| Precedente :: Successivo |
| Autore |
Messaggio |
Gladiator
Dio maturo
Registrato: 05/12/10 20:32
Messaggi: 12817
Residenza: Purtroppo o per fortuna Italia
|
 Inviato: 02 Lug 2019 17:54 Oggetto: |
 |
|
@Cesco67
Ma proprio questo è ciò che intendo io, provo a spiegarmi meglio:
Acquisto la telecamera o altro dispositivo
Leggo il SN sull'etichetta posta sul dispositivo
Mi collego al sito del produttore
Inserisco il SN e mi viene restituita la password di default
Entrambi gli elementi di accesso - password di default e SN - sono nel data base del sito del produttore che, se non lo ha criptato o protetto in qualche modo, restano disponibili per chiunque riesca ad hackerarlo
Se io non faccio tutta la trafila e non cambio la password di default - cosa che molti utonti medi si guarderanno bene dal fare - il mio dispositivo è alla mercé di chiunque hackeri il sito del produttore.
Il rischio quindi è che cambi assai poco rispetto alla situazione attuale (IMHO). |
|
| Top |
|
 |
etabeta
Dio maturo
Registrato: 06/04/06 10:02
Messaggi: 2704
|
| Inviato: 03 Lug 2019 02:11 Oggetto: |
|
|
| Gladiator ha scritto: | | ok_cian ha scritto: | [...]E già che ci siamo, farei una legge per evitare che ci sia UNA password di default per tutti i dispositivi di una serie, ma che almeno che ne sia una per ogni apparecchio, scaricabile dal sito tramite il numero seriale.
Così bisognerebbe quantomeno avere accesso al dispositivo per poter leggere il suo numero seriale, per fare danni. |
Volpi come sono i fabbricanti i dati abbinati serial number - password sarebbero certamente disponibili su un database non criptato o, peggio ancora, su un foglio di excel a disposizione di chiunque decida di accedervi per sperimentare... 
L'IoT è il bug, l'isolamento di questi dispositivi dalla rete la cura. |
Per isolamento intendevi... lasciarglieli sulli scaffali?
Effettivamente pare la soluzione più efficace.
Magari impareranno ad essere meno tirchi nell'ingegnerizzazione. D |
|
| Top |
|
|
jack.mauro
Semidio
Registrato: 07/02/15 16:44
Messaggi: 466
|
| Inviato: 03 Lug 2019 08:29 Oggetto: |
|
|
Secondo me il cosiddetto IoT per come viene portato avanti da tutte le aziende è nato insicuro fin dal progetto.
Tutti gli oggetti domestici, dal forno al coniglietto che cambia colore e parla, dovrebbero parlare esclusivamente con un "home server", progettato con un occhio alla sicurezza, che si occupa di mettere in comunicazione tutti i device tra loro e con le relative app accessibili da remoto.
Purtroppo questa visione impedisce alle aziende produttrici di mantere un controllo così forte sui device e acquisire tutti i dati che acquisiscono ora...
Il vero problema è che l'approccio attuale è, per i clienti, più economico; o almeno lo è se si dà ai dati prezzo 0. |
|
| Top |
|
|
Gladiator
Dio maturo
Registrato: 05/12/10 20:32
Messaggi: 12817
Residenza: Purtroppo o per fortuna Italia
|
| Inviato: 03 Lug 2019 17:59 Oggetto: |
|
|
| etabeta ha scritto: | | Gladiator ha scritto: | | ok_cian ha scritto: | [...]E già che ci siamo, farei una legge per evitare che ci sia UNA password di default per tutti i dispositivi di una serie, ma che almeno che ne sia una per ogni apparecchio, scaricabile dal sito tramite il numero seriale.
Così bisognerebbe quantomeno avere accesso al dispositivo per poter leggere il suo numero seriale, per fare danni. |
Volpi come sono i fabbricanti i dati abbinati serial number - password sarebbero certamente disponibili su un database non criptato o, peggio ancora, su un foglio di excel a disposizione di chiunque decida di accedervi per sperimentare...
L'IoT è il bug, l'isolamento di questi dispositivi dalla rete la cura. |
Per isolamento intendevi... lasciarglieli sulli scaffali?
Effettivamente pare la soluzione più efficace.
Magari impareranno ad essere meno tirchi nell'ingegnerizzazione. D |
Per isolamento, in realtà, intendevo di castrargli tutte le funzioni di comunicazione e lasciare solo quelle essenziali per cui dovrebbero essere stati progettati... ma anche lasciarli sugli scaffali è certamente un'opzione, soprattutto per quegli arnesi la cui funzione principale è solo quella di essere hackerati e controllati dal primo che ne ha voglia di farlo. |
|
| Top |
|
|
ok_cian
Semidio
Registrato: 11/08/15 17:28
Messaggi: 359
|
| Inviato: 07 Lug 2019 11:45 Oggetto: |
|
|
| Gladiator ha scritto: | @Cesco67
il mio dispositivo è alla mercé di chiunque hackeri il sito del produttore.
