skip to main | skip to sidebar
17 commenti

Trovare le chiavi sotto lo zerbino con Google

Credit: Dan Tentler. La centrale è questa.
In gergo si chiama security through obscurity, ossia “sicurezza tramite la segretezza”, ed è uno degli errori più frequenti nel mondo della sicurezza informatica. Tantissimi utenti, e purtroppo anche tante aziende, pensano ancora che per ottenere la sicurezza basti non divulgare i dettagli del funzionamento di un software o di un prodotto invece di farlo funzionare davvero in modo sicuro.

Un esempio classico di questo modo di pensare è dato dai tantissimi amministratori di sistemi informatici che usano software di controllo remoto, come VNC o TeamViewer, senza attivare la cifratura o la protezione tramite password. Tanto, secondo loro, basta che nessuno sappia qual è l'indirizzo IP del computer da comandare a distanza e la sicurezza è garantita. È l'equivalente informatico di mettere le chiavi di casa sotto lo zerbino.

Un altro esempio è dato dai responsabili della sicurezza che mettono sui computer aziendali un file Excel contenente le password degli utenti senza proteggerlo con una password, perché tanto basta che nessuno sappia dov'è e come si chiama il file.

Questo approccio poteva avere senso, forse, prima dei motori di ricerca. Ma oggi Google, Bing e gli altri motori scandagliano ogni anfratto della Rete e trovano qualunque cosa sia esposta. Per esempio, ecco come usare Google per trovare i file Excel contenenti password:

https://www.google.ch/search?q=filetype:xls+password

Davvero: basta così poco e viene fuori di tutto.

Sul versante del controllo remoto, invece, l'informatico Dan Tentler (@viss su Twitter), ha scritto un software che scandaglia tutta Internet in meno di un'ora, trova le sessioni di VNC e TeamViewer non protette da password e ne cattura le schermate. Tentler pubblica le migliori qui, e c'è da sbellicarsi e rabbrividire, perché ci si trova di tutto: sistemi di controllo e sorveglianza di abitazioni, telecamere del CERN, impianti di condizionamento industriali, a schermate di monitoraggio di centrali idroelettriche italiane.

Non è un difetto del software: è colpa degli utenti che intenzionalmente non si proteggono pensando “tanto chi vuoi che scopra questa sessione”, e questa è un'abitudine che va assolutamente abbandonata, perché oggi basta poco per scoprire questo e altro. Lo scopo di Tentler è proprio questo: sensibilizzare mostrando cosa c'è la fuori. Così, magari, i responsabili di queste falle smetteranno di comportarsi in modo così imprudente.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (17)
Giusto per la cronaca, magari qualcuno avrebbe potuto fermare quella centrale o farla ripartire quando è ferma in condizioni di rete scarica (per esempio di notte), magari provocando un blackout nazionale. Mica male.
Il software in questione credo sia Shodan, è online come un motore di ricerca e trova anche Router, modem/router, webcam e quant'altro.
madonnasantissima le dighe
0_0
Sono d'accordo su tutto e mi piace che si iniza ad avere un approccio alla "security through obscurity" più maturo rispetto a quello che la vedeva contrapposta alle piattaforme open. La riservatezza di per se non è sinonimo di sicurezza, ma è innegabile che se non sanno che ci sei o come sei strutturato hai un vantaggio rispetto a sbandierare ai quattro venti come trovarti e come sei fatto. In questo caso un ricercatore s'è preso la briga di scandagliare Internet e comunque è entrato in quei sistemi privi di password (non con una versione vecchia e buggata del software o con password stupide, proprio SENZA PASSWORD) tra l'altro senza sapere preventivamente a cosa facessero riferimento. Con VNC su una porta non standard (cosa che comunque non farei, esporre direttamente il servizio è rischioso), con magari un firewall che blocca gli accessi da ip non autorizzati, o ancor meglio dietro una VPN e ovviamente protetto da password con un minimo di policy (robustezza della password, scadenza) hai comunque un grado di sicurezza sufficiente a non essere più l'anello debole della catena senza però avere un approccio paranoico. Poi si possono usare trucchi creativi come aprire - sempre meglio se su porta non standard - un server http che se raggiunto con un indirizzo particolare impossibile da indovinare apre temporaneamente al tuo ip la porta di VNC sul firewall (ovviamente VNC sempre protetto da pass); a questo punto apri prima dal browser l'indirizzo e poi apri vnc, facile da usare ma decisamente sicuro. Qui si che la "security through obscurity" funziona: se non conosci il meccanismo hai uno svantaggio notevolissimo, essendo che dall'esterno non vedi assolutamente nulla e vai tu a pensare che chiamando un dato indirizzo e poi collegandoti a una data porta entro tot tempo puoi tentare di fare il login a un server VNC...

