Il fatto che non si conosca l'esistenza di una certa informazione non è di per sé indice di sicurezza.
Erroneamente si ritiene che un dato conservato segretamente senza alcun livello di ulteriore protezione sia di per sé protetto da possibili sguardi indiscreti e/o usi illeciti.
Molti amministratori ritengono che il tenere segrete informazioni relative al software, ad architetture degli impianti ed ed altri tipi di informazioni non ultime l'elenco delle password o gli indirizzi degli accessi remoti come vuoi VNC, TeamViewer, LogMeIn o altri siano misure più che sufficienti a garantire la sicurezza all'infrastruttura aziendale.
Purtroppo i fatti confliggono in modo violento e catastrofico con la realtà delle cose.
Oggi i motori di ricerca scandagliano sempre in modo più approfondito la rete trovando qualunque cosa.
Una banale ricerca su Google o Bing indicando il tipo di file, tipicamente Excel per questo tipo di cose, con parola chiave "password" ci fornisce migliaia, centinaia di migliaia di risultati di fogli Excel provenienti dai luoghi più disparati con l'elenco delle password utilizzate in questa o quella strurrura.
Una ricerca tutto sommato semplice che tuttavia evidenzia in modo forte la dimensione del problema. Un problema che gli esperti chiamano "through obscurity" ma che come abbiamo potuto constatare è alquanto fallace.
Qualche giorno fa abbiamo avuto modo di parlare di un motore di ricerca in grado di indicizzare i vari device presenti sul pianeta, non è pertanto difficile pensare che qualcuno possa scrivere un software in grado di scandagliare la rete alla ricerca degli ID di accesso di TeamViewer o degli IP di VNC.
Non vi affrettate a scrivere il programma che abbiamo appena descritto, Dan Tentler ha scritto un programma in grado di scandagliare Internet alla ricerca delle sessioni di accesso remoto non protette da password e quindi catturarne le schermate.
Quello che ne esce è un quadro inquietante, dei risultati talvolta clamorosi che Tentler pubblica sul suo account Twitter.
Una rassegna variegata ed inquietante dove vengono alla luce sistemi di controllo, di sorveglianza di abitazioni e aziende, telecamere di importanti centri di ricerca, sistemi di controllo industriali, e persino il sistema di monitoraggio della centrale elettrica di Abbadia San Salvatore, anche se dopo il tamtam mediatico della vicenda vogliamo sperare che l'accesso remoto sia stato protetto da password e presi tutti gli accorgimenti di sicurezza necessari.
