skip to main | skip to sidebar
60 commenti

Un impianto idrico comandabile via Internet, senza password e senza crittografia

Quando si parla di “attacchi hacker” ci si immagina facilmente un gruppo di agguerritissimi incursori informatici che scavalcano abilmente un labirinto di difese digitali. Ma la realtà è spesso molto meno spettacolare e decisamente più imbarazzante. Ancora oggi tante, troppe aziende non prendono le misure minime di difesa informatica.

Vi racconto un caso pratico, senza fare nomi per ovvie ragioni. Molte aziende hanno impianti gestiti tramite telecontrollo: macchinari, dighe, depuratori e altro ancora. È quella che si chiama in gergo l’Internet delle Cose. È un sistema molto comodo, che fa risparmiare tempo, denaro e trasferte, ma bisogna usarlo in modo responsabile. Il problema, infatti, è che questo telecontrollo in molti casi viene svolto via Internet usando connessioni non protette da password e crittografia.

Questo significa che chiunque può sorvegliare abusivamente questi impianti e spesso prenderne anche il controllo. Tutto quello che serve è saperne le coordinate Internet, ossia l’indirizzo IP, e poi immetterlo in un programma liberamente scaricabile, come per esempio VNC. Fatto questo, l’aggressore può cliccare sui pulsanti dell’impianto come se ce l’avesse davanti.



Purtroppo molti installatori, gestori e utenti di questi impianti pensano che questo indirizzo IP non sia facilmente reperibile e quindi credono di essere al sicuro e che proteggere la connessione con una password non serva e sia anzi solo una scocciatura che intralcia il loro lavoro: tanto, se nessuno sa qual è l’indirizzo IP, non c’è pericolo. Ma è un errore gravissimo, perché esistono motori di ricerca per gli indirizzi IP dei dispositivi connessi a Internet: una sorta di Google per macchinari online.

Di conseguenza, un aggressore non deve fare altro che usare questi motori di ricerca pubblicamente accessibili, come Shodan.io, per scoprire tutti i dispositivi connessi in modo insicuro, presentati su una pratica cartina geografica. Il talento informatico che gli serve è praticamente zero. A quel punto è pronto per un attacco all’impianto aziendale, per esempio a scopo di sabotaggio o estorsione.


Ieri ho trovato su Internet uno di questi apparati, accessibile senza alcuna password o protezione: era un sistema per la gestione di una cosiddetta “opera di presa”, una di quelle che preleva acqua da un fiume o un torrente.

Ho avvisato telefonicamente e via mail i responsabili dell’impianto e la Polizia Postale del luogo, ma sono passate molte ore prima che qualcuno rimediasse alla falla di sicurezza aperta da chissà quanto tempo [correzione: il rimedio che sembrava essere imminente quando ho preparato questo testo non c’è ancora stato].

Nel frattempo chiunque avrebbe potuto manovrare l’impianto e causare danni. E come questo impianto ce ne sono molti altri, in Italia e nel mondo.

Screenshot del 15/1/2018. Sì, la data visualizzata è sbagliata in avanti di un giorno.


Episodi come questo sono un forte monito a chi si occupa di sicurezza degli impianti da cui noi tutti dipendiamo: è ora di smettere di pensare che se non si pubblica l’indirizzo IP di un dispositivo, di una telecamera, di una paratoia di una diga, di un impianto antincendio o di un altoforno, nessuno lo troverà mai. Pensare in questo modo è l’equivalente di lasciare la chiave di casa sotto lo zerbino perché tanto nessuno sa che è lì. Lo sanno tutti. Se potete, adeguatevi.


Questo articolo è il testo preparato il 15 gennaio 2018 per il mio servizio La Rete in 3 minuti per Radio Inblu del 16 gennaio 2018 e ampliato per la puntata del Disinformatico della Radiotelevisione Svizzera del 19 gennaio 2018. Alcuni dettagli sono stati omessi, mascherati o alterati per esigenze di riservatezza e sicurezza. Ultimo aggiornamento: 2018/01/19 8:00.


Cronologia degli eventi


2018/01/15 13:15. Ho telefonato all’azienda per avvisarla del problema.

