Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
|
Top |
|
|
jack.mauro Semidio
Registrato: 07/02/15 16:44 Messaggi: 466
|
Inviato: 27 Giu 2019 14:42 Oggetto: |
|
|
Credo che l'unica cosa positiva sia la mancanza di "viralità" di questo virus: uccidere l'ospite prima di essersi riprodotto è un comportamento fallimentare per un parassita.... |
|
Top |
|
|
{utente anonimo} Ospite
|
Inviato: 27 Giu 2019 20:34 Oggetto: |
|
|
Il titolo dell'articolo è sbagliato.
Dovrebbe essere:
"Quattordicenne crea software che rende sicuri i dispositivi IoT" |
|
Top |
|
|
{Giovanni} Ospite
|
Inviato: 27 Giu 2019 21:57 Oggetto: |
|
|
Non sono all'altezza di tali cose.ma credo che chi ha creato un progetto di sicurezza e quant'altro sia in grado di fermare l'intruso. Creando come una specie di divieto di accesso o di senso unico.e quindi l'intruso non ha scampo🤔🤗💡💡⏳ |
|
Top |
|
|
ok_cian Semidio
Registrato: 11/08/15 17:28 Messaggi: 359
|
Inviato: 28 Giu 2019 10:34 Oggetto: |
|
|
IMHO il titolo dovrebbe essere: "Nuovo virus approfitta delle credenziali di default lasciate incautamente nei dispositivi IoT. Ancora nessuna legge sulle responsabilità dei gestori"
Il problema è la password di default:
Si poteva cambiare ma non è stato fatto? Multa a chi ha installato l'IoT
Non si poteva cambiare? Multa alla ditta costruttrice
E già che ci siamo, farei una legge per evitare che ci sia UNA password di default per tutti i dispositivi di una serie, ma che almeno che ne sia una per ogni apparecchio, scaricabile dal sito tramite il numero seriale.
Così bisognerebbe quantomeno avere accesso al dispositivo per poter leggere il suo numero seriale, per fare danni. |
|
Top |
|
|
Cesco67 Dio maturo
Registrato: 15/10/09 10:34 Messaggi: 1758 Residenza: EU
|
Inviato: 28 Giu 2019 11:39 Oggetto: |
|
|
Citazione: | Il problema è la password di default:
Si poteva cambiare ma non è stato fatto? Multa a chi ha installato l'IoT
Non si poteva cambiare? Multa alla ditta costruttrice |
Peccato che molti comprano certi oggetti direttamente in Cina e se li installano da soli...
Però, in effetti, se il lavoro è stato eseguito da un professionista una bella multa gli starebbe bene. Al proposito mi è venuto in mente che un qualche anno fa nell'azienda dove lavoro abbiamo casualmente scoperto che la ditta che aveva installato l'impianto antintrusione non aveva modificato la password "installatore" (quella con i privilegi maggiori) lasciando quella di default... |
|
Top |
|
|
{utente anonimo} Ospite
|
Inviato: 28 Giu 2019 23:02 Oggetto: - |
|
|
Commento fuori tema o non conforme al regolamento del forum. |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 29 Giu 2019 13:34 Oggetto: |
|
|
ok_cian ha scritto: | [...]E già che ci siamo, farei una legge per evitare che ci sia UNA password di default per tutti i dispositivi di una serie, ma che almeno che ne sia una per ogni apparecchio, scaricabile dal sito tramite il numero seriale.
Così bisognerebbe quantomeno avere accesso al dispositivo per poter leggere il suo numero seriale, per fare danni. |
Volpi come sono i fabbricanti i dati abbinati serial number - password sarebbero certamente disponibili su un database non criptato o, peggio ancora, su un foglio di excel a disposizione di chiunque decida di accedervi per sperimentare...
L'IoT è il bug, l'isolamento di questi dispositivi dalla rete la cura. |
|
Top |
|
|
seagate Eroe
Registrato: 24/02/16 11:44 Messaggi: 60 Residenza: Via Lattea
|
Inviato: 02 Lug 2019 08:01 Oggetto: |
|
|
Citazione: | A quel punto c'è poco da fare: non si riesce più ad accedere ai dispositivi colpiti, e per riportare le cose alla normalità la soluzione è reinstallare il firmware.
Si tratta tuttavia di un'operazione che non è alla portata di tutti e molti, vedendo che la loro videocamera non funziona più, si limiteranno a sostituirla anziché capire che cosa non vada. |
Conoscete qualcuno che le butta via? Magari passo io a riciclarle |
|
Top |
|
|
Cesco67 Dio maturo
Registrato: 15/10/09 10:34 Messaggi: 1758 Residenza: EU
|
Inviato: 02 Lug 2019 11:59 Oggetto: |
|
|
Gladiator ha scritto: | ok_cian ha scritto: | [...]E già che ci siamo, farei una legge per evitare che ci sia UNA password di default per tutti i dispositivi di una serie, ma che almeno che ne sia una per ogni apparecchio, scaricabile dal sito tramite il numero seriale.
