per un attacco all’impianto aziendale, per esempio a scopo di sabotaggio o estorsione.
Ieri ho trovato su Internet uno di questi apparati, accessibile senza alcuna password o protezione: era un sistema per la gestione di una cosiddetta “opera di presa”, una di quelle che preleva acqua da un fiume o un torrente. Ho avvisato telefonicamente e via mail i responsabili dell’impianto e la Polizia Postale del luogo, ma sono passate molte ore prima che qualcuno rimediasse alla falla di sicurezza aperta da chissà quanto tempo. Nel frattempo chiunque avrebbe potuto manovrare l’impianto e causare danni. E come questo impianto ce ne sono molti altri, in Italia e nel mondo.
Episodi come questo sono un forte monito a chi si occupa di sicurezza degli impianti da cui noi tutti dipendiamo: è ora di smettere di pensare che se non si pubblica l’indirizzo IP di un dispositivo, di una telecamera, di una paratoia di una diga, di un impianto antincendio o di un altoforno, nessuno lo troverà mai. Pensare in questo modo è l’equivalente di lasciare la chiave di casa sotto lo zerbino perché tanto nessuno sa che è lì. Lo sanno tutti. Se potete, adeguatevi.
Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 16 gennaio 2018. Alcuni dettagli sono stati omessi, mascherati o alterati per esigenze di riservatezza e sicurezza.
Cronologia degli eventi
2018/01/15 13.15. Ho telefonato all’azienda per avvisarla del problema.
13.22. Ho inviato una mail informativa all’azienda, come richiesto dalla persona raggiunta telefonicamente.
13.25. Primo tweet pubblico, anonimizzato.
Screenshot anonimizzato. Notare il pulsante "Manuale/automatico". pic.twitter.com/5tQrxXZldu— Paolo Attivissimo (@disinformatico) January 15, 2018
16:00. Ho telefonato alla Polizia Postale di zona per informarla della situazione.
16:06. Ho inviato alla Polizia Postale di zona una mail con i dettagli, come richiesto.
2018/01/16 10:05. L'impianto è ancora accessibile senza password e senza crittografia. Ho inviato una seconda mail di avviso all’azienda.
14:10. Ancora nessuna risposta o reazione da parte dell’azienda.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