Il rischio quindi è che cambi assai poco rispetto alla situazione attuale (IMHO). |
Se non sai quale sia il s/n giusto, ti ritrovi migliaia di combinazioni [s/n]/[password di default] da provare, al posto dell'unica password di default uguale per tutti.
E a quel punto cosa fai? Le provi tutte con brute force?
Se l'IoT è fatto decentemente (e sottolineo SE) al terzo errore andrà in blocco, e ci sarà un pulsantino fisico da tenere premuto per qualche secondo al fine di sbloccarlo.
Se poi parliamo di cose a cui si accede di rado, si può fare anche il pulsantino che abiliti il login per un certo periodo, mentre di default tutte le richieste vengono rifiutate.
Ovviamente questi meccanismi "avanzatissimi" col pulsantino costeranno qualche centesimo di Euro in più a pezzo, in produzione (OVVOVE!!!!) e perciò bisognerà scegliere l'IoT in modo un pochino più attento rispetto al solito cestone delle offerte al supermercato.
Alla terza rivendita delle loro immagini private, ce la faranno i nostri eroi utonti a capire che forse quell'Euro in più per una telecamera seria non è proprio buttato via? |
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 11:16
Messaggi: 11568
Residenza: Tokelau
|
| Inviato: 08 Lug 2019 12:58 Oggetto: |
|
|
| non è nemmeno indispensabile il pulsantino, basta mettere un blocco di 3 minuti dopo il terzo tentativo fallito, e vedi come il brute force non ha più senso come tecnica d'attacco... |
|
| Top |
|
|
Gladiator
Dio maturo
Registrato: 05/12/10 20:32
Messaggi: 12817
Residenza: Purtroppo o per fortuna Italia
|
| Inviato: 08 Lug 2019 17:58 Oggetto: |
|
|
| ok_cian ha scritto: | | Gladiator ha scritto: | @Cesco67
il mio dispositivo è alla mercé di chiunque hackeri il sito del produttore.
Il rischio quindi è che cambi assai poco rispetto alla situazione attuale (IMHO). |
Se non sai quale sia il s/n giusto, ti ritrovi migliaia di combinazioni [s/n]/[password di default] da provare, al posto dell'unica password di default uguale per tutti.
[...] |
Nell'ipotesi che ho fatto io, se ti rileggi il mio post, ho ipotizzato che nel sito del produttore siano presenti le accoppiate S/N e relativa password di default che sarebbe auspicabile invece della password di default uguale su tutti i dispositivi.
In tal caso se il DB del sito del produttore non è adeguatamente crittografato e protetto è alla mercé di chiunque... |
|
| Top |
|
|
Cesco67
Dio maturo
Registrato: 15/10/09 10:34
Messaggi: 1758
Residenza: EU
|
| Inviato: 08 Lug 2019 19:17 Oggetto: |
|
|
@Gladiator
| Citazione: | | In tal caso se il DB del sito del produttore non è adeguatamente crittografato e protetto è alla mercé di chiunque... |
Anche se quel DB fosse scaricabile da chiunque serve a poco un enorme elenco di password abbinate ai relativi s/n in quanto per conoscere quest'ultimo è necessario poter leggere la targhetta sull'apparecchio
Ma forse intendevi altro? |
|
| Top |
|
|
Gladiator
Dio maturo
Registrato: 05/12/10 20:32
Messaggi: 12817
Residenza: Purtroppo o per fortuna Italia
|
| Inviato: 09 Lug 2019 17:59 Oggetto: |
|
|
@Cesco67
Intendevo che, se si accede alla telecamera con accoppiata SN/Password, il SN deve comunque essere accessibile dall'esterno - ovvero non dopo aver superato l'autenticazione - per cui non penso sia particolarmente difficile per un malintenzionato individuare la telecamera con una scansione su internet verificando le telecamere che hanno un IP raggiungibile per poi, una volta individuata, inserire la password e portare l'attacco.
Potrei anche sbagliare ma mi sembra una cosa fattibile senza eccessivo sforzo. |
|
| Top |
|
|
Cesco67
Dio maturo
Registrato: 15/10/09 10:34
Messaggi: 1758
Residenza: EU
|
| Inviato: 09 Lug 2019 19:06 Oggetto: |
 |
|
@Gladiator
Ovvio che il s/n non deve essere accessibile da remoto prima dell'autenticazione, tanto vale avere la password di default uguale per tutti gli apparecchi. Ma anche se ci fosse l'abbinamento s/n-password al malintenzionato non serve l'intero DB ma gli basterebbe collegarsi al sito del produttore, inserire il s/n e leggere la password... |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