13:22. Ho inviato una mail informativa all’azienda, come richiesto dalla persona raggiunta telefonicamente.

13.25. Ho fatto il mio primo tweet pubblico sulla vicenda, anonimizzandola rigorosamente. Non ho pubblicato l’indirizzo IP, il nome dell’azienda o il nome della località, come potete leggere qui sotto:



16:00. Ho telefonato alla Polizia Postale di zona per informarla della situazione.

16:06. Ho inviato alla Polizia Postale di zona una mail con i dettagli, come richiesto.

2018/01/16 10:05. L'impianto è risultato ancora accessibile come prima, senza password e senza crittografia. Ho inviato una seconda mail di avviso all’azienda.

14:10. Ancora nessuna risposta o reazione da parte dell’azienda.

16:40. Tutto come prima. Sembra proprio che non gliene freghi niente a nessuno.

18:00. Per tutti quelli che me l’hanno chiesto:

  • sì, lo so che data e ora visualizzate sullo schermo dell’impianto sono sbagliate (la data è avanti di un giorno, l’ora di qualche minuto);
  • no, non credo che sia un honeypot, vista la reazione telefonica dei titolari e della Polizia Postale;
  • sì, c’è il rischio che qualcuno clicchi sui pulsanti e poi venga accusato io di averlo fatto; ma l’indirizzo IP dal quale proverrebbero le cliccate abusive non sarebbe il mio;
  • no, non intendo divulgare l’indirizzo IP dell’impianto prima che la vulnerabilità sia stata risolta;
  • no, non intendo cliccare su qualche pulsante per dimostrare che l’impianto è controllabile a distanza. Il fatto stesso che sia accessibile senza password è una lacuna di sicurezza più che sufficiente.


20:00. Rispondo a un’altra domanda ricorrente: ma il fatto di guardare tramite VNC un impianto come questo non è reato? Non sono un legale, ma direi che questa citazione dal sito della Polizia Postale è importante: “La norma [Art.615-ter, accesso abusivo ad un sistema informatico e telematico] esplicitamente prevede che il sistema informatico o telematico (sistema che integra informatica e telecomunicazioni), perché si configuri il reato in argomento, sia protetto da misure di sicurezza.... in assenza di misure di sicurezza, l´introduzione in sistemi informatici non costituisca reato". E per chi contesta che sto entrando in un sistema informatico altrui e quindi è come se stessi entrando in casa di qualcuno senza permesso: no, non sto entrando, sto guardando quello che si vede da fuori, dalla porta lasciata stupidamente spalancata, e sto avvisando che da quella porta spalancata rischiano di passare ladri e vandali.

22:00. Ho mandato un’ultima mail sconsolata all’azienda. Intanto ho saputo che l’impianto è in queste condizioni da febbraio 2017. A questo punto ci rinuncio: se all‘azienda sta bene che chiunque possa giocherellare con i loro apparati, buon pro le faccia.

2018/01/17 9:30. Nessuna risposta neanche all’ultima mail. L’impianto è ancora accessibile a chiunque.

10:25. L’azienda ha risposto ringraziando e dicendo laconicamente “ce ne stiamo occupando.”

16:20. L’accesso è ancora aperto senza password.

2018/01/18 23:40. Tutto è ancora come prima.

2018/01/19 11:30. Situazione invariata.

2018/01/21 22:15. L’impianto è ancora raggiungibile con un qualunque VNC, senza crittografia e senza password.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (60)
Usando per lavoro questi sistemi remoti sai quante volte devo "litigare" con il cliente per attivare le protezioni.
Di solito la prima cosa che faccio è (ove possibile) cominciare a limitare l'accesso all'apparato tramite un primo filtro ip
Poi cambio porta standard, connessione criptata (se possibile faccio usare una versione licenziata di VNC) e password alfanumerica di almeno 8 caratteri.
Anche sulle connessioni wi-fi devo litigare per far tenere attiva la crittografia....
Sicurezza? Nah, costa troppo, chi vuoi che scopra qual è il nostro IP, dai!

