Città della Florida attaccata da un hacker. L'obiettivo? Avvelenare l'acqua potabile

Città della Florida attaccata da un hacker. L'obiettivo? Avvelenare l'acqua potabile

Malintenzionati si sono infiltrati in un sistema di un impianto per il trattamento dell'acqua potabile a Oldsmar (Florida) e hanno cercato di aumentare la quantità di idrossido di sodio, molto pericoloso se rilasciato in valori elevati.

di pubblicata il , alle 06:31 nel canale Sicurezza
 

Malintenzionati si sono infiltrati in un computer che controlla l'impianto di trattamento dell'acqua nella città di Oldsmar, in Florida, modificando da remoto la quantità di idrossido di sodio (NaOH, anche noto come liscivia o soda caustica) rilasciata nell'acqua. Fortunatamente, la manomissione è stata rilevata in tempo reale e i tecnici sono intervenuti per riportare la situazione alla normalità.

La storia riportata dal Tampa Bay Times sembra quasi cinematografica, ma in realtà ci racconta uno scenario purtroppo concreto: i malintenzionati hanno messo da tempo nel mirino le infrastrutture critiche, dalle centrali elettriche alle dighe. "In nessun momento si è verificato un effetto negativo significativo sull'acqua trattata", ha assicurato lo sceriffo della contea di Pinellas Bob Gualtieri. "È importante sottolineare che i cittadini non sono mai stati in pericolo".

L'idrossido di sodio, comunemente noto come liscivia, viene usato nell'acqua per regolare i livelli di acidità, ma assumerne quantità elevate può essere letale per gli esseri viventi perché si tratta dello stesso composto inorganico usato in alcuni detergenti domestici corrosivi. "Non sono un chimico", ha detto lo sceriffo in una conferenza stampa, "ma posso dirvi quello che so è... se metti quella quantità di sostanza nell'acqua potabile, non è una buona cosa".

Al momento non è chiaro chi vi sia dietro l'attacco, mentre per quanto riguarda l'azione vera e propria si parla di un accesso a distanza tramite TeamViewer. Il risultato delle azioni è tuttavia lampante: avvelenare la popolazione. La contea sta svolgendo indagini sull'intrusione non autorizzata insieme all'FBI e ai servizi segreti (dicono di avere alcune piste…), mentre le città limitrofe sono state allertate.

Un aspetto curioso della vicenda, e questo sì che ci starebbe bene in un film, è che l'operatore della centrale ha capito che qualcosa non andava quando ha visto il cursore del mouse muoversi sullo schermo senza che lo lui toccasse. Alle 8:00 del mattino di venerdì scorso l'operatore aveva notato un breve accesso al sistema da remoto, ma non si era allarmato perché il suo supervisore accede a distanza regolarmente.

All'una e mezzo del pomeriggio dello stesso giorno ha notato un secondo accesso, ma questa volta ha visto il cursore del mouse muoversi e spostarsi verso il software che controlla il trattamento dell'acqua. Il malintenzionato, da remoto, ha agito per 3-5 minuti aumentando la quantità di idrossido di sodio da 100 parti per milione a 11.100 parti per milione. L'intruso ha poi abbandonato il sistema e l'operatore è riuscito a ripristinare il valore corretto. Adesso il sistema non è più accessibile da remoto.

La contea ha spiegato che i 15.000 utenti dell'impianto di Oldsmar non devono temere nulla: anche se l'operatore non fosse stato presente per annullare le modifiche, l'acqua avrebbe impiegato più tra le 24 e le 36 ore per entrare nella rete idrica, dove peraltro sono presenti diversi sistemi di controllo che avrebbero ravvisato i cambiamenti nell'acidità e avvisato del problema.

L'episodio, in attesa di nuove informazioni (sul tavolo ovviamente c'è qualsiasi ipotesi, dalla più banale alla più complessa), riporta all'onere delle cronache il tema della vulnerabilità dei sistemi critici connessi alla rete e di come sia sempre più vitale investire in sicurezza perché, spesso e volentieri, l'imprevisto arriva quando meno lo si aspetta. L'attacco giunge in un momento in cui gli Stati Uniti stanno ancora affrontando le conseguenze dell'hacking di SolarWinds che ha colpito più di 18.000 realtà del settore pubblico e privato.

11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
andbad09 Febbraio 2021, 08:23 #1
Al di là di tutti i banali problemi di sicurezza insiti nell'usare TeamViewer in una roba del genere... ma vogliamo parlare di un sistema che ti permette di variare i parametri così alla cazzo di cane? Voglio dire, dubito che un sistema idrico sia costruito per avvelenare la gente, no? E metti un cavolo di controllo in quel campo... che ne so, massimo 1000 parti per milione...

By(t)e
ciocia09 Febbraio 2021, 08:53 #2
Altra cosa, un "hacker" ovviamente può entrare in quel sistema senza difficoltà, ma che ne sa di come funzionano le regolazioni del programma di gestione dell'acqua?
E poi un hacker che usa team viewer per muovere il mouse? Non ci credo...Io temo più un loro dipendente o ex dipendente, malato di mente.
supermario09 Febbraio 2021, 09:17 #3
Qui si attinge a piene mani da una puntata di NCIS o simili
Unrue09 Febbraio 2021, 09:27 #4
Si, è assurdo che il sistema permetta di inserire valori letali. Anche perché può essere l'operatore stesso a sbagliare.

E poi ha visto il cursore muoversi, in pratica per puro culo era lì che guardava in quell'esatto momento.. E se era in bagno?
Pino9009 Febbraio 2021, 09:38 #5
E infatti il sistema non te lo fa fare... se solo gli articolisti di HW Upgrade si prendessero la briga di leggere le fonti prima di rilanciare le notizie!

