Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Quattordicenne crea malware che rende inutilizzabili i dispositivi IoT
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
Zeus News
Ospite





MessaggioInviato: 27 Giu 2019 11:30    Oggetto: Quattordicenne crea malware che rende inutilizzabili i dispositivi IoT Rispondi citando

Leggi l'articolo Quattordicenne crea malware che rende inutilizzabili i dispositivi IoT
Si chiama Silex e cancella l'intera memoria degli apparecchi.


 

 

Segnala un refuso
Top
jack.mauro
Semidio
Semidio


Registrato: 07/02/15 16:44
Messaggi: 463

MessaggioInviato: 27 Giu 2019 14:42    Oggetto: Rispondi citando

Credo che l'unica cosa positiva sia la mancanza di "viralità" di questo virus: uccidere l'ospite prima di essersi riprodotto è un comportamento fallimentare per un parassita....
Top
Profilo Invia messaggio privato
{utente anonimo}
Ospite





MessaggioInviato: 27 Giu 2019 20:34    Oggetto: Rispondi citando

Il titolo dell'articolo è sbagliato.
Dovrebbe essere:
"Quattordicenne crea software che rende sicuri i dispositivi IoT"
Top
{Giovanni}
Ospite





MessaggioInviato: 27 Giu 2019 21:57    Oggetto: Rispondi citando

Non sono all'altezza di tali cose.ma credo che chi ha creato un progetto di sicurezza e quant'altro sia in grado di fermare l'intruso. Creando come una specie di divieto di accesso o di senso unico.e quindi l'intruso non ha scampo🤔🤗💡💡⏳
Top
ok_cian
Semidio
Semidio


Registrato: 11/08/15 17:28
Messaggi: 359

MessaggioInviato: 28 Giu 2019 10:34    Oggetto: Rispondi citando

IMHO il titolo dovrebbe essere: "Nuovo virus approfitta delle credenziali di default lasciate incautamente nei dispositivi IoT. Ancora nessuna legge sulle responsabilità dei gestori"


Il problema è la password di default:
Si poteva cambiare ma non è stato fatto? Multa a chi ha installato l'IoT
Non si poteva cambiare? Multa alla ditta costruttrice


E già che ci siamo, farei una legge per evitare che ci sia UNA password di default per tutti i dispositivi di una serie, ma che almeno che ne sia una per ogni apparecchio, scaricabile dal sito tramite il numero seriale.

Così bisognerebbe quantomeno avere accesso al dispositivo per poter leggere il suo numero seriale, per fare danni.
Top
Profilo Invia messaggio privato
Cesco67
Dio maturo
Dio maturo


Registrato: 15/10/09 10:34
Messaggi: 1758
Residenza: EU

MessaggioInviato: 28 Giu 2019 11:39    Oggetto: Rispondi citando

Citazione:
Il problema è la password di default:
Si poteva cambiare ma non è stato fatto? Multa a chi ha installato l'IoT
Non si poteva cambiare? Multa alla ditta costruttrice

Peccato che molti comprano certi oggetti direttamente in Cina e se li installano da soli...
Però, in effetti, se il lavoro è stato eseguito da un professionista una bella multa gli starebbe bene. Al proposito mi è venuto in mente che un qualche anno fa nell'azienda dove lavoro abbiamo casualmente scoperto che la ditta che aveva installato l'impianto antintrusione non aveva modificato la password "installatore" (quella con i privilegi maggiori) lasciando quella di default...
Top
Profilo Invia messaggio privato
{utente anonimo}
Ospite





MessaggioInviato: 28 Giu 2019 23:02    Oggetto: - Rispondi citando

Commento fuori tema o non conforme al regolamento del forum.
Top
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 12745
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 29 Giu 2019 13:34    Oggetto: Rispondi citando

ok_cian ha scritto:
[...]E già che ci siamo, farei una legge per evitare che ci sia UNA password di default per tutti i dispositivi di una serie, ma che almeno che ne sia una per ogni apparecchio, scaricabile dal sito tramite il numero seriale.