Scherzi a parte, quando vedo notizie del genere mi sorge sempre una domanda, una volta segnalata la falla all'azienda in questione c'è la probabilità che la stessa poi ti denunci per qualche motivo, magari dichiarando che sei stato tu a causare la falla o robe del genere?
Secondo me, non la capiscono nemmeno avvisandoli. Bisogna causare loro qualche piccolo disagio, roba da poco, facilmente rimediabile, facendo poi seguire la comunicazione "Guarda che ho preso il controllo del tuo apparato facilmente accessibile da cani e porci all'IP xxx.xxx.xxx.xxx senza password e stavolta mi sono limitato a spegnerti quel piccolo apparato poco importante; la prossima volta ti demolisco il sistema." Lì sì che correrebbero a mettere in piedi livelli di sicurezza perfino paranoici!
... più che la chiave di casa, è l'equivalente di lasciare la chiave dell'altoforno sotto lo zerbino :-D
In alcuni casi, più eclatanti, forse converrebbe l'accesso diretto ai telecontrolli mediante modem SIM dedicata. Il numero di telefono è, immagino, un po meno rintracciabile dell'indirizzo IP.
Nel campo hobbistico esistono un sacco di progetti di telecontrollo realizzati con Arduino e, ultimamente, con ESP8266, un chip molto economico (sotto i 5 euro) che ha integrato il WiFi. Ebbene la stragrande maggioranza non ha alcun sistema di controllo di accesso, neanche una password.
Ti segnalo un refuso "2018/10:05. " Manca la data, suppongo sia 2018/01/16, altrimenti non si capisce da quanto tempo è on-line (cioè, oggi si capisce, tra qualche giorno magari viene il dubbio).
Buona giornata e buon lavoro!
La data dell'ultimo passaggio è incompleta (2018/10:05)
Tutti,

Refusi sistemati, grazie!
"Ho avvisato telefonicamente e via mail i responsabili dell’impianto e la Polizia Postale del luogo, ma sono passate molte ore prima che qualcuno rimediasse alla falla di sicurezza aperta da chissà quanto tempo. Nel frattempo chiunque avrebbe potuto manovrare l’impianto e causare danni."

Scusa ma questo contrasta con la cronologia. La falla di sicurezza è ancora aperta. Tu hai pubblicato prima che il problema fosse risolto. Chiunque puó ancora manovrare l'impianto e fare danni.
credo ci sia ancora un refuso con le date oppure stai vivendo un groundhog day...ha scritto 2 volte 2018/01/15
Paolo per la cronologia metterei gli orari nel formato 24h oppure espliciterei AM/PM. Lo so, è una cavolata ma evita confusioni vista la precisione con cui hai riportato il tutto. Non è necessario che pubblichi il commento. Ciao
La data e ora iniziale è 2018/01/15 13.15; quella finale è 2018/01/15 10:05.
O la prima data è relativa al 14 gennaio, oppure la seconda è del 16 gennaio. Non possono essere dello stesso giorno.
"2018/01/15 10:05. L'impianto è ancora accessibile..." credo che la data sia sbagliata, immagino si tratti del 16 gennaio.
"Internet delle cose" una connessione VNC aperta su un computer? Mi sembra un po' forzato...
A questo punto, se un cretino opera e fa danni, il pensiero della ggente sarà che è stata tutta colpa tua.
2018/01/15 10:05. L'impianto è ancora accessibile
La data dovrebbe essere 2018/01/16 10:05 ?
2018/01/15 10:05. L'impianto è ancora accessibile senza password e senza crittografia. Ho inviato una seconda mail di avviso all’azienda.

Forse intendevi 16 gennaio? :-)
Refuso:
2018/01/15 10:05. L'impianto è ancora accessibile
per me la data è errata, la giusta penso sia oggi:
2018/01/16 10:05. L'impianto è ancora accessibile
Ciao!
Zappa
Paolo , controlla cronologia,la seconda mail è il 16?
Probabilmente non sarò il primo a suggerirlo, ma secondo me se premi su "manuale" e poi giochi un po' con quelle paratoie una reazione da parte dell'azienda la ottieni in fretta :-D
Unknown,

Scusa ma questo contrasta con la cronologia. La falla di sicurezza è ancora aperta. Tu hai pubblicato prima che il problema fosse risolto.

