“All public, no auth”: ecco come con qualche conoscenza tecnica puoi ottenere la lista completa di operatori e codici di sicurezza per avviare, bloccare o distruggere sistemi di gestione industriale
Ancora una volta il famoso motore di ricerca Shodan dimostra quanto sia facile scovare vulnerabilità in rete e prendere possesso di dispositivi, servizi e applicazioni. Non sarà importante come i leaks di Vault7, ma è lo stesso preoccupante.
Sabato 11 Febbraio, Dan Tandler, esperto di sicurezza informatica, in passato penetration tester presso Rapid7 ed ora fondatore di Phobos Group società per la simulazione di attacchi informatici, ha ribadito su Twitter la semplicità con cui si possono scovare vulnerabilità utilizzando Shodan.
Shodan è un motore di ricerca per rintracciare dispositivi connessi in rete tramite indirizzi Ip, protocolli, provider e altro ancora.
Furto di informazioni da sistemi di controllo industriale
Tandler nel suo tweet denunciava il fatto che cercando tra i sistemi di controllo industriale e filtrando la ricerca per BACnet – Building Automation and Control Networks – un protocollo per la building automation che permette la comunicazione tra dispositivi e sistemi di controllo per applicazioni deputate a riscaldamento, ventilazione, luce e accesso, sia possibile con qualche conoscenza tecnica ottenere la lista completa dei dipendenti di quelle aziende con i relativi codici di sicurezza per la gestione di questi sistemi. Come monito e con incredulità scrive in maiuscolo “all public, no auth”.
Integrità e disponibilità compromesse
In risposta a Dan Tandler salta fuori un commento altrettanto interessante, che porta in evidenza la possibilità di accedere a molti server, tra cui anche istanze ec2 di Amazon Web Services con estrema semplicità dalla quale carpire chiavi di accesso e password in chiaro. Per trovarli basta cercare su Shodan il termine “x-marathon”, che indica il framework Marathon per la distribuzione e la gestione di container tra cui anche Docker, uno dei più utilizzati negli ultimi anni.
L’utente che ha fatto la segnalazione ha però omesso di dire che entrando su questi server è possibile interagire con le applicazioni in esecuzione in quel momento, con la possibilità di avviare, stoppare o addirittura distruggere le istanze, compromettendo il lavoro dati e servizi.
Honeypot: non tutto è come sembra
Fortunatamente non tutti sono così sprovveduti, infatti molti di questi server sono “trappole”). In gergo tecnico vengono chiamati honey-pot. Solitamente sono privi di dati e servono a trarre in inganno eventuali attaccanti che non troveranno nulla di interessante da trafugare ma che a loro volta lasceranno tracce utili per un’analisi dettagliata sull’attacco. Anche capire semplicemente la frequenza degli attacchi potrebbe rivelarsi un’informazione utile per migliorare la sicurezza della propria infrastruttura.
ANDREA D’UBALDO
@andreadubaldo
