Colonial Pipeline in tilt per una password

07 Giugno 2021 30

Uno degli attacchi hacker più riusciti di questi ultimi tempi è dovuto al furto di una password. Sì, una sola password. Ci stiamo riferendo al caso Colonial Pipeline, che ha messo in crisi la fornitura di petrolio di mezza America risoltosi positivamente a distanza di diversi giorni solo e unicamente a seguito del pagamento del riscatto di 5 milioni di dollari in Bitcoin. Non è di certo il primo caso del genere (né sarà l'ultimo), ma la eco mediatica è stata tale da aver riaperto la discussione sulla sicurezza informatica del Paese e sugli strumenti adottati per garantirla. Certo è che scoprire che tutto è stato causato da una singola password, beh, la rabbia (e la preoccupazione) sale ancora di più.

Gli hacker di DarkSide hanno ottenuto l'accesso alla rete di Colonial Pipeline attraverso un account privato virtuale che consente ai dipendenti di accedere al sistema da remoto. Si tratta in particolare di un account VPN dormiente, nel senso che non era utilizzato da nessuno al momento, ma era rimasto attivo. La password ad essa correlata è stata trovata nel dark web, in quanto verosimilmente utilizzata anche per un altro account e precedentemente hackerata. In più, l'accesso non richiedeva alcuna autenticazione a due fattori.

Insomma, la strada per gli hacker era decisamente spianata: una volta scovato l'account e la relativa password, nulla ha impedito loro di entrare facilmente all'interno del sistema. Facile, sì, ma come sono riusciti ad entrare "così facilmente" in possesso dei dati? Domanda lecita, ma la società di cybersicurezza interpellata non ha saputo dare risposta. "Non risulta nessuna evidenza di attività degli hacker prima del 29 aprile", spiega Charles Carmakal di Mandiant. Sembra dunque siano andati a colpo sicuro.

LA PRIMA VOLTA IN 57 ANNI

Fatto sta che per la prima volta nella sua storia di oltre mezzo secolo, Colonial Pipeline si è trovata costretta a chiudere i rubinetti del suo oleodotto. I tempi di reazione sono stati brevi tra la scoperta del fatto e la messa offline del sistema (appena poco più di un'ora), ma tra l'attacco vero e proprio e la visualizzazione del messaggio con cui gli hacker annunciavano l'operazione e richiedevano il pagamento del riscatto è passata una settimana intera, più che sufficiente per mettere in serio pericolo la struttura e per rubare 100 GB di dati.

Da quando è stata pagata la cifra richiesta da DarkSide non si sono registrati altri tentativi di manomissione o di intrusione: l'intera struttura è ora costantemente monitorata da sensori per evitare che si ripetano casi analoghi. L'azienda specifica che la rete è stata riattivata solo dopo che è stato confermata la piena sicurezza del ripristino delle operazioni.


30

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Overwiew_marcia

Ho lavorato e aiutato a costruire aziende del genere, so bene come funziona l'automazione, quello che dico è che quei computer vanno lasciati offline, ergo, non collegati a internet. Cinque "omini" a controllare il sistema per tutta la loro vita lavorativa costano meno di 5 milioni a testa, pensione compresa. Sul resto dico che cifre del genere spingono si gli informatici a cercare un modo per violare i sistemi informatici.

MrGrapp91

Si lo penso anche io, anche perché sono anni ormai che America e Cina si fanno la cyberguerra in attesa di quella vera, questa é solo l'ennesima dimostrazione

MrGrapp91

Girare una valvola richiede tempo, farla girare in automatico a un programma no questa é l'inefficienza di cui parlo. Un oleodotto del genere ha unico gigantesco "cervello" che lo controlla attivamente e in maniera automatica, se rileva delle anomalie può anche in automatico attivare centinaia di valvole in centinaia di locazioni differenti, é questa la grande differenza, lo fa in meno di un millisecondo non a dirla buona in un giorno come potrebbe accadere agli umani(ma 100 locazioni differenti dei tecnici se le sognano di farle in un giorno).
Per il resto amico non hai idea del lavoro che ci sta dietro una cosa del genere o non hai letto o bene l'articolo, non é un programmino 0day(che comunque non ha senso, forse ti riferisci agli hack 0day ma qui non c'é nessun hack) é un programma che si é messo a testare milioni di password salvate nel darkweb e milioni di usernames fino a trovare l'accesso(che é una cosa che non sta in piedi e infatti é quello che sto dicendo in un altro commento, questi nonsonosprovveduti c'é molto di più sotto perché un attacco del genere non é realizzabile, avranno voluta alzare la polvere ma sapevano benissimo dove, con che username e probabilmente anche la password per accedere)

Igioz

beh mica tanto
Leonardo Spa
Boggi
Enel
tante tante aziende colpite

Mostra 1 nuova risposta

Per estrarre delle password ci sono metodi infiniti, spesso non sono criptate comunque. I database enormi sparsi per il dark web lo dimostrano, anche grandi aziende sono cadute in questo errore banalissimo.

Comunque un attacco mirato di questo tipo ovviamente non è stato fatto da sprovveduti. Questi sapevano tutto fin dall'inizio, e non credo neanche fossero semplici freelance senza scopo. :)

Overwiew_marcia

Ma di quali sistemi inefficienti parli? Un oleodotto del genere ha dei sistemi meccanici di ridondanza, Un tempo, quando accadeva un guasto su una delle linea si deviava su un altra in poche ore, tempo di "girare valvole" e premere qualche pulsante su di un sinottico, e la fornitura continuava, adesso un programmino scritto in 10 minuti (+0day) blocca TUTTO il sistema. In cosa si è migliorato? Credi che questo tipo di hack rimanga l'unico? Mi pare che la cifra guadagnata sia un buon incentivo a ripetersi...

