Dan Tentler, uno degli ideatori di Shodan (motore di ricerca per l’Internet delle cose), ha segnalato su Twitter questo generatore idroelettrico collegato a Internet e comandabile da chiunque tramite VNC non criptato e senza password. La presento qui senza mascherarne i dati perché comunque tutti i dettagli sono appunto su Shodan e perché ho avvisato i responsabili, che l’hanno scollegata.Ho verificato che la segnalazione su Shodan era ancora valida: mi sono collegato tramite VNC all’indirizzo IP 88.147.120.248 (pubblicato da Shodan) e ho trovato la schermata, aggiornata in tempo reale, con quel pulsante “START/STOP” disponibile a qualunque malintenzionato. Non l’ho toccato. Pochi clic su siti pubblicamente disponibili mi hanno permesso di scoprire che si trattava dell’impianto idroelettrico Rio Brent.
Altri, però, sono stati meno rispettosi di me: ho visto qualcuno azionare lo “START/STOP”. Ho cercato e trovato online il numero di telefono dell’azienda in questione e l’ho chiamato. Ha risposto una voce che ha avuto una risposta decisamente incredula quando mi sono presentato, con nome e cognome, qualificandomi come giornalista informatico, e gli ho spiegato il problema. Ha risposto che solitamente mettono le password a protezione degli accessi VNC ai loro generatori e che stavolta se ne sono dimenticati. Ha ringraziato per la mia segnalazione.
Ho aspettato che il generatore venisse scollegato da Internet e poi ho pubblicato queste note.
Forse sarò paranoico io, ma collegare un generatore idroelettrico a Internet e renderlo non solo monitorabile ma addirittura comandabile con un semplice VNC, senza né cifratura né password, non mi sembra una buona idea. E “dimenticarsi” di attivare la cifratura e anche di impostare una password indica un errore umano o di procedura che semplicemente non dovrebbe esistere in circostanze come queste.Il problema di fondo è che ci sono ancora molti tecnici di altri settori (non informatici) che ora si trovano a doversi assumere delle competenze da informatici senza avere la cultura della sicurezza online e quindi non sanno che tenere segreto un indirizzo IP non è affatto una misura di protezione accettabile, specialmente se quell’IP offre accesso a macchinari importanti. E da quando esistono motori di ricerca come Shodan, scoprire questi IP “segreti” è ormai un gioco da ragazzi.
Spero che questo episodio risolto felicemente serva da monito ai tanti, troppi gestori di dispositivi sensibili che ancora usano queste prassi pericolose.
2016/04/12 20:10: Il generatore è tornato online allo stesso indirizzo IP senza cifratura ma perlomeno con password.
2016/04/15 11:30: Altre funzioni dello stesso operatore sono vulnerabili o protette da password ridicole. Grazie a tutti di non parlarne nei commenti: non potrei pubblicarli. Avviso l’operatore e aggiornerò l’articolo quando la falla sarà stata risolta.