Così bisognerebbe quantomeno avere accesso al dispositivo per poter leggere il suo numero seriale, per fare danni. |
Volpi come sono i fabbricanti i dati abbinati serial number - password sarebbero certamente disponibili su un database non criptato o, peggio ancora, su un foglio di excel a disposizione di chiunque decida di accedervi per sperimentare...
L'IoT è il bug, l'isolamento di questi dispositivi dalla rete la cura. |
Credo che ok_cian intendesse proprio questo, cioè ci si collega al sito del produttore per conoscere la password di default abbinata al s/n che solitamente è scritto sull'etichetta appiccicata all'apparecchio quindi non disponibile da remoto |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 02 Lug 2019 17:54 Oggetto: |
|
|
@Cesco67
Ma proprio questo è ciò che intendo io, provo a spiegarmi meglio:
Acquisto la telecamera o altro dispositivo
Leggo il SN sull'etichetta posta sul dispositivo
Mi collego al sito del produttore
Inserisco il SN e mi viene restituita la password di default
Entrambi gli elementi di accesso - password di default e SN - sono nel data base del sito del produttore che, se non lo ha criptato o protetto in qualche modo, restano disponibili per chiunque riesca ad hackerarlo
Se io non faccio tutta la trafila e non cambio la password di default - cosa che molti utonti medi si guarderanno bene dal fare - il mio dispositivo è alla mercé di chiunque hackeri il sito del produttore.
Il rischio quindi è che cambi assai poco rispetto alla situazione attuale (IMHO). |
|
Top |
|
|
etabeta Dio maturo
Registrato: 06/04/06 10:02 Messaggi: 2704
|
Inviato: 03 Lug 2019 02:11 Oggetto: |
|
|
Gladiator ha scritto: | ok_cian ha scritto: | [...]E già che ci siamo, farei una legge per evitare che ci sia UNA password di default per tutti i dispositivi di una serie, ma che almeno che ne sia una per ogni apparecchio, scaricabile dal sito tramite il numero seriale.
Così bisognerebbe quantomeno avere accesso al dispositivo per poter leggere il suo numero seriale, per fare danni. |
Volpi come sono i fabbricanti i dati abbinati serial number - password sarebbero certamente disponibili su un database non criptato o, peggio ancora, su un foglio di excel a disposizione di chiunque decida di accedervi per sperimentare...
L'IoT è il bug, l'isolamento di questi dispositivi dalla rete la cura. |
Per isolamento intendevi... lasciarglieli sulli scaffali?
Effettivamente pare la soluzione più efficace.
Magari impareranno ad essere meno tirchi nell'ingegnerizzazione. D |
|
Top |
|
|
jack.mauro Semidio
Registrato: 07/02/15 16:44 Messaggi: 466
|
Inviato: 03 Lug 2019 08:29 Oggetto: |
|
|
Secondo me il cosiddetto IoT per come viene portato avanti da tutte le aziende è nato insicuro fin dal progetto.
Tutti gli oggetti domestici, dal forno al coniglietto che cambia colore e parla, dovrebbero parlare esclusivamente con un "home server", progettato con un occhio alla sicurezza, che si occupa di mettere in comunicazione tutti i device tra loro e con le relative app accessibili da remoto.
Purtroppo questa visione impedisce alle aziende produttrici di mantere un controllo così forte sui device e acquisire tutti i dati che acquisiscono ora...
Il vero problema è che l'approccio attuale è, per i clienti, più economico; o almeno lo è se si dà ai dati prezzo 0. |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 03 Lug 2019 17:59 Oggetto: |
|
|
etabeta ha scritto: | Gladiator ha scritto: | ok_cian ha scritto: | [...]E già che ci siamo, farei una legge per evitare che ci sia UNA password di default per tutti i dispositivi di una serie, ma che almeno che ne sia una per ogni apparecchio, scaricabile dal sito tramite il numero seriale.
Così bisognerebbe quantomeno avere accesso al dispositivo per poter leggere il suo numero seriale, per fare danni. |
Volpi come sono i fabbricanti i dati abbinati serial number - password sarebbero certamente disponibili su un database non criptato o, peggio ancora, su un foglio di excel a disposizione di chiunque decida di accedervi per sperimentare...
L'IoT è il bug, l'isolamento di questi dispositivi dalla rete la cura. |
Per isolamento intendevi... lasciarglieli sulli scaffali?
Effettivamente pare la soluzione più efficace.
