skip to main | skip to sidebar
11 commenti

Mini-centrale idroelettrica francese comandabile da chiunque via Internet

Collegare i dispositivi a Internet, in modo da poterli comandare da lontano, è sicuramente molto utile. Ma bisogna collegarli come si deve, pensando alla sicurezza, altrimenti ci si ritrova con situazioni come questa, scovata in Francia dal motore di ricerca Shodan: una mini-centrale idroelettrica che è stata collegata a Internet così maldestramente che chiunque può prenderne il controllo da lontano, come ho visto fare in queste ore, con conseguenze facilmente immaginabili.



Vediamo quali errori sono stati commessi, così possiamo imparare come non si configura l’Internet delle Cose.

1. Non si deve contare su un indirizzo IP “segreto”. Molti utenti (e amministratori di dispositivi) pensano ancora che un indirizzo IP, se non viene divulgato, sia un fattore di sicurezza perché se nessuno conosce l'indirizzo di un dato dispositivo quel dispositivo è introvabile. Non è così: motori di ricerca appositi, come Shodan, permettono di cercare dispositivi in base al loro tipo e alla loro posizione geografica. Sapendo qual è la marca e il modello del dispositivo e dove si trova, scoprire il suo indirizzo IP di controllo è banale. Vale anche il contrario: per esempio, secondo Utrace.de risulta che la centrale idroelettrica mostrata qui sopra (di cui non pubblico l’indirizzo IP per ovvie ragioni) è situata dalle parti di Tolosa, in Francia. Altri indizi suggeriscono più precisamente la località di Aiguillon.

2. Non si deve abilitare una connessione remota aperta a tutti e senza password. La centrale idroelettrica in questione è accessibile via Internet a chiunque sappia il suo indirizzo IP e usi una normale applicazione di gestione remota come VNC. Non viene neppure richiesta una password di accesso alla connessione VNC: ci si collega e basta. Ciliegina sulla torta, la connessione non è cifrata contro eventuali intercettazioni. Ciliegina sulla ciliegina, la centrale fa collegare chiunque ne digiti l'indirizzo IP anche in un normale browser.

3. Non si devono memorizzare sul computer remoto i nomi degli utenti e le password di accesso. Chi avvia una sessione VNC con il computer che gestisce la centrale idroelettrica di questo esempio non deve neppure tentare di indovinare i nomi degli utenti autorizzati, perché sono stati memorizzati nel browser del computer remoto. Insieme alle password. Così ho visto utenti accedere ai controlli della centrale e alla configurazione degli utenti semplicemente cliccando nella casella del nome utente e lasciando che il completamento automatico proponesse il nome dell’utente e poi la sua password.

4. Non si devono usare password stupidamente evidenti. Nel caso della centrale, ho visto che i visitatori hanno scoperto che almeno un account ha la password uguale al nome utente.


Sono rimasto alcune ore a osservare l’andirivieni dei visitatori sulla connessione di controllo remoto e ho visto fare di tutto, compreso cliccare sui comandi della centrale. Mi sono ovviamente posto il problema di come avvisare il responsabile della centrale, ma nelle scorribande dei visitatori non ho visto alcuna informazione di contatto, per cui ho inviato una mail alle aziende citate nelle schermate di configurazione della centrale. Ho inoltre creato sul desktop del computer remoto un file di stampa di nome "ATTENTION VOUS ETES ACCESSIBLES PAR INTERNET". Speriamo in bene.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (11)
-- facepalm --
Siamo nelle mani di nessuno...!
No. Dai non possono essere così scemi. Oltretutto vnc è configurato da pazzi, oltre che non avere la password permette pure connessioni concorrenti. Assurdo.
Uso VNC per gestire da remoto un pc.
Mi rimane comodo perchè tramite una app sul cellulare in cao di emergenza posso collegarmi
Ma ho applicato delle semplici regole
1) connessione criptata (non mi mancano 30 euro per acquistare la licenza...)
2) doppia password (ovvero quella di VNC, ovviamente non semplice, e quella del cp, programmato per bloccare lo schermo dopo la disconnessione)
3) disabilitazione dell'applet java per l'accesso dal browser
4) cambio della porta di connessione di default

devo dire che tranne qualche tentativo di collegamento (registrato nell'event viewer) finora il tutto funziona
Oh davvero, io stento a crederci ogni volta che pubblichi una notizia simile.
A cosa serva esporre un PC di controllo di questo livello, su internet, con VNC, SENZA PASSWORD (!!!) non lo capirò mai.
Perchè niente password????
Spiega a un inesperto come me cosa vuol dire che hai visto gli accessi di altri.
Martinobri,

Spiega a un inesperto come me cosa vuol dire che hai visto gli accessi di altri.

La connessione VNC della centrale accetta sessioni multiple contemporanee, ossia permette a più di un utente per volta di collegarsi. Per cui mi sono collegato e sono rimasto a guardare, su uno dei miei monitor, cosa facevano gli altri utenti. Un paio di volte sono intervenuto per bloccare i comandi più dannosi.
Giusto per curiosità... Che tipo di "comandi dannosi", al "ordinateur" o alla centrale?
Se c'è riuscito un impedito come me, (ingresso come amministratore in un impianto fotovoltaico) non oso immaginare cosa possano fare altri.
Ma siamo così sicuri che non ci sia un pazzo che ha lasciato "alla finestra" qualche controllo di una centrale nucleare? Ovvio che penso che tutti i controlli siano ridondanti in modo da impedire che...
vpn ... questa sconosciuta ?!?
date un'occhiata qui... altro che "centralina" idroelettrica
https://www.youtube.com/watch?v=hMtu7vV_HmY