skip to main | skip to sidebar
22 commenti

Generatore elettrico italiano comandabile da chiunque via Internet

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/04/15 11:30.

Dan Tentler, uno degli ideatori di Shodan (motore di ricerca per l’Internet delle cose), ha segnalato su Twitter questo generatore idroelettrico collegato a Internet e comandabile da chiunque tramite VNC non criptato e senza password. La presento qui senza mascherarne i dati perché comunque tutti i dettagli sono appunto su Shodan e perché ho avvisato i responsabili, che l’hanno scollegata.

Ho verificato che la segnalazione su Shodan era ancora valida: mi sono collegato tramite VNC all’indirizzo IP 88.147.120.248 (pubblicato da Shodan) e ho trovato la schermata, aggiornata in tempo reale, con quel pulsante “START/STOP” disponibile a qualunque malintenzionato. Non l’ho toccato. Pochi clic su siti pubblicamente disponibili mi hanno permesso di scoprire che si trattava dell’impianto idroelettrico Rio Brent.

Altri, però, sono stati meno rispettosi di me: ho visto qualcuno azionare lo “START/STOP”. Ho cercato e trovato online il numero di telefono dell’azienda in questione e l’ho chiamato. Ha risposto una voce che ha avuto una risposta decisamente incredula quando mi sono presentato, con nome e cognome, qualificandomi come giornalista informatico, e gli ho spiegato il problema. Ha risposto che solitamente mettono le password a protezione degli accessi VNC ai loro generatori e che stavolta se ne sono dimenticati. Ha ringraziato per la mia segnalazione.

Ho aspettato che il generatore venisse scollegato da Internet e poi ho pubblicato queste note.

Forse sarò paranoico io, ma collegare un generatore idroelettrico a Internet e renderlo non solo monitorabile ma addirittura comandabile con un semplice VNC, senza né cifratura né password, non mi sembra una buona idea. E “dimenticarsi” di attivare la cifratura e anche di impostare una password indica un errore umano o di procedura che semplicemente non dovrebbe esistere in circostanze come queste.

Il problema di fondo è che ci sono ancora molti tecnici di altri settori (non informatici) che ora si trovano a doversi assumere delle competenze da informatici senza avere la cultura della sicurezza online e quindi non sanno che tenere segreto un indirizzo IP non è affatto una misura di protezione accettabile, specialmente se quell’IP offre accesso a macchinari importanti. E da quando esistono motori di ricerca come Shodan, scoprire questi IP “segreti” è ormai un gioco da ragazzi.

Spero che questo episodio risolto felicemente serva da monito ai tanti, troppi gestori di dispositivi sensibili che ancora usano queste prassi pericolose.


2016/04/12 20:10: Il generatore è tornato online allo stesso indirizzo IP senza cifratura ma perlomeno con password.

2016/04/15 11:30: Altre funzioni dello stesso operatore sono vulnerabili o protette da password ridicole. Grazie a tutti di non parlarne nei commenti: non potrei pubblicarli. Avviso l’operatore e aggiornerò l’articolo quando la falla sarà stata risolta.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (22)
"Oggi Shodan ha pubblicato" è inesatto. Dan Tentler (@Viss) lo ha segnalato oggi, ma è possibile che fosse su Shodan da mesi. Viss è uno degli ideatori, ma non "è" Shodan.
Mi ricorda questa scena...

https://www.youtube.com/watch?v=R5paXeKX-W8&nohtml5=False
Te ne sei andato dall'UK giusto in tempo. Qui stanno installando "smart meters" per l'elettricità ovunque. Guarda un po', sono un colabrodo di sicurezza; il GCHQ è dovuto intervenire:

http://www.theinquirer.net/inquirer/news/2451793/gchq-intervenes-to-prevent-catastrophically-insecure-uk-smart-meter-plan

La parte centrale (che si collega con quanto dici nell'articolo) è:

Hunn suggested that old-style gas and electricity meter makers in the UK are typically metal bashers rather than technology companies, and don't fully understand the complexities of the smart meters they have been asked to design.

Dr Ian Levy, technical director of GCHQ's communications security group, agreed that this may be the case.

"The guys making the meters are really good at making meters, but they might not know a lot about making them secure. The guys making head-end systems know a lot about making them secure, but not about what vulnerabilities might be built into them," he said in an interview cited by The Financial Times.
Googlando ho trovato, a prposito di contatori, questo link: http://www.dreamsworld.it/emanuele/2007-07-01/hacking-contatore-enel-come-aumentarne-la-potenza/ che è di una ingenuità imbarazzante. Tanto che non credo funzioni. Oltretutto il tizio mette pure il proprio indirizzo..