Avevo motivo di pensare che sarebbe stata chiusa prima della messa in onda del servizio.
Daniel,

c'è la probabilità che la stessa poi ti denunci per qualche motivo

La probabilità c'è sempre. Nulla impedisce a un imbecille di avviare una cosiddetta lite temeraria.
@Dumdumderum
Sarebbe certamente un ottimo modo per dare una sveglia a certa gente. Purtroppo però, anche se commesso con le migliori intenzioni, si tratta sempre di un reato.

Ora; qualcuno potrebbe anche reagire bene, ringraziando l'autore di quel mini vandalismo a fin di bene. Magari lo premierebbe pure, un po' come Google (e tanti altri) che premia con sonanti dollaroni chi trova delle grosse vulnerabilità nei suoi prodotti.

Ma ci sono anche quelli che reagirebbero male, molto male. Del resto è più facile incolpare chi ti apre gli occhi su un problema, piuttosto che sé stessi per le proprie mancanze.
Ah, il caro vecchio principio del "security through obscurity": inutile fare le cose per bene, troppo complicato e macchinoso; basta non divulgare l'IP! Se nessuno sa l'IP, non succederà mai niente di male... no?

Era lo stesso principio sul quale si reggevano i bar clandestini ai tempi del proibizionismo: per entrare dovevi conoscere il vicoletto giusto e bussare alla porta giusta. Talmente efficace che le autorità facevano retate un giorno sì e l'altro pure (salvo intrallazzi, ma è un'altra storia).

Era un concetto fallimentare un secolo fa, figuriamoci oggi...
va solo bene che è una piccola opera di presa in pieno inverno quindi l'acqua che ci passa sarà ben poca...scriteriato l'amministratore di sistema che ha fatto una cosa simile.
Per quanto la situazione sia grottesca normalmente queste opere di presa sono monitorate da personale in centri appositi 24h/24h o almeno in Italia è così nelle ditte serie e grosse, spero solo che si grossa e seria.
servono degli eroi che vadino a spingere quei pulsanti a caso e creare danni, così l'azienda inizierà a preoccuparsi della situazione. sentivo tempo fa degli haker che violano sistemi, avvisavano i proprietari e poi se non fixavano pubblicavano dati o facevano danni. purtroppo solo quando sbatti le corna capisci che ti puoi fare male.
Ho partecipato, abbastanza ai margini, a molte decine di procedure autorizzative di questi impianti. Questo ambito, la sicurezza informatica, non mi risulta sia mai stato preso in considerazione, ma sono certo che se le autorità idrauliche lo sapessero, apporrebbero qualche vincolo in merito. Certo, più burocrazia per impianti che già subiscono delle procedure spesso e volentieri grottesche, però, devo dire, che se le tirano davvero.
A mio avviso più che la polizia postale, dovrebbero saperlo le autorità idrauliche.
Tu mi dirai, allora dimmi che scrivo. Facile ne ? No, per nulla, dipende dalla dimensione, dal corso d'acqua, dalla regione, etc ... però googlando il nome dell'impianto dovrebbe venire fuori l'atto di autorizzazione e l'ente che lo ha emanato.
Se questi, sospettosi, bloccano l'impianto (possono farlo, anzi dovrebbero), fai un danno molto maggiore di qualsiasi manovra per cui potresti essere denunciato, e lo faresti più che legalmente.
ma le mail che hai mandato all'azienda, le hanno lette? purtropo penso che la risposta sia 'sí', per cui mi sorge spontanea un'altra domanda: "le hanno capite?" E qui i casi sono due: mi ni futtu, o mi taglio le vene. scelgo la prima, più facile, dai…
Recentemente ho lavorato accanto al configuratore software per l'ammodernamento di un sistema simile.
Visto che è tutto cablato, ho insistito per non mettere nulla in rete:
"Batti punto-punto e io ti dico se corrisponde, poi migriamo il segnale".
Costoso, faticoso, ma sicuro. Niente scorciatoie con ripetitori WiFi.
Mi ricordavo qualcosa di simile... Se metti una password per quanto stupida e banale la violazione della stessa costituisce reato, se non ti proteggi sono Gatto Sitwoy...
Comunque il tuo l'hai fatto, se qualcuno si connette e fa danni non e' nemmen reato visto che la connessione non e' protetta. Affari loro.
Scusatemi la domanda banale ma cosa fa la polizia postale in questi casi? è stata avvisata per pararsi il sedere in caso di accuse di violazione del sistema o per altro? Lo chiedo perché anche a me è capitato di trovare impianti del genere accessibili da chiunque ma mi sono limitato ad avvisare l'azienda. Grazie
"ma tanto chi vuoi che clicchi" ti dicono. Tra l'altro sta gente non capisce che l'IP è pubblico...
Domanda stupida: È possibile che il problema non sia risolvibile in breve? Ovvero, il programma di gestione stupidamente non prevede un accesso a distanza con password? Dico questo perché mi è capitato di vedere un programma di gestione impianti di un edificio, ma non era prevista la connessione in rete per comandare a distanza, mentre tutto l'apparato era comandato da un pc in locale, possibile che qualcuno abbia implementato dilettantescamente la funzione e ora non sappia con rimediare?
Ipotesi honeypot a parte, non si sta dando troppo per scontato che l'interfaccia web aperta si riferisca a un impianto reale in produzione e non piuttosto a un ambiente di test fittizio?
Mah... a me è capitato di infilare nell'impianto sbagliato senza che nessuno chiedesse chi diamine fossi e c'è voluto tipo un'ora per arrivare a capire che dovevo andare al cancello di fronte... e si parla di impianti di generazione elettrica da svariati megawatt...
Ma i pulsanti funzionano o è solo una schermata di stato?
Grazie Paolo!