Così bisognerebbe quantomeno avere accesso al dispositivo per poter leggere il suo numero seriale, per fare danni.

Volpi come sono i fabbricanti i dati abbinati serial number - password sarebbero certamente disponibili su un database non criptato o, peggio ancora, su un foglio di excel a disposizione di chiunque decida di accedervi per sperimentare... Wink

L'IoT è il bug, l'isolamento di questi dispositivi dalla rete la cura.
Top
Profilo Invia messaggio privato
seagate
Eroe
Eroe


Registrato: 24/02/16 11:44
Messaggi: 60
Residenza: Via Lattea

MessaggioInviato: 02 Lug 2019 08:01    Oggetto: Rispondi citando

Citazione:
A quel punto c'è poco da fare: non si riesce più ad accedere ai dispositivi colpiti, e per riportare le cose alla normalità la soluzione è reinstallare il firmware.

Si tratta tuttavia di un'operazione che non è alla portata di tutti e molti, vedendo che la loro videocamera non funziona più, si limiteranno a sostituirla anziché capire che cosa non vada.


Conoscete qualcuno che le butta via? Magari passo io a riciclarle Very Happy
Top
Profilo Invia messaggio privato
Cesco67
Dio maturo
Dio maturo


Registrato: 15/10/09 10:34
Messaggi: 1758
Residenza: EU

MessaggioInviato: 02 Lug 2019 11:59    Oggetto: Rispondi citando

Gladiator ha scritto:
ok_cian ha scritto:
[...]E già che ci siamo, farei una legge per evitare che ci sia UNA password di default per tutti i dispositivi di una serie, ma che almeno che ne sia una per ogni apparecchio, scaricabile dal sito tramite il numero seriale.

Così bisognerebbe quantomeno avere accesso al dispositivo per poter leggere il suo numero seriale, per fare danni.

Volpi come sono i fabbricanti i dati abbinati serial number - password sarebbero certamente disponibili su un database non criptato o, peggio ancora, su un foglio di excel a disposizione di chiunque decida di accedervi per sperimentare... Wink

L'IoT è il bug, l'isolamento di questi dispositivi dalla rete la cura.

Credo che ok_cian intendesse proprio questo, cioè ci si collega al sito del produttore per conoscere la password di default abbinata al s/n che solitamente è scritto sull'etichetta appiccicata all'apparecchio quindi non disponibile da remoto
Top
Profilo Invia messaggio privato
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 12745
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 02 Lug 2019 17:54    Oggetto: Rispondi citando

@Cesco67

Ma proprio questo è ciò che intendo io, provo a spiegarmi meglio:
Acquisto la telecamera o altro dispositivo
Leggo il SN sull'etichetta posta sul dispositivo
Mi collego al sito del produttore
Inserisco il SN e mi viene restituita la password di default
Entrambi gli elementi di accesso - password di default e SN - sono nel data base del sito del produttore che, se non lo ha criptato o protetto in qualche modo, restano disponibili per chiunque riesca ad hackerarlo
Se io non faccio tutta la trafila e non cambio la password di default - cosa che molti utonti medi si guarderanno bene dal fare - il mio dispositivo è alla mercé di chiunque hackeri il sito del produttore.

Il rischio quindi è che cambi assai poco rispetto alla situazione attuale (IMHO).
Top
Profilo Invia messaggio privato
etabeta
Dio maturo
Dio maturo


Registrato: 06/04/06 10:02
Messaggi: 2703

MessaggioInviato: 03 Lug 2019 02:11    Oggetto: Rispondi citando

Gladiator ha scritto:
ok_cian ha scritto:
[...]E già che ci siamo, farei una legge per evitare che ci sia UNA password di default per tutti i dispositivi di una serie, ma che almeno che ne sia una per ogni apparecchio, scaricabile dal sito tramite il numero seriale.

