skip to main | skip to sidebar
43 commenti

Un impianto idrico comandabile via Internet, senza password e senza crittografia

Quando si parla di “attacchi hacker” ci si immagina facilmente un gruppo di agguerritissimi incursori informatici che scavalcano abilmente un labirinto di difese digitali. Ma la realtà è spesso molto meno spettacolare e decisamente più imbarazzante. Ancora oggi tante, troppe aziende non prendono le misure minime di difesa informatica.

Vi racconto un caso pratico, senza fare nomi per ovvie ragioni. Molte aziende hanno impianti gestiti tramite telecontrollo: macchinari, dighe, depuratori e altro ancora. È quella che si chiama in gergo l’Internet delle Cose. È un sistema molto comodo, che fa risparmiare tempo, denaro e trasferte, ma bisogna usarlo in modo responsabile. Il problema, infatti, è che questo telecontrollo in molti casi viene svolto via Internet usando connessioni non protette da password e crittografia.

Questo significa che chiunque può sorvegliare abusivamente questi impianti e spesso prenderne anche il controllo. Tutto quello che serve è saperne le coordinate Internet, ossia l’indirizzo IP, e poi immetterlo in un programma liberamente scaricabile, come per esempio VNC. Fatto questo, l’aggressore può cliccare sui pulsanti dell’impianto come se ce l’avesse davanti.



Purtroppo molti installatori, gestori e utenti di questi impianti pensano che questo indirizzo IP non sia facilmente reperibile e quindi credono di essere al sicuro e che proteggere la connessione con una password non serva e sia anzi solo una scocciatura che intralcia il loro lavoro: tanto, se nessuno sa qual è l’indirizzo IP, non c’è pericolo. Ma è un errore gravissimo, perché esistono motori di ricerca per gli indirizzi IP dei dispositivi connessi a Internet: una sorta di Google per macchinari online.

Di conseguenza, un aggressore non deve fare altro che usare questi motori di ricerca pubblicamente accessibili, come Shodan.io, per scoprire tutti i dispositivi connessi in modo insicuro, presentati su una pratica cartina geografica. Il talento informatico che gli serve è praticamente zero. A quel punto è pronto per un attacco all’impianto aziendale, per esempio a scopo di sabotaggio o estorsione.


Ieri ho trovato su Internet uno di questi apparati, accessibile senza alcuna password o protezione: era un sistema per la gestione di una cosiddetta “opera di presa”, una di quelle che preleva acqua da un fiume o un torrente.

Ho avvisato telefonicamente e via mail i responsabili dell’impianto e la Polizia Postale del luogo, ma sono passate molte ore prima che qualcuno rimediasse alla falla di sicurezza aperta da chissà quanto tempo [correzione: il rimedio che sembrava essere imminente quando ho preparato questo testo non c’è ancora stato].

Nel frattempo chiunque avrebbe potuto manovrare l’impianto e causare danni. E come questo impianto ce ne sono molti altri, in Italia e nel mondo.

Screenshot del 15/1/2018. Sì, la data visualizzata è sbagliata in avanti di un giorno.


Episodi come questo sono un forte monito a chi si occupa di sicurezza degli impianti da cui noi tutti dipendiamo: è ora di smettere di pensare che se non si pubblica l’indirizzo IP di un dispositivo, di una telecamera, di una paratoia di una diga, di un impianto antincendio o di un altoforno, nessuno lo troverà mai. Pensare in questo modo è l’equivalente di lasciare la chiave di casa sotto lo zerbino perché tanto nessuno sa che è lì. Lo sanno tutti. Se potete, adeguatevi.


Questo articolo è il testo preparato il 15 gennaio 2018 per il mio servizio La Rete in 3 minuti per Radio Inblu del 16 gennaio 2018. Alcuni dettagli sono stati omessi, mascherati o alterati per esigenze di riservatezza e sicurezza. Ultimo aggiornamento: 2018/01/17 9:30.


Cronologia degli eventi


2018/01/15 13:15. Ho telefonato all’azienda per avvisarla del problema.

13:22. Ho inviato una mail informativa all’azienda, come richiesto dalla persona raggiunta telefonicamente.

13.25. Ho fatto il mio primo tweet pubblico sulla vicenda, anonimizzandola rigorosamente. Non ho pubblicato l’indirizzo IP, il nome dell’azienda o il nome della località, come potete leggere qui sotto:



16:00. Ho telefonato alla Polizia Postale di zona per informarla della situazione.

16:06. Ho inviato alla Polizia Postale di zona una mail con i dettagli, come richiesto.

2018/01/16 10:05. L'impianto è risultato ancora accessibile come prima, senza password e senza crittografia. Ho inviato una seconda mail di avviso all’azienda.

14:10. Ancora nessuna risposta o reazione da parte dell’azienda.