Magari impareranno ad essere meno tirchi nell'ingegnerizzazione. D |
Per isolamento, in realtà, intendevo di castrargli tutte le funzioni di comunicazione e lasciare solo quelle essenziali per cui dovrebbero essere stati progettati... ma anche lasciarli sugli scaffali è certamente un'opzione, soprattutto per quegli arnesi la cui funzione principale è solo quella di essere hackerati e controllati dal primo che ne ha voglia di farlo. |
|
Top |
|
|
ok_cian Semidio
Registrato: 11/08/15 17:28 Messaggi: 359
|
Inviato: 07 Lug 2019 11:45 Oggetto: |
|
|
Gladiator ha scritto: | @Cesco67
il mio dispositivo è alla mercé di chiunque hackeri il sito del produttore.
Il rischio quindi è che cambi assai poco rispetto alla situazione attuale (IMHO). |
Se non sai quale sia il s/n giusto, ti ritrovi migliaia di combinazioni [s/n]/[password di default] da provare, al posto dell'unica password di default uguale per tutti.
E a quel punto cosa fai? Le provi tutte con brute force?
Se l'IoT è fatto decentemente (e sottolineo SE) al terzo errore andrà in blocco, e ci sarà un pulsantino fisico da tenere premuto per qualche secondo al fine di sbloccarlo.
Se poi parliamo di cose a cui si accede di rado, si può fare anche il pulsantino che abiliti il login per un certo periodo, mentre di default tutte le richieste vengono rifiutate.
Ovviamente questi meccanismi "avanzatissimi" col pulsantino costeranno qualche centesimo di Euro in più a pezzo, in produzione (OVVOVE!!!!) e perciò bisognerà scegliere l'IoT in modo un pochino più attento rispetto al solito cestone delle offerte al supermercato.
Alla terza rivendita delle loro immagini private, ce la faranno i nostri eroi utonti a capire che forse quell'Euro in più per una telecamera seria non è proprio buttato via? |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11568 Residenza: Tokelau
|
Inviato: 08 Lug 2019 12:58 Oggetto: |
|
|
non è nemmeno indispensabile il pulsantino, basta mettere un blocco di 3 minuti dopo il terzo tentativo fallito, e vedi come il brute force non ha più senso come tecnica d'attacco... |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 08 Lug 2019 17:58 Oggetto: |
|
|
ok_cian ha scritto: | Gladiator ha scritto: | @Cesco67
il mio dispositivo è alla mercé di chiunque hackeri il sito del produttore.
Il rischio quindi è che cambi assai poco rispetto alla situazione attuale (IMHO). |
Se non sai quale sia il s/n giusto, ti ritrovi migliaia di combinazioni [s/n]/[password di default] da provare, al posto dell'unica password di default uguale per tutti.
[...] |
Nell'ipotesi che ho fatto io, se ti rileggi il mio post, ho ipotizzato che nel sito del produttore siano presenti le accoppiate S/N e relativa password di default che sarebbe auspicabile invece della password di default uguale su tutti i dispositivi.
In tal caso se il DB del sito del produttore non è adeguatamente crittografato e protetto è alla mercé di chiunque... |
|
Top |
|
|
Cesco67 Dio maturo
Registrato: 15/10/09 10:34 Messaggi: 1758 Residenza: EU
|
Inviato: 08 Lug 2019 19:17 Oggetto: |
|
|
@Gladiator
Citazione: | In tal caso se il DB del sito del produttore non è adeguatamente crittografato e protetto è alla mercé di chiunque... |
Anche se quel DB fosse scaricabile da chiunque serve a poco un enorme elenco di password abbinate ai relativi s/n in quanto per conoscere quest'ultimo è necessario poter leggere la targhetta sull'apparecchio
Ma forse intendevi altro? |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 09 Lug 2019 17:59 Oggetto: |
|
|
@Cesco67
Intendevo che, se si accede alla telecamera con accoppiata SN/Password, il SN deve comunque essere accessibile dall'esterno - ovvero non dopo aver superato l'autenticazione - per cui non penso sia particolarmente difficile per un malintenzionato individuare la telecamera con una scansione su internet verificando le telecamere che hanno un IP raggiungibile per poi, una volta individuata, inserire la password e portare l'attacco.
Potrei anche sbagliare ma mi sembra una cosa fattibile senza eccessivo sforzo. |
|
Top |
|
|
Cesco67 Dio maturo
Registrato: 15/10/09 10:34 Messaggi: 1758 Residenza: EU
|
Inviato: 09 Lug 2019 19:06 Oggetto: |
|
|
@Gladiator
Ovvio che il s/n non deve essere accessibile da remoto prima dell'autenticazione, tanto vale avere la password di default uguale per tutti gli apparecchi. Ma anche se ci fosse l'abbinamento s/n-password al malintenzionato non serve l'intero DB ma gli basterebbe collegarsi al sito del produttore, inserire il s/n e leggere la password... |
|
Top |
|
|
|