Dispositivi connessi in case e aziende: almeno 140 esposti al rischio di intrusioni
Dalle luci di casa ai macchinari industriali o le paratie delle dighe: sono ormai tantissimi gli impianti gestibili via remoto. Ed in Trentino sono più di 140 i dispositivi di questo tipo non adeguatamente protetti ed esposti così al rischio di incursioni esterne, sia di abitazioni private che industrie.
Lo hanno rilevato, in uno studio specifico, gli hacker etici di Sec4u, azienda trentina che si occupa di cyber sicurezza. Dalla domotica di casa ai macchinari industriali che gestiscono impianti di produzione fino a infrastrutture critiche come le compagnie elettriche e le dighe, la gestibilità da remoto, ovvero via internet, è ormai molto diffusa. Spesso, tuttavia, si dimentica di mettere in campo adeguate protezioni: dei lucchetti informatici, per dirlo in parole semplici, che impediscano l’ingresso ai malitenzionati. Un po’ come lasciare la porta blindata di casa con le chiavi sopra.
«Stiamo parlando di dispositivi che si chiamano Ics/Scada - spiega l’hacker etico Massimo Giaimo - che in pratica vengono utilizzati per rendere raggiungibili da remoto, attraverso Internet, sistemi di produzione industriale. Noi abbiamo fatto uno studio cercando questi dispositivi sul territorio provinciale e andando a controllare come erano protetti e se ci fossero vie di ingresso per eventuali malintenzionati. Senza arrivare ad effettuare un vero e proprio attacco, abbiamo individuato tramite il motore di ricerca Shodan i dispositivi di questo tipo sul territorio provinciale e 140 di questi, sia case private sia impianti industriali o infrastrutture pubbliche, non erano adeguatamente protetti e quindi target potenziali di cyber attacchi e intrusioni, alcuni addirittura non avevano nemmeno una password di accesso».
Pensando a qualche scenario possibile, cosa potrebbe accadere? «Che un esterno prenda il controllo del sistema - prosegue Giaimo - bloccando la produzione di un’azienda, alzando le tapparelle di casa controllate da remoto, compromettendo la funzionalità di infrastrutture come acquedotti, dighe, la rete elettrica con tutte le conseguenze del caso. Un cyber attaccante o comunque un utente malintenzionato potrebbe sfruttare le informazioni recuperate attraverso Shodan per geolocalizzare il dispositivo individuato e studiare l’area geografica coinvolta - spiega Giaimo - in questo modo l’attaccante potrebbe essere in grado di capire le necessità per le quali quel dispositivo è stato installato, ad esempio si potrebbe individuare un dispositivo vicino ad una centrale elettrica o ad una diga, capendo facilmente la funzione di quel determinato apparecchio, e pianificare un successivo attacco allo stesso. Le aziende in particolare non si rendono conto della criticità di esporre pubblicamente questi dispositivi che se violati possono mettere l’attaccante nella posizione ideale per creare danni devastanti».
È già accaduto. «Ci sono diversi esempi di attacchi a siti industriali - proseguono da Sec4you - per esempio Crash Override Industroyer è un malware che è stato utilizzato nel cyberattacco alla rete elettrica ucraina avvenuto il 17 dicembre 2016. L’attacco ha causato il blackout che ha colpito un quinto della popolazione di Kiev e pare che quanto accaduto in Ucraina fosse solo un test effettuato per verificare la potenza del malware. Oppure Stuxnet, un virus informatico appositamente creato e diffuso dal governo statunitense per sabotare la centrale nucleare iraniana di Natanz. In particolare, il virus doveva disabilitare le centrifughe della centrale, impedendo la rilevazione dei malfunzionamenti e della presenza del virus stesso. L’inizio del contagio è probabilmente avvenuto con una semplice chiavetta usb infetta inserita da un ignaro ingegnere iraniano».
Che fare per aumentare la sicurezza? «Anzitutto modificare sempre le credenziali di default, poi non affidare l’installazione esclusivamente al tecnico ma condividerla con qualcuno esperto di sicurezza informatica o comunque in grado di segmentare correttamente la rete dei dispositivi. Mentre per le aziende è consigliabile richiedere attività di vulnerability assessment e penetration test che simulano un attacco rilevando eventuali vulnerabilità».