16:40. Tutto come prima. Sembra proprio che non gliene freghi niente a nessuno.

18:00. Per tutti quelli che me l’hanno chiesto:

  • sì, lo so che data e ora visualizzate sullo schermo dell’impianto sono sbagliate (la data è avanti di un giorno, l’ora di qualche minuto);
  • no, non credo che sia un honeypot, vista la reazione telefonica dei titolari e della Polizia Postale;
  • sì, c’è il rischio che qualcuno clicchi sui pulsanti e poi venga accusato io di averlo fatto; ma l’indirizzo IP dal quale proverrebbero le cliccate abusive non sarebbe il mio;
  • no, non intendo divulgare l’indirizzo IP dell’impianto prima che la vulnerabilità sia stata risolta;
  • no, non intendo cliccare su qualche pulsante per dimostrare che l’impianto è controllabile a distanza. Il fatto stesso che sia accessibile senza password è una lacuna di sicurezza più che sufficiente.


20:00. Rispondo a un’altra domanda ricorrente: ma il fatto di guardare tramite VNC un impianto come questo non è reato? Non sono un legale, ma direi che questa citazione dal sito della Polizia Postale è importante: “La norma [Art.615-ter, accesso abusivo ad un sistema informatico e telematico] esplicitamente prevede che il sistema informatico o telematico (sistema che integra informatica e telecomunicazioni), perché si configuri il reato in argomento, sia protetto da misure di sicurezza.... in assenza di misure di sicurezza, l´introduzione in sistemi informatici non costituisca reato". E per chi contesta che sto entrando in un sistema informatico altrui e quindi è come se stessi entrando in casa di qualcuno senza permesso: no, non sto entrando, sto guardando quello che si vede da fuori, dalla porta lasciata stupidamente spalancata, e sto avvisando che da quella porta spalancata rischiano di passare ladri e vandali.

22:00. Ho mandato un’ultima mail sconsolata all’azienda. Intanto ho saputo che l’impianto è in queste condizioni da febbraio 2017. A questo punto ci rinuncio: se all‘azienda sta bene che chiunque possa giocherellare con i loro apparati, buon pro le faccia.

2018/01/17 9:30. Nessuna risposta neanche all’ultima mail. L’impianto è ancora accessibile a chiunque.

10:25. L’azienda ha risposto ringraziando e dicendo laconicamente “ce ne stiamo occupando.”

16:20. L’accesso è ancora aperto senza password.
0 commenti

Podcast del Disinformatico del 2018/01/12

È disponibile per lo scaricamento il podcast della puntata di oggi del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!
10 commenti

Perché Windows rifiuta di aggiornarsi? Colpa dell’antivirus

Se state cercando di seguire le normali raccomandazioni di sicurezza informatica e quindi volete installare gli aggiornamenti di sicurezza di Windows ma non ci state riuscendo, la colpa potrebbe essere dell‘antivirus. Sì, siamo arrivati all’assurdo che un antivirus, concepito per migliorare la sicurezza, finisce per impedirla.

Il problema nasce dalle due gravi falle Spectre e Meltdown, già descritte in un articolo precedente. Microsoft ha già rilasciato gli aggiornamenti che le correggono (almeno in parte), ma non permette di installarli a chi usa alcuni tipi di antivirus.

Questo, spiega Microsoft, è necessario perché alcuni antivirus usano metodi che sono incompatibili con i più recenti aggiornamenti di Windows e mandano il sistema operativo in crash, con un classico Schermo Blu della Morte.

Spetta ai produttori di antivirus modificare i propri prodotti per tenere conto delle novità di sicurezza generate da Spectre e Meltdown: nel frattempo Microsoft si trova costretta a scegliere fra lasciare i propri utenti con un computer vulnerabile ma funzionante e bloccarli del tutto.

Il ricercatore di sicurezza Kevin Beaumont ha pubblicato un documento, progressivamente aggiornato, che elenca gli antivirus che non intralciano gli aggiornamenti di sicurezza di Microsoft. Consultatelo per sapere se il vostro antivirus è diventato un ostacolo o si è aggiornato.

Chicca finale: Microsoft ha imposto ai produttori di antivirus di autocertificare la propria compatibilità aggiungendo un’apposita chiave al Registro di Windows ogni volta che si avviano. Quanto tempo ci vorrà, si chiede l’esperto di sicurezza Graham Cluley, prima che i criminali informatici imparino a modificare questa chiave del Registro per impedire ai PC di aggiornarsi e così mantenerli vulnerabili?
18 commenti

Spiava le persone attraverso le webcam dei Mac: bloccato e incriminato

Credit: Patrick Wardle.
Phillip Durachinsky, un ventottenne residente in Ohio, è stato incriminato come autore di un malware per Mac che ha usato per oltre un decennio per spiare migliaia di vittime. Ha iniziato a farlo quando aveva quattordici anni.

