Un giornalista autodefinitosi un neofita in fatto di sicurezza ha scoperto centinaia di dispositivi connessi a Internet (da telecamere di sicurezza fino a sistemi di controllo industriali) senza nemmeno una password di protezione. Questi device potevano quindi essere facilmente accesi, spenti o manipolati in altro modo con un solo click del mouse.

“Sareste davvero stupiti di quello che ho scoperto” ha dichiarato la scorsa settimana nel corso del Computer Assisted Reporting Espen Sandli, giornalista del quotidiano norvegese Dagbladet. “Questo progetto di ricerca, chiamato NullCtrl, è stato fatto da gente che all’inizio non aveva alcuna esperienza in fatto di sicurezza informatica”.

Queste persone hanno avviato il progetto puntando a telecamere di sicurezza, ad esempio trovando e prendendo il controllo di camere di sorveglianza in un nightclub. Dopo questi primi step si sono spostati su dispositivi più “rischiosi” come quelli dei sistemi di sicurezza in basi militari e lungo linee ferroviarie. In un caso hanno trovato online, e senza alcuna protezione, una lista di clienti e password appartenente a una società di sicurezza, mentre in un altro caso sarebbero potuti facilmente accedere a un’installazione militare. Un altro dispositivo facilmente accessibile gli avrebbe permesso di spegnere il sistema di allarme antincendio di una tratta ferroviaria.

Sandli e i suoi colleghi hanno utilizzato il motore di ricerca Shodan (disponibile pubblicamente) per cercare un certo range di indirizzi IP, tipi di dispositivi, sistemi operativi e localizzazioni geografiche. Dopo aver ottenuto i risultati che cercavano, hanno svolto delle indagini anche sfruttando Google Earth per risalire ai possessori dei dispositivi non protetti. Sandli ha affermato che il suo team non ha mai tentato di decifrare le password di questi device o messo in pratica tipici trucchetti da hacker, anche perché, dopo poche ore di ricerca, è risultato chiaro come tantissimi dispositivi connessi a Internet non avessero nemmeno una password di protezione.

Dopo l’intervento di Sandli un giornalista investigativo americano ha detto che un simile reportage sarebbe illegale negli USA

Prima di pubblicare il reportage su Dagbladet, il team del progetto NullCtrl ha sempre contattato i possessori di questi dispositivi, in modo che avessero il tempo necessario a metterli in sicurezza o a rimuoverli del tutto. Inoltre i giornalisti si sono prima consultati con alcuni avvocati in Norvegia per essere sicuri che il loro progetto non infrangesse nessuna legge norvegese.

Dopo l’intervento di Sandli infatti un giornalista investigativo americano ha detto che un simile reportage sarebbe illegale negli USA. Un conto è fare ricerche su Shodan, ma se da qui si passa al tentativo di controllare un dispositivo da remoto, anche senza avere alcuna intenzione malevola, si va contro la legge, mentre secondo la legislazione norvegese non è stato commesso alcun reato.

Sandli ha infine detto che, per quanto lui ne sappia, le agenzie di sicurezza governative americane hanno già i loro metodi per trovare infrastrutture critiche prive della necessaria protezione e per avvertire i proprietari spingendoli a migliorare (e spesso a introdurre da zero) le misure di sicurezza. Metodi che invece non sono adottati dall’agenzia di sicurezza nazionale norvegese. Se volete approfondire questo inquietante scenario legato alla Internet of Things, qui potete trovare tutto sul progetto NullCtrl.