All’inizio dello scorso anno i media di mezzo mondo avevano cominciato a usare una coppia di parole piuttosto inquietante: infrastructure hacking, hacking delle infrastrutture. Per qualche settimana il termine è stato utilizzato così tanto che sembrava certo che si sarebbe trasformato in un’altra di quelle buzzword pronunciate da chiunque e progressivamente private del loro reale significato: fortunatamente il trend è scemato dopo poco riportando l’attenzione sui fatti, e dico fortunatamente perché il problema che indicano è critico.

L’ultima della serie arriva al pubblico grazie ad una segnalazione del divulgatore informatico Paolo Attivissimo, che questa settimana ha riportato la presenza di un impianto idrico italiano interamente controllabile via internet. Nessuna password, nessuna autenticazione; basta puntare una suite di virtual computing network all’indirizzo IP dell’impianto e si accede direttamente ai controlli della struttura.

Attivissimo ha prima segnalato la falla direttamente all’azienda gestrice dell’impianto e l’ha poi riportata su Twitter anonimizzando l’indirizzo IP della struttura per evitare che qualche malintenzionato potesse cogliere l’occasione per divertirsi. Dopo diverse ore dalla prima segnalazione all’azienda la falla risultava ancora aperta — Attivissimo ha quindi segnalato la situazione anche alla Polizia Postale, ma sembra che dopo quasi 4 giorni dal suo avviso, benché l’azienda abbia comunicato a Attivissimo di “starsene occupando”, la struttura sia ancora aperta a tutti.

In un periodo storico in cui sempre più oggetti e strutture stanno venendo collegati a internet, la sicurezza di questi impianti da cui la società moderna dipende è ben più che critica, “Credo che sia già un problema adesso, solo che al momento non viene evidenziato per imbarazzo,” mi spiega Attivissimo, contattato via email. “Probabilmente verrà a galla quando ci sarà qualche attacco troppo visibile ed evidente per essere taciuto.”

Nel frattempo, però, risulta interessante il dibattito riguardante questo tipo di segnalazioni: cosa bisogna fare quando viene rilevata una falla di questo tipo su una struttura critica come, per esempio, un impianto idrico? “Secondo me è importante procedere su due binari: segnalare in generale l’esistenza di questo tipo di vulnerabilità, in modo da portarla all’attenzione dei responsabili degli impianti e indurli a prendere provvedimenti contro queste lacune irresponsabili nella sicurezza di base, ma senza dare i dettagli specifici dei singoli casi prima che siano stati risolti; e contattare privatamente le aziende interessate,” mi spiega Attivissimo.

È prevedibile che i prossimi anni corrisponderanno a un periodo di assestamento necessario per quanto riguarda la sicurezza di questi impianti, visto quanto diffuse sono queste falle. “Purtroppo soltanto raccontando casi pratici si riesce a convincere i gestori degli impianti che è necessario rimediare: troppo spesso vedo indifferenza e disinvoltura da parte loro,” continua Attivissimo.

Resta aperto il dibattito sulle pratiche di “divulgazione responsabile” di questo tipo di falle, “In pratica credo che la “responsible disclosure” sia l’equivalente di dire pubblicamente che molte persone hanno la pessima abitudine di lasciare la porta di casa aperta, ma senza dire a tutti quali sono le persone specifiche che lo fanno, e andare da queste persone e avvisarle con discrezione,” mi spiega.

“È ovvio che qualcuno pensi che annunciare l’esistenza di queste vulnerabilità sia un incentivo a scatenare un’orda di curiosi che andranno a caccia di questi impianti non protetti. Ma questo significa attaccare chi ha detto che il re è nudo, invece di dire al re che non dovrebbe andare in giro senza vestiti. O senza password,” conclude Attivissimo.

Nel frattempo, al momento della scrittura di questo articolo, Attivissimo mi conferma che l’impianto idrico risulta ancora accessibile a chiunque.