Il malware, denominato Fruitfly, gli consentiva di prendere il controllo dei computer Apple che infettava, registrando dalla webcam e dal microfono, guardando cosa c’era sullo schermo, comandando mouse e tastiera e scaricando file. Ne avevo parlato a luglio del 2017, quando i dettagli del caso erano ancora riservati.

Durachinsky, secondo l’atto di incriminazione, ha usato questo suo malware per infettare e spiare migliaia di computer, rubando dati personali, informazioni bancarie, password e informazioni intime delle vittime, compresi moltissimi bambini: gli atti parlano di “milioni di immagini”. Per questo è accusato anche di produzione di pedopornografia.

Fra l’altro, Durachinsky aveva programmato Fruitfly in modo da mandargli un avviso se una delle vittime infettate digitava parole associate alla pornografia. Il suo intento, insomma, era molto chiaro.

Le intrusioni di Durachinsky sono andate avanti indisturbate per più di dieci anni: Fruitfly è stato scoperto soltanto l’anno scorso dalla società di sicurezza Malwarebytes. All’epoca Apple aveva rilasciato un aggiornamento di sicurezza per bloccare Fruitfly, ma nessuno sapeva chi fosse il suo mandante o creatore. Gli utenti che avevano aggiornato i propri Mac erano al sicuro, ma chi non si era aggiornato ed era infetto con Fruitfly continuava ad essere spiato.

Nei mesi successivi Patrick Wardle, ex dipendente NSA che oggi lavora per la Digita Security e offre strumenti di sicurezza gratuiti per Mac, ha analizzato il malware e ha scoperto come prenderne il controllo (ha trovato i nomi di dominio di riserva usati da Fruitly per comunicare con il suo padrone in caso di emergenza e li ha registrati a proprio nome, ricevendo così i dati inviati dal malware).

Wardle è riuscito a intercettare le comunicazioni fra i Mac infettati e il gestore del malware, scoprendo chi erano le vittime, e ha avvisato l’FBI, mostrando agli agenti i dettagli tecnici delle proprie scoperte. Le indagini hanno poi portato all’identificazione e all’incriminazione di Durachinsky.

Il problema è ora risolto: Fruitfly è stato disattivato e il suo autore non è più in grado di nuocere. Ma il ricercatore di sicurezza che ha snidato Durachinsky non ha parole tenere per Apple, che a suo dire era “concentrata anche sulla prospettiva di un’attenzione mediatica negativa”, rivelando “un esempio sorprendente di quali siano le priorità di Apple... Non è colpa di Apple se questo malware è entrato in tutti questi Mac... è imperativo che gli utenti Mac comuni siano consapevoli che esistono questi hacker malati e perversi che prendono di mira le loro famiglie, ma abbiamo Apple che spinge continuamente questa propaganda di marketing che dice che i Mac sono incredibilmente sicuri. Ma l’effetto collaterale è che gli utenti Mac diventano ingenui o eccessivamente fiduciosi”.

Morale della storia: i “virus” per Mac esistono e chiunque può esserne bersaglio. Meglio non credere troppo alle parole del marketing e attrezzarsi con un po’ di sana diffidenza e con un buon antivirus. Anche su Mac.
0 commenti

Ancora su Spectre: iOS e macOS vanno aggiornati di nuovo

La coppia di vulnerabilità gravi denominata Spectre e Meltdown ha imposto a quasi tutti i produttori di sistemi operativi delle modifiche drastiche ai propri prodotti per contenere il danno, che è causato da un difetto presente in quasi tutti i processori recenti ed è solo in parte rimediabile attraverso soluzioni software.

Apple ha rilasciato degli ulteriori aggiornamenti per iOS, che arriva così alla versione 11.2.2, e per macOS High Sierra, che arriva alla versione 10.13.2.

Questi aggiornamenti si aggiungono a quelli già rilasciati nei giorni scorsi, che avevano mitigato Meltdown, e servono a ridurre gli effetti di Spectre.

iOS 11.2.2 è disponibile per gli iPhone dal 5s in poi, per gli iPad dall’Air in poi e per gli iPod touch dalla sesta generazione in poi. La procedura è la solita: Impostazioni - Generali - Aggiornamento software.

Anche Safari, il browser di Apple, va aggiornato alla versione 11.0.2. Se siete utenti Mac e non siete ancora passati a High Sierra, installate almeno l’aggiornamento di Safari, che è disponibile sia per El Capitan (10.11.6), sia per Sierra (10.12.6). Anche qui la procedura è quella consueta: Mela - Informazioni su questo Mac - Aggiornamento software.

Buone notizie, invece, per i proprietari di Apple Watch: per questo dispositivo non sono necessari aggiornamenti di sicurezza.


Fonte aggiuntiva: Ars Technica.

Articoli precedenti