Il penetration tester Ken Munro ha pubblicato un articolo in cui descrive l’arretratezza della security awareness per quanto riguarda le telecomunicazioni in ambito navale .
L’esperto di sicurezza paragona la situazione attuale a quella relativa ai sistemi automatici di controllo di diversi anni fa, in cui la sicurezza era pressoché assente, con l’attenuante della presenza di reti isolate e proprietarie.
La situazione descritta è allarmante e surreale: i passi effettuati sono estremamente semplici e hanno richiesto un quantitativo mimino di Open Source Intelligente (OSINT) : su Shodan , motore di ricerca per l’Internet of Things , sono disponibili numerosi riferimenti a portali di accesso di Inmarsat, privi di SSL e TLS.
Munro è riuscito ad accedere anche ai dati di un’antenna satellitare, ottenendo informazioni dal sistema Cobham Sailor 900, per il quale esiste un exploit noto che consente la remote code execution ; le credenziali di default, inoltre, sono admin - 1234
, anche se Munro non ha verificato che siano state cambiate.
Sempre attraverso Shodan sono disponibili diversi terminali CommBox prodotti da KVH Industries. Anche in questo caso SSL e TLS sono assenti; la situazione diventa imbarazzante nel momento in cui risulta possibile accedere al nome della nave, alla configurazione della rete e all’anagrafica degli utenti connessi direttamente dalla home page, senza fare login. Partendo da questi dati, Munro è riuscito facilmente a localizzare la nave e a rintracciare su Facebook uno dei marinai .
La risoluzione delle problematiche riscontrate è banale e ricade sia sui produttori che sugli utilizzatori dei software. Come prima cosa, i sistemi di comunicazione satellitari devono essere messi in sicurezza : i protocolli SSL e TLS devono essere sempre presenti; vanno poi implementate politiche per il cambiamento delle credenziali di default alla prima configurazione del dispositivo, con opportuni controlli sulla robustezza .
Elia Tufarolo