MrGrapp91

I gestori di solito mantengono l'hash della password che con le ultime versioni sicure come sha256 sono totalmente inutili per ritrovare la password originale. Le password vengono rubate tramite phishing, ad oggi non ci sono altri modi nemmeno con data leaks. Ma questa storia probabilmente nasconde molto di più di quello che hanno detto , un attacco diretto come sapessero giá dove colpire, hanno usato un account a caso testando tutte le password mantenute sul dark web...questo é un attacco molto più strano di quello che possa sembrare perché per le informazioni date serve o molto tempo(e non ce nr hanno messo molto da quanto riportato) o molta potenza computazionale(roba che dei privati non possiedono) o che sia tutta una farsa e sapessero giá la password, l'account da usare e dove usarlo e abbiano voluto insabbiare un po' la cosa(e mi viene da dire la più probabile)

MrGrapp91

Prima della gestione centralizzata avevamo sistemi molto più ridotti e inefficienti, se un sistema a gestione centralizzata può in automatico nel giro di qualche secondo individuare un problema e risolverlo, con gli operatori umani potevano servire ore se non giorni sempre che se ne accorgessero prima del danno definitivo. Poi basta che guardi il caso Italia, in Italia di gestioni ancora affidate unicamente alla buona fede e alla responsabilità degli umani senza alcun controllo centralizzato li abbiamo ancora e ogni tot mesi se ne vedono i risultati.

Considerando che la maggioranza dei sistemi passati a qualsiasi grado di sicurezza é piena come un colabrodo di falle direi che la old school ha poco da insegnare in fatto di sicurezza(o se preferisci un altra argomentazione, la vulnerabilità di quasi tutti i sistemi e anche in questo caso, é dovuta proprio alla componente umana quindi direi che aumentarne le responsabilità sia una pessima idea, vedresti hacking di questo tipo giornalmente)

jacksp

Sei caduto nella stessa trappola, qualcuno che ti vuole rubare i dati potrebbe prima entrare nel tuo account disqus e leggere questo tuo commento, scoprendo facilmente la password.

jacksp

Così se bisogna fare anche una qualsiasi operazione fattibile da remoto bisogna recarsi fisicamente.. Assurdo.
I mezzi per difendersi ci sono e vanno usati. Chi viene colpito è perchè non ha mai investito 5 centesimi nella sicurezza.

LaVeraVerità

https://uploads.disquscdn.c...

LaVeraVerità

Fino a che non capiranno come mai è così competente in materia...

ameft

E a cosa pensi serva l'account VPN se non ad accedere remotamente alla intranet?

ameft

Hai letto che è stata preda dal dark web sì? Vuol dire che era presente in qualche data leak. Quindi il problema è il solito password reuse.

ameft
Gupi

Un mio amico tutte le settimane aiuta aziende a pagare riscatti...

Sheldon Cooper

Gli iraniani hanno preso delle belle batoste sui loro server delle centrali di arricchimento dell'uranio.

Andrea

Evidentemente per ora non abbiamo bersagli interessanti...

ally

sai che servizi erogano con questa infrastruttura? se la risposta è no allora non sei nella posizione di poter dire se il sistema puo' funzionare offline...

Ginomoscerino

credo che la risposta sia non gli è mai successo prima.
finchè non succede non si pensano a questi rischi (i capi direbbero sono soldi sprecati inutilmente), solo dopo aver subito un'attacco studiano il metodo per aumentare la sicurezza ed evitarne di futuri.

nel futuro ci sarà sempre più "cybercrimine", la vera era dell'internet sta iniziando

Sartauser

Quello che mi sorpende è che in Italia ancora non hanno fatto un danno simile, so di qualche azienda ma nulla di così eclatante

luca bandini

ma questi colossi non hanno delle intranet? certo che se lo meritano se non hanno nemmeno l'autenticazione a due fattori

77fabio

Beh se l'hanno rubata probabilmente era custodita in qualche TXT non protetto che è peggio della password qwerty...

Mostra 1 nuova risposta

Si così sono parecchio robuste, poi però se i gestori le tengono in un database non criptato te ne fai ben poco XD

Io al massimo ci metterei una camera di sicurezza per un controllo remoto puntata su un monitor.
;)

VaDetto

Cavolo, te la copio questa!

Overwiew_marcia

Computer dedicati a gestire infrastrutture di tale portata NON devono essere collegate in rete. Offline con monitoraggio in loco è la via…

Fiore97

Wow che grande sicurezza per una multinazionale sul pretolio

Mostra 1 nuova risposta

Poteva anche essere *c65SɧÐs8/?_ÑØ°¶¨Ö¦:}Lu4 ma se gliel'hanno rubata...

italba

Qwertyuiop oppure 1234567890?

Internet down: migliaia di siti offline, tra cui Amazon e Twitch | Cos'è successo

Amazon Prime Day 2021 le date e le offerte già attive: 21 e 22 giugno ufficiale

I migliori smartphone 5G economici | Guida

Recensione Huawei Band 6: eleganza in formato slim