Ah non ho provato visto che in italia fare una roba del genere comporterebbe una serie di reati: accesso illegale a sistema informatico pubblico e truffa, probabilmente falso e credo anche furto. E comunque non ho più niente con una porta a infrarossi se non (credo) un cellulare.
Fred84,

hai ragione. Ho corretto il testo dell'articolo, grazie.
@Paolo
la realta' e' quasi tutto adesso e' collegato/collegabile ad internet, perche' "smart" fa fico ma quasi nessuno pensa alla sicurezza o alle conseguenze.
A me hanno insegnato che dev'essere tutto chiuso a meno dello stretto necessario e non il viceversa...
@il lupo della luna probabilmente al tempo avrebbe potuto anche funzionare; i contatori per quanto Smart non erano tutti connessi e un cambio di impostazioni sarebbe stato resettato solo dopo un certo tempo. Ora che tutti i contatori sono collegati ogni evento come accesso alla porta IR, apertura della cover ecc. è segnalato come allarme (in tempo reale) e trasmessa ai server centrali (oltre al fatto che, sempre in teoria, l'accesso dovrebbe essere più blindato). Se poi gli allarmi vengono controllati è un altro discorso...
In realtà questi contatori sono una miniera di informazioni per il gestore elettrico e lo sarebbero anche per l'utente finale se una parte dei dati fosse disponibile. Esempio stupido ma non troppo (dato che odio scendere a "tirar su" l'interruttore) potrebbero mandare un avviso via SMS, app avvisando che si sta sforando il consumo massimo...
A me fa impazzire il fatto che abbiano chiamato il motore "shodan". nerd nel midollo questi!
In segno di riconoscenza ti dovrebbero regalare un po' di elettricità per la tua auto!
Secondo me, se una volta individuato il responsabile gli dimezzassero un paio di stipendi, la prossima volta starebbe attento eccome. E servirebbe da monito anche per gli altri...A parte che poi, in caso di disastro, vorrei sapere chi sarebbe ritenuto il responsabile
@Derek
se volessero fare le cose veramente smart il contatore dovrebbe comunicare con gli elettrodomestici segnalando la potenza massima disponibile e quella attualmente assorbita in modo che l'elettrodomestico smart sappia quanta potenza effettiva ha a disposizione ed evitare proprio di sforare... Cosi' te puoi accendere lavastoviglie e lavatrice e lasciare che se la sfanghino loro... ;)
"Il problema di fondo è che ci sono ancora molti tecnici di altri settori (non informatici) che ora si trovano a doversi assumere delle competenze da informatici senza avere la cultura della sicurezza online e quindi non sanno che tenere segreto un indirizzo IP non è affatto una misura di protezione accettabile, specialmente se quell’IP offre accesso a macchinari importanti"

Parole sante. Aggiungo, è anche colpa delle aziende (o meglio di chi comanda) che non si rendono conto di quanto vitale sia diventata la sicurezza informatica.
Dopo i commenti e le considerazioni già fatte forse non è necessario, ma, per toglierti eventuali dubbi residui, ti assicuro che non sei e non sembri paranoico, Paolo.
Bravo, bella mossa.
Jhack,

sospendo il tuo commento, per ora. Contattami in privato via mail.
Di chi sono le foto che appaiono negli ultimi 3 secondi del video di Firstorbit sulla ISS? Una e' Major Yuri Gagarin ma le altre?
Grazie
"I am SHODAN!"
Due curiosità: per scovare indirizzi ip con servizi "aperti" come questi ci vuole per forza un motore come shodan o si può anche usare un port scanner come nmap? https://pentest-tools.com/network-vulnerability-scanning/tcp-port-scanner-online-nmap

E ci sono delle implicazioni legali ad andare "in giro per la Rete" a cercare questi servizi incautamente "aperti"?
@Andrea

Di chi sono le foto che appaiono negli ultimi 3 secondi del video di Firstorbit sulla ISS? Una e' Major Yuri Gagarin ma le altre?

Non è l'articolo giusto ma comunque le due centrali sono due foto di Gagarin mentre le due laterali sono di Konstantin Ėduardovič Ciolkovskij, scienziato sovietico e scrittore di fantascienza; a lui dobbiamo la prima teoria dell'ascensore spaziale ma soprattutto l'Equazione del razzo. Per chiarimenti su quest'ultima è meglio che chiedi a pgc.

Penso si possa usare anche nmap. Shodan però fa una ricerca a larghissima scala, nmap lo devi per forza limitare ad un intervallo ristretto di IP. PEr contro immagino che shodan si limiti ad una serie di porte standard e non faccia la scansione completa delle 65535 porte possibili.

Se si usa il trucco del port knocking si è relativamente immuni a tali scansioni. Il port knocking è una tecnica per cui prima di aprire una porta bisogna accedere ad una o più porte secondo una sequenza ben definita. Ad esempio prima di accedere alla 80 di un web server devo accedere alla 3804 poi la 23745 e quindi la 80 e il tentativo di accesso alle prime due non da alcuna risposta per non lasciare indizi.
Ussignur ! :DDD
Devono adottare un firewall e permettere connessioni con VPN conferendo il certificato e quindi l'accesso a poche persone autorizzate.
Ora hanno una scheda SmartLAN/G. La schermata di login richiede username, password e un non meglio specificato codice.

Hanno anche disabilitato la risposta al ping.