Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Quattordicenne crea malware che rende inutilizzabili i dispositivi IoT
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 8876
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 02 Lug 2019 17:54    Oggetto: Rispondi citando

@Cesco67

Ma proprio questo è ciò che intendo io, provo a spiegarmi meglio:
Acquisto la telecamera o altro dispositivo
Leggo il SN sull'etichetta posta sul dispositivo
Mi collego al sito del produttore
Inserisco il SN e mi viene restituita la password di default
Entrambi gli elementi di accesso - password di default e SN - sono nel data base del sito del produttore che, se non lo ha criptato o protetto in qualche modo, restano disponibili per chiunque riesca ad hackerarlo
Se io non faccio tutta la trafila e non cambio la password di default - cosa che molti utonti medi si guarderanno bene dal fare - il mio dispositivo è alla mercé di chiunque hackeri il sito del produttore.

Il rischio quindi è che cambi assai poco rispetto alla situazione attuale (IMHO).
Top
Profilo Invia messaggio privato
etabeta
Prof.Sconvolto


Registrato: 06/04/06 10:02
Messaggi: 2216

MessaggioInviato: 03 Lug 2019 02:11    Oggetto: Rispondi citando

Gladiator ha scritto:
ok_cian ha scritto:
[...]E già che ci siamo, farei una legge per evitare che ci sia UNA password di default per tutti i dispositivi di una serie, ma che almeno che ne sia una per ogni apparecchio, scaricabile dal sito tramite il numero seriale.

Così bisognerebbe quantomeno avere accesso al dispositivo per poter leggere il suo numero seriale, per fare danni.

Volpi come sono i fabbricanti i dati abbinati serial number - password sarebbero certamente disponibili su un database non criptato o, peggio ancora, su un foglio di excel a disposizione di chiunque decida di accedervi per sperimentare... Wink

L'IoT è il bug, l'isolamento di questi dispositivi dalla rete la cura.


Per isolamento intendevi... lasciarglieli sulli scaffali?

Effettivamente pare la soluzione più efficace.

Magari impareranno ad essere meno tirchi nell'ingegnerizzazione. D
Top
Profilo Invia messaggio privato HomePage
jack.mauro
Semidio
Semidio


Registrato: 07/02/15 16:44
Messaggi: 226

MessaggioInviato: 03 Lug 2019 08:29    Oggetto: Rispondi citando

Secondo me il cosiddetto IoT per come viene portato avanti da tutte le aziende è nato insicuro fin dal progetto.
Tutti gli oggetti domestici, dal forno al coniglietto che cambia colore e parla, dovrebbero parlare esclusivamente con un "home server", progettato con un occhio alla sicurezza, che si occupa di mettere in comunicazione tutti i device tra loro e con le relative app accessibili da remoto.

Purtroppo questa visione impedisce alle aziende produttrici di mantere un controllo così forte sui device e acquisire tutti i dati che acquisiscono ora...

Il vero problema è che l'approccio attuale è, per i clienti, più economico; o almeno lo è se si dà ai dati prezzo 0.
Top
Profilo Invia messaggio privato
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 8876
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 03 Lug 2019 17:59    Oggetto: Rispondi citando

etabeta ha scritto:
Gladiator ha scritto:
ok_cian ha scritto:
[...]E già che ci siamo, farei una legge per evitare che ci sia UNA password di default per tutti i dispositivi di una serie, ma che almeno che ne sia una per ogni apparecchio, scaricabile dal sito tramite il numero seriale.

Così bisognerebbe quantomeno avere accesso al dispositivo per poter leggere il suo numero seriale, per fare danni.

Volpi come sono i fabbricanti i dati abbinati serial number - password sarebbero certamente disponibili su un database non criptato o, peggio ancora, su un foglio di excel a disposizione di chiunque decida di accedervi per sperimentare... Wink

L'IoT è il bug, l'isolamento di questi dispositivi dalla rete la cura.


Per isolamento intendevi... lasciarglieli sulli scaffali?

Effettivamente pare la soluzione più efficace.

Magari impareranno ad essere meno tirchi nell'ingegnerizzazione. D

Per isolamento, in realtà, intendevo di castrargli tutte le funzioni di comunicazione e lasciare solo quelle essenziali per cui dovrebbero essere stati progettati... ma anche lasciarli sugli scaffali è certamente un'opzione, soprattutto per quegli arnesi la cui funzione principale è solo quella di essere hackerati e controllati dal primo che ne ha voglia di farlo. Wink
Top
Profilo Invia messaggio privato
ok_cian
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 11/08/15 17:28
Messaggi: 174

MessaggioInviato: 07 Lug 2019 11:45    Oggetto: Rispondi citando

Gladiator ha scritto:
@Cesco67
il mio dispositivo è alla mercé di chiunque hackeri il sito del produttore.