Venire denunciati per una cosa del genere me le farebbe girare parecchio. C'è qualche modo di difendersi a priori, che non sia il "non dire nulla all'azienda"?
Io segnalerei al Magistrato alle Acque...
In effetti l'ipotesi di cui al commento 35 non è da escludere a priori... a meno che Paolo non abbia altre informazioni.
pgc,

in effetti ho varie buone ragioni (per esempio quello che mi ha detto la Polizia Postale) per escludere quasi certamente l'ipotesi honeypot. Per ora non posso dire di più.
Shodan è semplicemente terrificante. Io stesso ho scoperto con pochi clic decine di sistemi non protetti, in cui addirittura si poteva sovrascrivere il firmware dei controllori elettronici gestiti. Chissà cosa controllavano quei sistemi...
Verzasoft,

Shodan è semplicemente terrificante

In realtà quello che è terrificante è l'incompetenza di coloro che mettono online senza alcuna protezione macchinari di questo genere. Shodan non fa altro che denunciare la loro scelleratezza.
@Grezzo,
il protocollo di VNC è noto e ci sono diversi programmi compatibili. Di solito la password c'è ma, se non ricordo male, va impostata.
Probabili reazioni dell'azienda dopo la tua segnalazione:
"Ma chi è 'sto tipo?"
"Cos'è che segnala?"
"Dacci un'occhiata tu, che di computer te ne intendi" (rivolta dal manager IT dell'azienda al figlio)
"Non abbiamo sicurezza?" (mail del manager IT a quelli che hanno sviluppato il sistema, dopo la risposta "Ce ne stiamo occupando")
"Non l'avete chiesta, ne' avete pagato per averla" (risposta di chi ha sviluppato il sistema)
Su Shodan io vedo luci e ombre...

Riprendendo l'esempio dell'abitazione, è come se qualcuno si accorgesse che ho lasciato la porta di casa aperta e per avvertirmi gira con il megafono per le strade della città urlando "Ehi! Arturo Smemorato! il portone di casa tua è aperto!!"
Non so voi, ma io non la prenderei bene, perché siamo sicuri che mi stai aiutando a risolvere un problema, o più facilmente mi stai mettendo ancora più in pericolo?
la cosa è un po' contorta e se fossi al posto tuo avrei pubblicato questa storia solo a chiusura della falla informatica.
(puoi pubblicare, come non pubblicare questo messaggio)
"Non sono un legale, ma direi che questa citazione dal sito della Polizia Postale è importante"

