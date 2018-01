[ZEUS News - www.zeusnews.it - 16-01-2018] Commenti (1)

Quando si parla di "attacchi hacker" ci si immagina facilmente un gruppo di agguerritissimi incursori informatici che scavalcano abilmente un labirinto di difese digitali.

Ma la realtà è spesso molto meno spettacolare e decisamente più imbarazzante. Ancora oggi tante, troppe aziende non prendono le misure minime di difesa informatica. L'articolo continua qui sotto.

Vi racconto un caso pratico, senza fare nomi per ovvie ragioni. Molte aziende hanno impianti gestiti tramite telecontrollo: macchinari, dighe depuratori e altro ancora. È quella che si chiama in gergo l'Internet delle Cose.

È un sistema molto comodo, che fa risparmiare tempo, denaro e trasferte, ma bisogna usarlo in modo responsabile. Il problema, infatti, è che questo telecontrollo in molti casi viene svolto via Internet usando connessioni non protette da password e crittografia.

Questo significa che chiunque può sorvegliare abusivamente questi impianti e spesso prenderne anche il controllo. Tutto quello che serve è saperne le coordinate Internet, ossia l'indirizzo IP, e poi immetterlo in un programma liberamente scaricabile, come per esempio VNC. Fatto questo, l'aggressore può cliccare sui pulsanti dell'impianto come se ce l'avesse davanti.



(Fai clic sull'immagine per visualizzarla ingrandita)

Purtroppo molti installatori, gestori e utenti di questi impianti pensano che questo indirizzo IP non sia facilmente reperibile e quindi credono di essere al sicuro e che proteggere la connessione con una password non serva e sia anzi solo una scocciatura che intralcia il loro lavoro: tanto, se nessuno sa qual è l'indirizzo IP, non c'è pericolo.

Ma è un errore gravissimo, perché esistono motori di ricerca per gli indirizzi IP dei dispositivi connessi a Internet: una sorta di Google per macchinari online.

Di conseguenza, un aggressore non deve fare altro che usare questi motori di ricerca pubblicamente accessibili, come Shodan.io, per scoprire tutti i dispositivi connessi in modo insicuro, presentati su una pratica cartina geografica. Il talento informatico che gli serve è praticamente zero. A quel punto è pronto per un attacco all'impianto aziendale, per esempio a scopo di sabotaggio o estorsione.



(Fai clic sull'immagine per visualizzarla ingrandita)

Ieri ho trovato su Internet uno di questi apparati, accessibile senza alcuna password o protezione: era un sistema per la gestione di una cosiddetta "opera di presa", una di quelle che preleva acqua da un fiume o un torrente.

Ho avvisato telefonicamente e via mail i responsabili dell'impianto e la Polizia Postale del luogo, ma sono passate molte ore prima che qualcuno rimediasse alla falla di sicurezza aperta da chissà quanto tempo. Nel frattempo chiunque avrebbe potuto manovrare l'impianto e causare danni. E come questo impianto ce ne sono molti altri, in Italia e nel mondo.



(Fai clic sull'immagine per visualizzarla ingrandita)

Episodi come questo sono un forte monito a chi si occupa di sicurezza degli impianti da cui noi tutti dipendiamo: è ora di smettere di pensare che se non si pubblica l'indirizzo IP di un dispositivo, di una telecamera, di una paratoia di una diga, di un impianto antincendio o di un altoforno, nessuno lo troverà mai. Pensare in questo modo è l'equivalente di lasciare la chiave di casa sotto lo zerbino perché tanto nessuno sa che è lì. Lo sanno tutti. Se potete, adeguatevi.

Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 16 gennaio 2018. Alcuni dettagli sono stati omessi, mascherati o alterati per esigenze di riservatezza e sicurezza.

Cronologia degli eventi

2018/01/15 13.15. Ho telefonato all'azienda per avvisarla del problema.

13.22. Ho inviato una mail informativa all'azienda, come richiesto dalla persona raggiunta telefonicamente.

13.25. Primo tweet pubblico, anonimizzato.



(Fai clic sull'immagine per visualizzarla ingrandita)

16:00. Ho telefonato alla Polizia Postale di zona per informarla della situazione.

16:06. Ho inviato alla Polizia Postale di zona una mail con i dettagli, come richiesto.

2018/01/16 10:05. L'impianto è ancora accessibile senza password e senza crittografia. Ho inviato una seconda mail di avviso all'azienda.

14:10. Ancora nessuna risposta o reazione da parte dell'azienda.

16:40. Tutto come prima. Sembra proprio che non gliene freghi niente a nessuno.