Il rischio quindi è che cambi assai poco rispetto alla situazione attuale (IMHO).


Se non sai quale sia il s/n giusto, ti ritrovi migliaia di combinazioni [s/n]/[password di default] da provare, al posto dell'unica password di default uguale per tutti.


E a quel punto cosa fai? Le provi tutte con brute force?

Se l'IoT è fatto decentemente (e sottolineo SE) al terzo errore andrà in blocco, e ci sarà un pulsantino fisico da tenere premuto per qualche secondo al fine di sbloccarlo.

Se poi parliamo di cose a cui si accede di rado, si può fare anche il pulsantino che abiliti il login per un certo periodo, mentre di default tutte le richieste vengono rifiutate.


Ovviamente questi meccanismi "avanzatissimi" col pulsantino costeranno qualche centesimo di Euro in più a pezzo, in produzione (OVVOVE!!!!) e perciò bisognerà scegliere l'IoT in modo un pochino più attento rispetto al solito cestone delle offerte al supermercato.

Alla terza rivendita delle loro immagini private, ce la faranno i nostri eroi utonti a capire che forse quell'Euro in più per una telecamera seria non è proprio buttato via?
Top
Profilo Invia messaggio privato
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 10159
Residenza: Tokelau

MessaggioInviato: 08 Lug 2019 12:58    Oggetto: Rispondi citando

non è nemmeno indispensabile il pulsantino, basta mettere un blocco di 3 minuti dopo il terzo tentativo fallito, e vedi come il brute force non ha più senso come tecnica d'attacco...
Top
Profilo Invia messaggio privato HomePage
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 8876
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 08 Lug 2019 17:58    Oggetto: Rispondi citando

ok_cian ha scritto:
Gladiator ha scritto:
@Cesco67
il mio dispositivo è alla mercé di chiunque hackeri il sito del produttore.

Il rischio quindi è che cambi assai poco rispetto alla situazione attuale (IMHO).


Se non sai quale sia il s/n giusto, ti ritrovi migliaia di combinazioni [s/n]/[password di default] da provare, al posto dell'unica password di default uguale per tutti.
[...]

Nell'ipotesi che ho fatto io, se ti rileggi il mio post, ho ipotizzato che nel sito del produttore siano presenti le accoppiate S/N e relativa password di default che sarebbe auspicabile invece della password di default uguale su tutti i dispositivi.

In tal caso se il DB del sito del produttore non è adeguatamente crittografato e protetto è alla mercé di chiunque...
Top
Profilo Invia messaggio privato
Cesco67
Dio maturo
Dio maturo


Registrato: 15/10/09 10:34
Messaggi: 1398
Residenza: EU

MessaggioInviato: 08 Lug 2019 19:17    Oggetto: Rispondi citando

@Gladiator
Citazione:
In tal caso se il DB del sito del produttore non è adeguatamente crittografato e protetto è alla mercé di chiunque...

Anche se quel DB fosse scaricabile da chiunque serve a poco un enorme elenco di password abbinate ai relativi s/n in quanto per conoscere quest'ultimo è necessario poter leggere la targhetta sull'apparecchio
Ma forse intendevi altro?
Top
Profilo Invia messaggio privato
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 8876
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 09 Lug 2019 17:59    Oggetto: Rispondi citando

@Cesco67

Intendevo che, se si accede alla telecamera con accoppiata SN/Password, il SN deve comunque essere accessibile dall'esterno - ovvero non dopo aver superato l'autenticazione - per cui non penso sia particolarmente difficile per un malintenzionato individuare la telecamera con una scansione su internet verificando le telecamere che hanno un IP raggiungibile per poi, una volta individuata, inserire la password e portare l'attacco.

Potrei anche sbagliare ma mi sembra una cosa fattibile senza eccessivo sforzo.
Top
Profilo Invia messaggio privato
Cesco67
Dio maturo
Dio maturo


Registrato: 15/10/09 10:34
Messaggi: 1398
Residenza: EU

MessaggioInviato: 09 Lug 2019 19:06    Oggetto: Rispondi

@Gladiator
Ovvio che il s/n non deve essere accessibile da remoto prima dell'autenticazione, tanto vale avere la password di default uguale per tutti gli apparecchi. Ma anche se ci fosse l'abbinamento s/n-password al malintenzionato non serve l'intero DB ma gli basterebbe collegarsi al sito del produttore, inserire il s/n e leggere la password...
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 1 ora
Vai a Precedente  1, 2
Pagina 2 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi