Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/citta-della-florida-attaccata-da-un-hacker-l-obiettivo-avvelenare-l-acqua-potabile_95389.html

Malintenzionati si sono infiltrati in un sistema di un impianto per il trattamento dell'acqua potabile a Oldsmar (Florida) e hanno cercato di aumentare la quantità di idrossido di sodio, molto pericoloso se rilasciato in valori elevati.

Click sul link per visualizzare la notizia.

Al di là di tutti i banali problemi di sicurezza insiti nell'usare TeamViewer in una roba del genere... ma vogliamo parlare di un sistema che ti permette di variare i parametri così alla cazzo di cane? Voglio dire, dubito che un sistema idrico sia costruito per avvelenare la gente, no? E metti un cavolo di controllo in quel campo... che ne so, massimo 1000 parti per milione... :muro:

By(t)e

Altra cosa, un "hacker" ovviamente può entrare in quel sistema senza difficoltà, ma che ne sa di come funzionano le regolazioni del programma di gestione dell'acqua?
E poi un hacker che usa team viewer per muovere il mouse? Non ci credo...Io temo più un loro dipendente o ex dipendente, malato di mente.

Qui si attinge a piene mani da una puntata di NCIS o simili:stordita:

Si, è assurdo che il sistema permetta di inserire valori letali. Anche perché può essere l'operatore stesso a sbagliare.

E poi ha visto il cursore muoversi, in pratica per puro culo era lì che guardava in quell'esatto momento.. E se era in bagno?

E infatti il sistema non te lo fa fare... se solo gli articolisti di HW Upgrade si prendessero la briga di leggere le fonti prima di rilanciare le notizie!

Dal riassunto di Ars Technica:

The operator immediately changed the setting back to the normal 100 ppm, the sheriff said. Even if the malicious change hadn’t been reversed, he said the other routine procedures in the plant would have caught the dangerous level before the water became available to residents. It takes 24 to 36 hours for treated water to hit the supply system. No poisonous water was ever released.

https://arstechnica.com/information-technology/2021/02/computer-intruder-tried-to-poison-drinking-water-for-a-small-florida-city/

Si può sentire lo sceriffo comunicare la affermazione nel video della conferenza stampa. https://pcsoweb.com/21-015-detectives-investigate-computer-software-intrusion-at-oldsmar%E2%80%99s-water-treatment-plant

quel prodotto chimico è utilizzato in un demineralizzatore
insieme ad altri composti
non è che viene versato nell'acqua che va poi al rubinetto
normalmente vi sono dei controlli in ingresso ed uscita
che monitorano la qualità ottenuta e quindi regolano
le pompe dosatrici che portano i prodotti.
sul PC dove c'è il gestionale, sono
duplicati i comandi e lettura dei sensori
se il demi è fatto bene, accorgendosi dell'effetto
di un parametro sballato, dovrebbe correggere la portata
delle pompe riducendola o aumentandola per riportare
l'acqua in uscita a valori normali.
e poi vorrei sapere come sia possibile dare il permesso
ad un utente non autorizzato in TW senza la supervisione
di un utente lato PC controllato, da quello che leggo
la sessione, e l'utente, devono essere autorizzati
ed inseriti in una white list per poter fare l'accesso
successivamente senza ripetere la procedura di autorizzazione,
per cui o il PC ha subito precedentemente un attacco di altra natura
che ha consentito di creare un utente ed autorizzarlo su TW,
o qualcuno lo ha fatto da interno senza rendersi conto di cosa faceva,
cosa poco credibile, o lo ha fatto coscientemente per
fare, poi, dei danni.
-
articolo un tantino sensazionalistico

quel prodotto chimico è utilizzato in un demineralizzatore
insieme ad altri composti
non è che viene versato nell'acqua che va poi al rubinetto
normalmente vi sono dei controlli in ingresso ed uscita
che monitorano la qualità ottenuta e quindi regolano
le pompe dosatrici che portano i prodotti.
sul PC dove c'è il gestionale, sono
duplicati i comandi e lettura dei sensori
se il demi è fatto bene, accorgendosi dell'effetto
di un parametro sballato, dovrebbe correggere la portata
delle pompe riducendola o aumentandola per riportare
l'acqua in uscita a valori normali.
e poi vorrei sapere come sia possibile dare il permesso
ad un utente non autorizzato in TW senza la supervisione
di un utente lato PC controllato, da quello che leggo
la sessione, e l'utente, devono essere autorizzati
ed inseriti in una white list per poter fare l'accesso
successivamente senza ripetere la procedura di autorizzazione,
per cui o il PC ha subito precedentemente un attacco di altra natura
che ha consentito di creare un utente ed autorizzarlo su TW,
o qualcuno lo ha fatto da interno senza rendersi conto di cosa faceva,
cosa poco credibile, o lo ha fatto coscientemente per
fare, poi, dei danni.
-
articolo un tantino sensazionalistico

basta username e password per accedere con teamviewer:D

E infatti il sistema non te lo fa fare... se solo gli articolisti di HW Upgrade si prendessero la briga di leggere le fonti prima di rilanciare le notizie!

Dal riassunto di Ars Technica:



https://arstechnica.com/information-technology/2021/02/computer-intruder-tried-to-poison-drinking-water-for-a-small-florida-city/

Si può sentire lo sceriffo comunicare la affermazione nel video della conferenza stampa. https://pcsoweb.com/21-015-detectives-investigate-computer-software-intrusion-at-oldsmar%E2%80%99s-water-treatment-plant

Non è questo il punto. Va bene avere sistemi di sicurezza a valle, ma mi spieghi il motivo di permettere A MONTE di avvelenare l'acqua?
E' come dire che in un defibrillatore puoi impostare 100.000V quando normalmente ne servono 5.000... è una cosa che non ha senso.

By(t)e

La PRIMA azione che deve fare un VERO giornalista è controllare se una notizia è vera... quanto hai ragione Pino.

Non è questo il punto. Va bene avere sistemi di sicurezza a valle, ma mi spieghi il motivo di permettere A MONTE di avvelenare l'acqua?
E' come dire che in un defibrillatore puoi impostare 100.000V quando normalmente ne servono 5.000... è una cosa che non ha senso.

By(t)e

Quel settaggio "estremo" non aveva effetto diretto sull'acqua erogata (solo su quella immessa nei serbatoi) e torna utile per fare dei cicli di disinfezione e/o demineralizzazione pesante quando c'è da fare una decontaminazione dell'impianto (senza erogare l'acqua nell'acquedotto, ovviamente).

Poi si, normalmente l'operatore dovrebbe avere accesso solo a settaggi "sicuri" e per quelli estremi dovrebbe essere richiesta una seconda autentificazione/password, ma se è uno di quelli impianti ammodernati 3..4 volte è probabile che si siano limitati ad automatizzare e remotizzare il vecchio sistema di controllo (pensato quando non c'era internet) e che la connessione da remoto sia stata aggiunta "a mano" installando teamviewer su uno dei pc che fanno da frontend.

ma se è uno di quelli impianti ammodernati 3..4 volte è probabile che si siano limitati ad automatizzare e remotizzare il vecchio sistema di controllo (pensato quando non c'era internet) e che la connessione da remoto sia stata aggiunta "a mano" installando teamviewer su uno dei pc che fanno da frontend.

Io rimango sconcertato come non sia ancora obbligatorio, per società che erogano servizi pubblici, l'obbligatorietà di essere in linea con IEC 62443.

E' drammaticamente comune avere teamviewer installato sul HMI, con la password anche bene esposta sul pulpito