Si chiama “security through obscurity”, significa sicurezza tramite la segretezza ed è uno degli svarioni più frequenti nel mondo della sicurezza informatica. E’ accaduto nel grossetano, alla centrale elettrica di Abbadia San Salvatore manomessa da un hacker che poi ha twittato la sua opera. Lo scopo? Dimostrare la scarsa sicurezza dell’impianto.
SICUREZZA
L’autore della provocazione è l’informatico Dan Tentler che ha pubblicato lo screenshot del pannello su Twitter proprio per stimolare una maggiore sicurezza. E così, con poco più che un elementare software, lo scorso 13 agosto è riuscito a manipolare il pannello di controllo della centrale idroelettrica sul Monte Amiata.
SCOPO
Nessuno scopo illegale, ma solo la voglia di sollecitare criteri di sicurezza maggiormente affidabili. A render noto l’attacco ci ha pensato Paolo Attivissimo sul sito Disinformatico.it, dando riscontro proprio di uno degli errori più frequenti nel mondo della sicurezza informatica.
CONTROLLO
Ma chi controlla in Italia che la “porta delle centrali” non resti aperta come in questo caso? Secondo Attivissimo, “nessuno fa controlli sistematici su questo genere di vulnerabilità. In teoria non dovrebbero essere necessari, perché chi si occupa della sicurezza informatica di una centrale dovrebbe essere consapevole di quello che fa e non dovrebbe quindi lasciare accessibile a chiunque la visualizzazione del quadro generale della centrale”.
FALLA
“Lo scopritore della falla di sicurezza in quella centrale, Dan Tentler – dice Attivissimo a Formiche.net – si è limitato correttamente a guardare e non toccare, per cui non sappiamo se oltre alla visualizzazione c’era anche la possibilità di agire via Internet sui comandi della centrale”.
RISCHI
E’ chiaro che dopo l’episodio di Grosseto aumentano dubbi ed interrogativi sul rischio sicurezza per gli impianti nel nostro Paese. Secondo Attivissimo il rischio principale “è che si continui a essere così disinvolti pensando chi vuoi che scopra questa porta aperta fra mille. Oggi esistono strumenti di ricerca, come Google o Shodan, che consentono di trovare connessioni aperte come queste anche se non vengono pubblicizzate. Se i responsabili dei servizi informatici non si aggiornano e non usano le prassi consolidate di sicurezza per chiudere queste porte aperte (che loro stessi hanno aperto), sono possibili danni anche gravi”.
CAOS
Secondo il giornalista informatico, ideatore del blog Disinformatico, “non ci vuole molta fantasia a immaginare quanto caos può nascere se qualcuno altera un sistema di prenotazione alberghiera o l’impianto di riscaldamento di un edificio o i parametri di funzionamento di una centrale elettrica o di una diga. Non c’è bisogno di pensare per forza al terrorismo; una porta così egregiamente spalancata è a disposizione anche del semplice vandalismo o del banale ragazzino che si chiede “cosa succede se clicco qui?”. Insomma, mi pare preoccupante che dopo più di trent’anni un film celebre come “Wargames” (nel quale un giovane informatico crede di essersi connesso a una ditta di videogiochi e prova la Guerra Termonucleare Globale, ma in realtà s’è connesso a un computer del Pentagono e rischia di lanciare missili veri) non abbia insegnato niente.
twitter@FDepalo
