56
CITY LIFE MAGAZINE N.39
nessi a Internet ricavando una quantità si-
gnificativa di metadati altamente informativi.
Questo include i servizi in esecuzione sul di-
spositivo, le loro versioni, il sistema operativo
e la posizione geografica del dispositivo, ba-
sandosi sul suo indirizzo IP. Nel nostro caso,
servendoci di Shodan, abbiamo limitato la
ricerca ai dispositivi Ics delle industrie idriche
ed energetiche. Poi ci siamo serviti del co-
siddetto approccio di GeoStalking. Abbiamo
identificato per prima cosa la posizione fisica
di un impianto, poi abbiamo rintracciato la
posizione di tale struttura su Internet, cre-
ando una mappatura degli indirizzi IP corri-
spondenti. Se un aggressore, ad esempio,
individuasse la posizione fisica di una turbi-
na eolica, potrebbe facilmente servirsi della
geo-localizzazione IP per ottenere un elenco
di tutte le reti IP nelle immediate vicinanze
del bersaglio. Tuttavia, la geolocalizzazione
IP è raramente precisa, quindi l’hacker do-
vrebbe servirsi di una scansione delle porte
o di Shodan per determinare quali indirizzi IP
corrispondano ai dispositivi Ics di un parco
eolico. Valutando la vulnerabilità di questi IP,
potrebbe trovare agevolmente la via di ac-
cesso per ottenere il controllo della struttura
o interromperne l’attività».
La gran parte dei sistemi che sono stati iden-
tificati come esposti appartengono a piccole
utility di società idriche ed energetiche – si
legge nel Rapporto – e nessun sistema è
gestito da grandi corporazioni. È importante
ricordare, tuttavia, che le aziende più piccole
influenzano la sicurezza anche delle socie-
tà maggiori, poiché spesso sono parte della
supply chain che fornisce loro risorse. Un at-
tacco informatico contro le imprese medio-
piccole influenzerà indirettamente anche le
grandi aziende. Prendiamo per esempio un
pozzo di gas indipendente che rifornisce una
grande centrale elettrica locale. Un fallimen-
to del sistema a causa di un cyber attacco
mirato causerà un calo della fornitura di gas,
che potrebbe portare a una riduzione della
produzione energetica generale e influenza-
re sia l’impianto più grande sia gli utenti che
si affidano ai suoi servizi.
«In breve – aggiunge Nencini – la supply
chain è solida quanto il suo anello più debo-