Io sì, Paolo, e in amicizia sincera ti dico di andarci con i piedi più che di piombo.
Non solo e non tanto per il 615-ter in sé (che non ci stanno capendo nulla da anni le Sezioni Unite, figurati la Postale), quanto per le rogne che puoi averne.
Magari non succederà, ma un p.m. particolarmente zelante, dovesse succedere un casino grosso con quello specifico impianto, potrebbe tirarti dentro nell'inchiesta. O il titolare dell'impresa cretino inventarsi una denuncia per violazione e divulgazione del segreto industriale. O qualche magistrato inquirente o giudicante più anziano ricordarsi che una volta nelle università s'insegnava che entrare in una casa con la porta aperta è comunque violazione di domicilio.
E già solo le notti insonni passate sull'avviso di garanzia, ammesso sempre che indaghi l'Italia e non la Svizzera, sarebbero una pena sufficiente. Anche se sei sicuro dell'assoluzione.
Può darsi di sì e può darsi di no, ma in onestà io non correrei assolutamente rischi divulgando gli screenshot. Il fatto certamente sì, cosa si vede no.
Poi eh, senza ansia: come tu giustamente segnali i rischi informatici, noi si segnala quelli giuridici.
Jotar, però nel tuo esempio (per farlo corretto) il qualcuno al megafono non direbbe che è la casa di Arturo (quando Paolo ha pubblicato questo articolo, non ha indicato quale sia, anzi ha pure offuscato le immagini). Col megafono invece avvertirebbe di stare attenti, ché ha visto che ci sono case con la porta aperta, che tutti possono vedere, e manca la consapevolezza. La voce al megafono dice che ne ha giusto segnalata una (evitando di far sapere quale), ma a quanto pare, il proprietario non reagisce molto.
Quindi state dicendo che non bisogna segnalare un comportamento totalmente irresponsabile e potenzialmente pericoloso?

Ah ok.
@pgc, @Paolo: veramente io non mi riferivo all'ipotesi honeypot, ma all'ipotesi che non venga fatto nulla (o comunque venga usata la massima flemma) perché si tratta dell'interfaccia web di un ambiente di test non collegato a manufatti idraulici reali. Lasciato distrattamente aperto, ma in quanto tale innocuo. Solo un ipotesi, ma non la scarterei a priori.
Il 2019 nell'ultimo aggiornamento è un refuso o una previsione?
Concordo pienamente con le preoccupazioni di Kaguya
guardate che spesso gli ambienti di test delle aziende sono connessi a campo anch'essi proprio perchè essendo di test devono replicare la situazione dei sistemi di produzione in tutto e per tutto.

Interessante la "coincidenza" tra la pubblicazione di questo articolo e le ricerche su google di Shodan.io !

https://g.co/trends/4JXHf

Tutti,

alcuni commenti inviati stanotte intorno alla 1.00 sono stati cancellati per errore e non ho modo di recuperarli. Mi scuso per l'inconveniente.
Rischio - pericolo - forze dell'ordine. Girando su reddit - insecam e shodan mi sono fatto domande del tipo "E se vedo un reato, o un pericolo ?", come un furto, un principio di incendio, o peggio. L'unica risposta che mi sono dato (e non è granchè) : esposto alle forze dell'ordine. Non dico sulla webcam aperta sulla piazza di un municipio o la cucina di due vecchietti chissà dove nel mondo, però ... se a valle di quella diga c'è un asilo nido in riva al fiume ... penso che una chiacchierata con il capo della locale stazione dei carabinieri chiuda per sempre la questione. Non sottovalutate i carabinieri : sono lì per tutelarci e, una volta spiegata la situazione, non fanno altro che il loro dovere.
In un tipo di impianto di quel genere, una vulnerabilità del genere è definibile come 'la goccia che potrebbe far traboccare il vaso?'

Ok ok, sto zitto... u.u
Buonasera, c'è qualche aggiornamento? nonostante i giorni passino la curiosità non scema...
Grazie :)
han sistemato il problema ?
Fai un altro update? Han sistemato?