Dal riassunto di Ars Technica:

The operator immediately changed the setting back to the normal 100 ppm, the sheriff said. Even if the malicious change hadn’t been reversed, he said the other routine procedures in the plant would have caught the dangerous level before the water became available to residents. It takes 24 to 36 hours for treated water to hit the supply system. No poisonous water was ever released.


https://arstechnica.com/information...l-florida-city/

Si può sentire lo sceriffo comunicare la affermazione nel video della conferenza stampa. https://pcsoweb.com/21-015-detectiv...treatment-plant
Marko_00109 Febbraio 2021, 10:48 #6
quel prodotto chimico è utilizzato in un demineralizzatore
insieme ad altri composti
non è che viene versato nell'acqua che va poi al rubinetto
normalmente vi sono dei controlli in ingresso ed uscita
che monitorano la qualità ottenuta e quindi regolano
le pompe dosatrici che portano i prodotti.
sul PC dove c'è il gestionale, sono
duplicati i comandi e lettura dei sensori
se il demi è fatto bene, accorgendosi dell'effetto
di un parametro sballato, dovrebbe correggere la portata
delle pompe riducendola o aumentandola per riportare
l'acqua in uscita a valori normali.
e poi vorrei sapere come sia possibile dare il permesso
ad un utente non autorizzato in TW senza la supervisione
di un utente lato PC controllato, da quello che leggo
la sessione, e l'utente, devono essere autorizzati
ed inseriti in una white list per poter fare l'accesso
successivamente senza ripetere la procedura di autorizzazione,
per cui o il PC ha subito precedentemente un attacco di altra natura
che ha consentito di creare un utente ed autorizzarlo su TW,
o qualcuno lo ha fatto da interno senza rendersi conto di cosa faceva,
cosa poco credibile, o lo ha fatto coscientemente per
fare, poi, dei danni.
-
articolo un tantino sensazionalistico
!fazz09 Febbraio 2021, 10:50 #7
Originariamente inviato da: Marko_001
quel prodotto chimico è utilizzato in un demineralizzatore
insieme ad altri composti
non è che viene versato nell'acqua che va poi al rubinetto
normalmente vi sono dei controlli in ingresso ed uscita
che monitorano la qualità ottenuta e quindi regolano
le pompe dosatrici che portano i prodotti.
sul PC dove c'è il gestionale, sono
duplicati i comandi e lettura dei sensori
se il demi è fatto bene, accorgendosi dell'effetto
di un parametro sballato, dovrebbe correggere la portata
delle pompe riducendola o aumentandola per riportare
l'acqua in uscita a valori normali.
e poi vorrei sapere come sia possibile dare il permesso
ad un utente non autorizzato in TW senza la supervisione
di un utente lato PC controllato, da quello che leggo
la sessione, e l'utente, devono essere autorizzati
ed inseriti in una white list per poter fare l'accesso
successivamente senza ripetere la procedura di autorizzazione,
per cui o il PC ha subito precedentemente un attacco di altra natura
che ha consentito di creare un utente ed autorizzarlo su TW,
o qualcuno lo ha fatto da interno senza rendersi conto di cosa faceva,
cosa poco credibile, o lo ha fatto coscientemente per
fare, poi, dei danni.
-
articolo un tantino sensazionalistico


basta username e password per accedere con teamviewer
andbad09 Febbraio 2021, 11:47 #8
Originariamente inviato da: Pino90
E infatti il sistema non te lo fa fare... se solo gli articolisti di HW Upgrade si prendessero la briga di leggere le fonti prima di rilanciare le notizie!

Dal riassunto di Ars Technica:



https://arstechnica.com/information...l-florida-city/

Si può sentire lo sceriffo comunicare la affermazione nel video della conferenza stampa. https://pcsoweb.com/21-015-detectiv...treatment-plant


Non è questo il punto. Va bene avere sistemi di sicurezza a valle, ma mi spieghi il motivo di permettere A MONTE di avvelenare l'acqua?
E' come dire che in un defibrillatore puoi impostare 100.000V quando normalmente ne servono 5.000... è una cosa che non ha senso.

By(t)e
300009 Febbraio 2021, 12:06 #9
La PRIMA azione che deve fare un VERO giornalista è controllare se una notizia è vera... quanto hai ragione Pino.
LMCH09 Febbraio 2021, 15:02 #10
Originariamente inviato da: andbad
Non è questo il punto. Va bene avere sistemi di sicurezza a valle, ma mi spieghi il motivo di permettere A MONTE di avvelenare l'acqua?
E' come dire che in un defibrillatore puoi impostare 100.000V quando normalmente ne servono 5.000... è una cosa che non ha senso.

By(t)e


Quel settaggio "estremo" non aveva effetto diretto sull'acqua erogata (solo su quella immessa nei serbatoi) e torna utile per fare dei cicli di disinfezione e/o demineralizzazione pesante quando c'è da fare una decontaminazione dell'impianto (senza erogare l'acqua nell'acquedotto, ovviamente).

Poi si, normalmente l'operatore dovrebbe avere accesso solo a settaggi "sicuri" e per quelli estremi dovrebbe essere richiesta una seconda autentificazione/password, ma se è uno di quelli impianti ammodernati 3..4 volte è probabile che si siano limitati ad automatizzare e remotizzare il vecchio sistema di controllo (pensato quando non c'era internet) e che la connessione da remoto sia stata aggiunta "a mano" installando teamviewer su uno dei pc che fanno da frontend.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^