On September 20th 2016, I scanned the whole internet for VNC servers, and took a screenshot of those without a password.
VNC –Virtual Network Computing– è un comodo e pratico sistema di controllo remoto di PC e servers utilizzato ormai in modo diffuso da utenti e aziende. E’ facilissimo da usare: si installa il server VNC sulla macchina da controllare e, da remoto, basta connettersi attraverso il relativo client per lavorarci come se si fosse davanti allo schermo.
Esistono svariate versioni di VNC, come RealVNC, TightVNC, UltraVNC, ma il funzionamento è sempre il medesimo: l’applicazione server cattura lo schermo e la invia, via internet attraverso il protocollo RFB, al client. La porta di rete di default è la TCP 5900 (alcuni server permettono la connessione anche via browser alla porta TCP 5800) ed è compito dell’utente proteggere adeguatamente sia l’applicazione, attraverso l’impostazione di una password sicura, che eventualmente l’accesso alla porta configurando il firewall.
Talvolta, come l’esperimento World of VNC ben dimostra, c’è chi si dimentica di proteggere adeguatamente il server VNC e diventa, così, comodamente accessibile da remoto a chiunque: le statistiche riportate, relative a settembre 2016, sono abbastanza preoccupanti anche per il nostro paese, nella top-10 dei VNC aperti !
E’ abbastanza divertente, o preoccupante, navigare tra le schermate catturate dai server VNC aperti: alcune mostrano pannelli di controllo di strumentazioni, anche complesse, i cui effetti potrebbero essere disastrosi. E rimango sinceramente stupito di come si possa lasciare, così sbadatamente, la porta di casa (virtuale) aperta a chiunque.
Del resto ne abbiamo parlato tante volte, qui sul blog: è un problema di percezione del rischio, non correttamente valutato a causa, spesso proprio per ignoranza su come funziona la Rete. Nessuno si sognerebbe di lasciare spalancata la porta di casa propria ma spesso non ci preoccupiamo di proteggere in maniera adeguata altri “ingressi” alla nostra abitazione, la nostra vita privata, la nostra privacy.