Così bisognerebbe quantomeno avere accesso al dispositivo per poter leggere il suo numero seriale, per fare danni.

Volpi come sono i fabbricanti i dati abbinati serial number - password sarebbero certamente disponibili su un database non criptato o, peggio ancora, su un foglio di excel a disposizione di chiunque decida di accedervi per sperimentare... Wink

L'IoT è il bug, l'isolamento di questi dispositivi dalla rete la cura.


Per isolamento intendevi... lasciarglieli sulli scaffali?

Effettivamente pare la soluzione più efficace.

Magari impareranno ad essere meno tirchi nell'ingegnerizzazione. D
Top
Profilo Invia messaggio privato HomePage
jack.mauro
Semidio
Semidio


Registrato: 07/02/15 16:44
Messaggi: 463

MessaggioInviato: 03 Lug 2019 08:29    Oggetto: Rispondi citando

Secondo me il cosiddetto IoT per come viene portato avanti da tutte le aziende è nato insicuro fin dal progetto.
Tutti gli oggetti domestici, dal forno al coniglietto che cambia colore e parla, dovrebbero parlare esclusivamente con un "home server", progettato con un occhio alla sicurezza, che si occupa di mettere in comunicazione tutti i device tra loro e con le relative app accessibili da remoto.

Purtroppo questa visione impedisce alle aziende produttrici di mantere un controllo così forte sui device e acquisire tutti i dati che acquisiscono ora...

Il vero problema è che l'approccio attuale è, per i clienti, più economico; o almeno lo è se si dà ai dati prezzo 0.
Top
Profilo Invia messaggio privato
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 12745
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 03 Lug 2019 17:59    Oggetto: Rispondi citando

etabeta ha scritto:
Gladiator ha scritto:
ok_cian ha scritto:
[...]E già che ci siamo, farei una legge per evitare che ci sia UNA password di default per tutti i dispositivi di una serie, ma che almeno che ne sia una per ogni apparecchio, scaricabile dal sito tramite il numero seriale.

Così bisognerebbe quantomeno avere accesso al dispositivo per poter leggere il suo numero seriale, per fare danni.

Volpi come sono i fabbricanti i dati abbinati serial number - password sarebbero certamente disponibili su un database non criptato o, peggio ancora, su un foglio di excel a disposizione di chiunque decida di accedervi per sperimentare... Wink

L'IoT è il bug, l'isolamento di questi dispositivi dalla rete la cura.


Per isolamento intendevi... lasciarglieli sulli scaffali?

Effettivamente pare la soluzione più efficace.

Magari impareranno ad essere meno tirchi nell'ingegnerizzazione. D

Per isolamento, in realtà, intendevo di castrargli tutte le funzioni di comunicazione e lasciare solo quelle essenziali per cui dovrebbero essere stati progettati... ma anche lasciarli sugli scaffali è certamente un'opzione, soprattutto per quegli arnesi la cui funzione principale è solo quella di essere hackerati e controllati dal primo che ne ha voglia di farlo. Wink
Top
Profilo Invia messaggio privato
ok_cian
Semidio
Semidio


Registrato: 11/08/15 17:28
Messaggi: 359

MessaggioInviato: 07 Lug 2019 11:45    Oggetto: Rispondi citando

Gladiator ha scritto:
@Cesco67
il mio dispositivo è alla mercé di chiunque hackeri il sito del produttore.

Il rischio quindi è che cambi assai poco rispetto alla situazione attuale (IMHO).


Se non sai quale sia il s/n giusto, ti ritrovi migliaia di combinazioni [s/n]/[password di default] da provare, al posto dell'unica password di default uguale per tutti.


E a quel punto cosa fai? Le provi tutte con brute force?

Se l'IoT è fatto decentemente (e sottolineo SE) al terzo errore andrà in blocco, e ci sarà un pulsantino fisico da tenere premuto per qualche secondo al fine di sbloccarlo.

