Ir para o conteúdo

Blogoosfero verdebiancorosso

Voltar a Disinformatico
Tela cheia Sugerir um artigo

Un impianto idrico comandabile via Internet. Senza password e senza crittografia

16 de Janeiro de 2018, 6:03 , por Il Disinformatico - | No one following this article yet.
Visualizado 24 vezes
Quando si parla di “attacchi hacker” ci si immagina facilmente un gruppo di agguerritissimi incursori informatici che scavalcano abilmente un labirinto di difese digitali. Ma la realtà è spesso molto meno spettacolare e decisamente più imbarazzante. Ancora oggi tante, troppe aziende non prendono le misure minime di difesa informatica.

Vi racconto un caso pratico, senza fare nomi per ovvie ragioni. Molte aziende hanno impianti gestiti tramite telecontrollo: macchinari, dighe, depuratori e altro ancora. È quella che si chiama in gergo l’Internet delle Cose. È un sistema molto comodo, che fa risparmiare tempo, denaro e trasferte, ma bisogna usarlo in modo responsabile. Il problema, infatti, è che questo telecontrollo in molti casi viene svolto via Internet usando connessioni non protette da password e crittografia.

Questo significa che chiunque può sorvegliare abusivamente questi impianti e spesso prenderne anche il controllo. Tutto quello che serve è saperne le coordinate Internet, ossia l’indirizzo IP, e poi immetterlo in un programma liberamente scaricabile, come per esempio VNC. Fatto questo, l’aggressore può cliccare sui pulsanti dell’impianto come se ce l’avesse davanti.



Purtroppo molti installatori, gestori e utenti di questi impianti pensano che questo indirizzo IP non sia facilmente reperibile e quindi credono di essere al sicuro e che proteggere la connessione con una password non serva e sia anzi solo una scocciatura che intralcia il loro lavoro: tanto, se nessuno sa qual è l’indirizzo IP, non c’è pericolo. Ma è un errore gravissimo, perché esistono motori di ricerca per gli indirizzi IP dei dispositivi connessi a Internet: una sorta di Google per macchinari online.

Di conseguenza, un aggressore non deve fare altro che usare questi motori di ricerca pubblicamente accessibili, come Shodan.io, per scoprire tutti i dispositivi connessi in modo insicuro, presentati su una pratica cartina geografica. Il talento informatico che gli serve è praticamente zero. A quel punto è pronto per un attacco all’impianto aziendale, per esempio a scopo di sabotaggio o estorsione.


Ieri ho trovato su Internet uno di questi apparati, accessibile senza alcuna password o protezione: era un sistema per la gestione di una cosiddetta “opera di presa”, una di quelle che preleva acqua da un fiume o un torrente. Ho avvisato telefonicamente e via mail i responsabili dell’impianto e la Polizia Postale del luogo, ma sono passate molte ore prima che qualcuno rimediasse alla falla di sicurezza aperta da chissà quanto tempo. Nel frattempo chiunque avrebbe potuto manovrare l’impianto e causare danni. E come questo impianto ce ne sono molti altri, in Italia e nel mondo.



Episodi come questo sono un forte monito a chi si occupa di sicurezza degli impianti da cui noi tutti dipendiamo: è ora di smettere di pensare che se non si pubblica l’indirizzo IP di un dispositivo, di una telecamera, di una paratoia di una diga, di un impianto antincendio o di un altoforno, nessuno lo troverà mai. Pensare in questo modo è l’equivalente di lasciare la chiave di casa sotto lo zerbino perché tanto nessuno sa che è lì. Lo sanno tutti. Se potete, adeguatevi.


Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 16 gennaio 2018. Alcuni dettagli sono stati omessi, mascherati o alterati per esigenze di riservatezza e sicurezza.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Fonte: http://feedproxy.google.com/~r/Disinformatico/~3/RI_kGNGJY8A/un-impianto-idrico-comandabile-via.html