Generatore elettrico italiano comandabile da chiunque via Internet

[ZEUS News - www.zeusnews.it - 13-04-2016]

Oggi Dan Tentler, uno degli ideatori di Shodan (motore di ricerca per l'Internet delle cose), ha segnalato su Twitter questo generatore idroelettrico collegato a Internet e comandabile da chiunque tramite VNC non criptato e senza password. La presento qui senza mascherarne i dati perché comunque tutti i dettagli sono appunto su Shodan e perché ho avvisato i responsabili, che l'hanno scollegata.

Ho verificato che la segnalazione su Shodan era ancora valida: mi sono collegato tramite VNC all'indirizzo IP 88.147.120.248 (pubblicato da Shodan) e ho trovato la schermata, aggiornata in tempo reale, con quel pulsante "START/STOP" disponibile a qualunque malintenzionato. Non l'ho toccato. Pochi clic su siti pubblicamente disponibili mi hanno permesso di scoprire che si trattava dell'impianto idroelettrico Rio Brent. L'articolo continua qui sotto.

Sondaggio

Cosa fai se non usi un'applicazione da molto tempo?

Leggi i commenti (4)

Altri, però, sono stati meno rispettosi di me: ho visto qualcuno azionare lo "START/STOP". Ho cercato e trovato online il numero di telefono dell'azienda in questione e l'ho chiamato. Ha risposto una voce che ha avuto una risposta decisamente incredula quando mi sono presentato, con nome e cognome, qualificandomi come giornalista informatico, e gli ho spiegato il problema. Ha risposto che solitamente mettono le password a protezione degli accessi VNC ai loro generatori e che stavolta se ne sono dimenticati. Ha ringraziato per la mia segnalazione.

Ho aspettato che il generatore venisse scollegato da Internet e poi ho pubblicato queste note.

Forse sarò paranoico io, ma collegare un generatore idroelettrico a Internet e renderlo non solo monitorabile ma addirittura comandabile con un semplice VNC, senza né cifratura né password, non mi sembra una buona idea. E "dimenticarsi" di attivare la cifratura e anche di impostare una password indica un errore umano o di procedura che semplicemente non dovrebbe esistere in circostanze come queste.

Il problema di fondo è che ci sono ancora molti tecnici di altri settori (non informatici) che ora si trovano a doversi assumere delle competenze da informatici senza avere la cultura della sicurezza online e quindi non sanno che tenere segreto un indirizzo IP non è affatto una misura di protezione accettabile, specialmente se quell'IP offre accesso a macchinari importanti. E da quando esistono motori di ricerca come Shodan, scoprire questi IP "segreti" è ormai un gioco da ragazzi.

Spero che questo episodio risolto felicemente serva da monito ai tanti, troppi gestori di dispositivi sensibili che ancora usano queste prassi pericolose.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.

Paolo Attivissimo

Commenti all'articolo (ultimi 5 di 6)

{umby}

Se vogliamo fare un salto al sito che monitora i "vnc birikini", di esempi simili, ce ne sono a bizzeffe. Pure un sistema di "gestione villa" in cui tutto é accessibile e riprogrammabile. Niente password, niente protezioni. Ora, dico, che un sistema per quanto curato, bachi e vulnerabilitá ne puó... Leggi tutto
13-4-2016 19:16

Gummy Bear

ne propongo una difficilissima: la data di nascita del sys.ad? :wink:
13-4-2016 18:19

{Gianni}

Signori, la password é 1234 "view only". Il problema è che anche la password che da diritti di controllo è altrettanto facile da trovare. Spero che questo messaggio giunga all'amministratore del sistema e che provveda al più presto a cambiarla con una più difficile.
13-4-2016 13:47

{SilverHawk}

E hanno pure la faccia tosta di scrivere sul sito: I VALORI Cinque i valori che hanno rappresentato le linee guida su cui si sono sviluppate la professionalità e la crescita aziendale. Innovazione Serietà Ricerca Precisione Passione Dove sono i licenziamenti quando servono???
13-4-2016 13:19

{Carlo Di Dato}

C'è da dire che al momento è protetto da password... il problema è che la password è 1234
13-4-2016 09:48

Leggi gli altri 1 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(4 commenti) WhatsApp Web: chiamare e videochiamare direttamente dal browser	News(13 commenti) Google Play si sbarazza di metà delle app

News(15 commenti)

FiberCop torna indietro sullo smart working

News(11 commenti)

Perso per sempre il codice sorgente di Fallout

Sicurezza(9 commenti)

Blackout in Spagna, gli hacker non la raccontano giusta

News(10 commenti)

Duolingo rimpiazza i consulenti a contratto con la IA

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

Quando partecipi a una discussione, che cosa ti infastidisce al punto da spingerti ad abbandonarla?