Se poi parliamo di cose a cui si accede di rado, si può fare anche il pulsantino che abiliti il login per un certo periodo, mentre di default tutte le richieste vengono rifiutate.


Ovviamente questi meccanismi "avanzatissimi" col pulsantino costeranno qualche centesimo di Euro in più a pezzo, in produzione (OVVOVE!!!!) e perciò bisognerà scegliere l'IoT in modo un pochino più attento rispetto al solito cestone delle offerte al supermercato.

Alla terza rivendita delle loro immagini private, ce la faranno i nostri eroi utonti a capire che forse quell'Euro in più per una telecamera seria non è proprio buttato via?
Top
Profilo Invia messaggio privato
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 11553
Residenza: Tokelau

MessaggioInviato: 08 Lug 2019 12:58    Oggetto: Rispondi citando

non è nemmeno indispensabile il pulsantino, basta mettere un blocco di 3 minuti dopo il terzo tentativo fallito, e vedi come il brute force non ha più senso come tecnica d'attacco...
Top
Profilo Invia messaggio privato HomePage
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 12745
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 08 Lug 2019 17:58    Oggetto: Rispondi citando

ok_cian ha scritto:
Gladiator ha scritto:
@Cesco67
il mio dispositivo è alla mercé di chiunque hackeri il sito del produttore.

Il rischio quindi è che cambi assai poco rispetto alla situazione attuale (IMHO).


Se non sai quale sia il s/n giusto, ti ritrovi migliaia di combinazioni [s/n]/[password di default] da provare, al posto dell'unica password di default uguale per tutti.
[...]

Nell'ipotesi che ho fatto io, se ti rileggi il mio post, ho ipotizzato che nel sito del produttore siano presenti le accoppiate S/N e relativa password di default che sarebbe auspicabile invece della password di default uguale su tutti i dispositivi.

In tal caso se il DB del sito del produttore non è adeguatamente crittografato e protetto è alla mercé di chiunque...
Top
Profilo Invia messaggio privato
Cesco67
Dio maturo
Dio maturo


Registrato: 15/10/09 10:34
Messaggi: 1758
Residenza: EU

MessaggioInviato: 08 Lug 2019 19:17    Oggetto: Rispondi citando

@Gladiator
Citazione:
In tal caso se il DB del sito del produttore non è adeguatamente crittografato e protetto è alla mercé di chiunque...

Anche se quel DB fosse scaricabile da chiunque serve a poco un enorme elenco di password abbinate ai relativi s/n in quanto per conoscere quest'ultimo è necessario poter leggere la targhetta sull'apparecchio
Ma forse intendevi altro?
Top
Profilo Invia messaggio privato
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 12745
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 09 Lug 2019 17:59    Oggetto: Rispondi citando

@Cesco67

Intendevo che, se si accede alla telecamera con accoppiata SN/Password, il SN deve comunque essere accessibile dall'esterno - ovvero non dopo aver superato l'autenticazione - per cui non penso sia particolarmente difficile per un malintenzionato individuare la telecamera con una scansione su internet verificando le telecamere che hanno un IP raggiungibile per poi, una volta individuata, inserire la password e portare l'attacco.

Potrei anche sbagliare ma mi sembra una cosa fattibile senza eccessivo sforzo.
Top
Profilo Invia messaggio privato
Cesco67
Dio maturo
Dio maturo


Registrato: 15/10/09 10:34
Messaggi: 1758
Residenza: EU

MessaggioInviato: 09 Lug 2019 19:06    Oggetto: Rispondi

@Gladiator
Ovvio che il s/n non deve essere accessibile da remoto prima dell'autenticazione, tanto vale avere la password di default uguale per tutti gli apparecchi. Ma anche se ci fosse l'abbinamento s/n-password al malintenzionato non serve l'intero DB ma gli basterebbe collegarsi al sito del produttore, inserire il s/n e leggere la password...
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi