L'attacco all'impianto di depurazione delle acque portabili in Florida inizia ad assumere connotati inquietanti. La CNN riporta quanto appreso dagli investigatori a seguito dell'accaduto: i computer installavano la versione a 32 bit di Windows 7, erano connessi direttamente a Internet senza alcun tipo di protezione firewall e condividevano una singola password per accedere a una versione in disuso del software di gestione remota dell'impianto (TeamViewer).

Era difficile fare di peggio. La situazione denota un esempio lampante di scarsa cyber hygiene. Fermo restando che non è chiaro se l'assenza di cyber security abbia o meno aiutato gli attaccanti, è chiara l'urgenza di una revisione totale del sistema informatico del centro colpito. Come avevamo detto, fortunatamente l'attacco è stato intercettato da un dipendente fisicamente presente nella struttura prima che potesse arrecare danni alle persone.

La sicurezza delle infrastrutture critiche tuttavia non può essere affidata al caso, cosa che invece accade più spesso di quanto si possa pensare. Esperti statunitensi intervenuti sulla questione hanno ammonito che "quell'impianto di trattamento delle acque è la regola, non l'eccezione": una dichiarazione inquietante che delinea la totale irresponsabilità dei gestori, oltre alla mancanza delle competenze informatiche di base.

L'opinione dell'esperto

Abbiamo chiesto un commento su questa grave vicenda all'esperto di cyber security Marco Rottigni, Chief Technical Security Officer area EMEA di Qualys. “Ritengo che l’evento che una settimana fa ha riguardato il sistema di trattamento acque non è stato frutto di zero day o altre forme molto sofisticate di attacco. Il sistema incriminato era persino un Windows 7, un sistema operativo ormai non più manutenuto e per cui neppure le patch di sicurezza sono più disponibili… ma al momento non ci sono segnali che sia stato compromesso.

Marco Rottigni, Chief Technical Security Officer area EMEA di QualysL’intromissione sembra abbia sfruttato un software di controllo remoto dormiente, che ha permesso ad un utente remoto di prendere possesso della macchina per la regolazione di agenti chimici nell’acqua come se fosse seduto alla scrivania.

Si è dibattuto parecchio della incapacità di aggiornare sistemi obsoleti per problemi di budget, tagli alla spesa e operativi… in realtà l’evento rivela la mancanza di un’igiene digitale di base e ancora di più della totale mancanza di visibilità su sistemi che presidiano architetture di cruciale importanza.

Di fronte alla necessità – quali che siano i motivi – di lasciare un sistema del genere esposto, diventa fondamentale tracciarne l’attività e rinforzare il monitoraggio per identificare (ed esporre come rischio residuo da accettare) questi pericolosi punti di ingresso esposti.

La cosa che fa riflettere sull’urgenza di queste misure è che un fatto simile si era già verificato, oltre al warning pubblico dell’FBI verso le aziende sull’uso indiscriminato di strumenti di controllo remoto senza adeguata protezione.

Trovo paradossale che, nonostante la presenza di sistema operativo obsoleto e facilmente compromissibile, sia stato decisamente più semplice ed efficace per l’attaccante far leva su quanto disponibile senza sforzo alcuno.

Definendo questo pericoloso evento come una Falla di sicurezza estremamente semplice da rimediare perché derivante da scarsissima igiene digitale”.