Mini-centrale idroelettrica francese comandabile da chiunque via Internet

Si può prenderne il controllo da remoto senza dover inserire alcuna password.



[ZEUS News - www.zeusnews.it - 14-02-2016]

centrale

Collegare i dispositivi a Internet, in modo da poterli comandare da lontano, è sicuramente molto utile. Ma bisogna collegarli come si deve, pensando alla sicurezza, altrimenti ci si ritrova con situazioni come questa, scovata in Francia dal motore di ricerca Shodan: una mini-centrale idroelettrica che è stata collegata a Internet così maldestramente che chiunque può prenderne il controllo da lontano, come ho visto fare in queste ore, con conseguenze facilmente immaginabili.

Vediamo quali errori sono stati commessi, così possiamo imparare come non si configura l'Internet delle Cose.

1. Non si deve contare su un indirizzo IP "segreto". Molti utenti (e amministratori di dispositivi) pensano ancora che un indirizzo IP, se non viene divulgato, sia un fattore di sicurezza perché se nessuno conosce l'indirizzo di un dato dispositivo quel dispositivo è introvabile. Non è così: motori di ricerca appositi, come Shodan, permettono di cercare dispositivi in base al loro tipo e alla loro posizione geografica. Sapendo qual è la marca e il modello del dispositivo e dove si trova, scoprire il suo indirizzo IP di controllo è banale. Vale anche il contrario: per esempio, secondo Utrace.de risulta che la centrale idroelettrica mostrata qui sopra (di cui non pubblico l'indirizzo IP per ovvie ragioni) è situata dalle parti di Tolosa, in Francia. Altri indizi suggeriscono più precisamente la località di Aiguillon.

2. Non si deve abilitare una connessione remota aperta a tutti e senza password. La centrale idroelettrica in questione è accessibile via Internet a chiunque sappia il suo indirizzo IP e usi una normale applicazione di gestione remota come VNC. Non viene neppure richiesta una password di accesso alla connessione VNC: ci si collega e basta. Ciliegina sulla torta, la connessione non è cifrata contro eventuali intercettazioni. Ciliegina sulla ciliegina, la centrale fa collegare chiunque ne digiti l'indirizzo IP anche in un normale browser.

Sondaggio
Secondo te quale di queste previsioni si realizzerà per prima?
La maggior parte degli acquisti avverrà attraverso il web.
Ci sarà in media uno smartphone per ogni abitante del pianeta.
Le aziende utilizzeranno Facebook e Twitter come mezzo principale di assistenza ai clienti.
La maggior parte dei nostri dati saranno sul cloud, non sui nostri Pc.
La maggior parte degli utenti accederanno al web tramite rete mobile.

Mostra i risultati (2371 voti)
Leggi i commenti (12)

3. Non si devono memorizzare sul computer remoto i nomi degli utenti e le password di accesso. Chi avvia una sessione VNC con il computer che gestisce la centrale idroelettrica di questo esempio non deve neppure tentare di indovinare i nomi degli utenti autorizzati, perché sono stati memorizzati nel browser del computer remoto. Insieme alle password. Così ho visto utenti accedere ai controlli della centrale e alla configurazione degli utenti semplicemente cliccando nella casella del nome utente e lasciando che il completamento automatico proponesse il nome dell'utente e poi la sua password.

4. Non si devono usare password stupidamente evidenti. Nel caso della centrale, ho visto che i visitatori hanno scoperto che almeno un account ha la password uguale al nome utente.

Sono rimasto alcune ore a osservare l'andirivieni dei visitatori sulla connessione di controllo remoto e ho visto fare di tutto, compreso cliccare sui comandi della centrale. Mi sono ovviamente posto il problema di come avvisare il responsabile della centrale, ma nelle scorribande dei visitatori non ho visto alcuna informazione di contatto, per cui ho inviato una mail alle aziende citate nelle schermate di configurazione della centrale. Ho inoltre creato sul desktop del computer remoto un file di stampa di nome "ATTENTION VOUS ETES ACCESSIBLES PAR INTERNET". Speriamo in bene.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (1)

NO! PAOLO! Cos'hai fatto! Anche se ti sei premurato di usare una mezza dozzina di IP-jump prima di depositare il file, qui c'è la tua confessione nero su bianco. Vuoi che in Francia sia tanto diverso? Invece di neutralizzare i responsabili della sicurezza della centrale mandandoli a picconare il permafrost in Siberia, potrebbero... Leggi tutto
13-2-2016 12:37

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Vuoi effettuare un acquisto online. Il sistema di pagamento richiede l'inserimento dei dati della carta di credito. Quali precauzioni prendi affinché sia una transazione sicura?
Nessuna precauzione. I siti Internet delle grandi compagnie sono ben protetti
Inserisco tutti i dati della carta utilizzando la tastiera virtuale
Digito e poi cancello i dati della carta più volte così il virus si confonde
Aumento il livello di protezione dell'antivirus
Utilizzo la modalità di navigazione in incognito del browser
Uso un proxy anonimo
Controllo di aver digitato il sito Internet correttamente e se si tratta del sito giusto

Mostra i risultati (1688 voti)
Marzo 2025
Addio a Windows 10: Microsoft importuna gli utenti via email
Da Apple un iPhone sottilissimo e senza porta di ricarica
Il giorno che la IA si rifiutò di eseguire un comando
Seagate, la truffa dei dischi usati si fa più sofisticata
Stampanti HP, dopo l'update non funzionano neanche le cartucce originali
Il sistema open source compatibile con Windows
Western Digital dice addio agli SSD
LibreWolf, il fork di Firefox che rispetta davvero la privacy
Gemini sbircia dalla videocamera del telefono
Forse Paragon ha intercettato anche Papa Francesco
Febbraio 2025
Seagate, si allarga il caso dei dischi usati venduti per nuovi
Gmail, addio agli SMS per l'autenticazione a due fattori
IA: era una bolla quella che è scoppiata
Majorana 1, il rivoluzionario chip quantistico di Microsoft
TIM, altri aumenti in vista
Tutti gli Arretrati
Accadde oggi - 21 marzo


web metrics