Altra cosa che penso sempre: nei sistemi *nix il fatto che l'utente root sia necessariamente "root" è scemo. Si potesse chiamare a discrezione dell'utente già incrementeresti la sicurezza del sistema per alcune tipologie di attacchi: della coppia utente / password sai già come si chiama l'utente (peraltro pure quello con i massimi privilegi). Certo, non risolvi tutta una serie di problemi di sicurezza però una parte di quelli scemi si (se l'utente mette come password "password" ma ha messo come utente cippirimerlo77 già siamo avanti anni luce da root / password).
Beh, google e' sempre stato utile. Anche cercando

"index of" passwords.txt

si trovano cose interessanti...
Paolo, sei proprio certo che sia colpa del principio "tanto chi vuoi che scopra questa sessione"?
In tutta onestà io credo fermamente che queste colossali debacle siano più da addebitare a sincera ignoranza che a calcoli fatti a mente ferma (seppure errati).

---Alex
Lo scopo di Tentler è proprio questo: sensibilizzare mostrando cosa c'è la fuori. Così, magari, i responsabili di queste falle smetteranno di comportarsi in modo così imprudente.

Alla peggio si dia tutta la colpa "agli hacker"... si veda: http://webcache.googleusercontent.com/search?q=cache:fq7z7TQ5kIgJ:www.gazzetta.it/Calciomercato/18-08-2014/torino-cerci-mercato-io-atletico-madrid-hanno-scritto-hacker-90177895323.shtml+&cd=3&hl=it&ct=clnk&gl=it&client=firefox-a
«In tutta onestà io credo fermamente che queste colossali debacle siano più da addebitare a sincera ignoranza che a calcoli fatti a mente ferma (seppure errati).»

Ma il principio del "tanto chi vuoi che scopra questa sessione" a me sembra l'esatta antitesi di un calcolo fatto a mente ferma (e fredda).

Un calcolo, per quanto errato e/o basato su dati non affidabili, di questi tempi porterebbe - credo - a diventare dei paranoici, non dei faciloni che spazzano la polvere sotto il tappeto "perché tanto, chi vuoi che se ne accorgerà mai".

L'ignoranza, secondo me, sta nel continuare a credere che l'avversario, il 'bad guy' (per dirla alla Garfinkel & Spafford), sia ancora lo script kiddie che irrompe in sistemi trovati aperti giusto per vedere l'effetto che fa. Oggi, purtroppo, temo invece che in prevalenza i 'cattivi' si siano trasformati in vere e proprie multinazionali, che stanno lì per i soldi. Per il lucroso business del furto d'identità (e tutto ciò che gli è collegato)...

In questo senso, il lavoro di sensibilizzazione di giornalisti come Attivissimo (impeccabile) diventa sempre più necessario, proprio per far capire che la polvere, presto o tardi, torna fuori...

Peace (e grazie a Paolo per l'articolo, più utile che mai) :)
@Fx
"come sei strutturato hai un vantaggio rispetto a sbandierare ai quattro venti come trovarti e come sei fatto"
Se parli di algoritmi la cosa non è innegabile, anzi è proprio il contrario. Se un algoritmo è pubblico vuol dire che N persone lo testano e ne troveranno eventuali problematiche (che saranno corrette). In informatica è auspicabile avere l'algoritmo pubblico (e le sole chiavi private). Pensa scovare una roba in stile NSA in algoritmi non pubblici, ma diffusi :-)

Paolo qui espone solo una parte del concetto di "security through obscurity", che si estende, appunto, all'uso di algoritmi di cifratura non pubblici e altro. La "security through obscurity" è, invece, quasi sempre un errore, una difesa dev'essere solida sempre, le uniche cose da nascondere sono le chiavi, non il resto.
Ma almeno le infrastrutture di importanza nazionale sono protette bene o tutte aperte come la centrale?
Comunque Speriamo che qualcuno nelle aziende "aperte" legga l'articolo e chiuda (o faccia chiudere) la "falla"
@Sciking
Dal poco che ho visto io, gli impianti energetici che potrebbero correre questo genere di rischi, cioè essere collegati ad internet senza dovute precauzioni, sono quelli telecomandati da remoto. In questa categoria è facile che ci ricadano gli impianti idroelettrici di piccola potenza, che secondo me hanno la parte di controllo e monitoraggio molto standardizzata. Gli impianti più grandi, tipo 100 MW, sono pure essi telecomandati, ma _credo_ che data la maggior complessità del macchinario sia improbabile poter creare i pulsantoni "avvia" e "stop".

Riguardo agli impianti termoelettrici più vecchi, se la logica di controllo non è stata aggiornata ed è rimasta analogica, i sistemi informatici servono più che altro a raccogliere dati sul funzionamento di tutto l'impianto (portate, temperature, pressioni, vibrazioni, potenze assorbite e prodotte, etc...). Se la logica di controllo è "evoluta", invece i rischi di accesso non autorizzato sono più concreti.

Ho visitato solo un paio di centrali termoelettriche italiane, una ad olio combustibile e l'altra a carbone. Ma se sono tutte così anche le altre, non abbiamo molto da preoccuparci :-D
Però scusatemi, questo della centrale non è un esempio di "security through obscurity" ma è un esempio di "idiozia globale totale", appunto un "ma tanto chi volete che scopra questo IP". O si tratta di pigrizia "metto sta sessione di TW aperta così posso lavorare mentre medito sul bianco trono in bagno"...

In ogni caso, preocupante.
lufo88: "Se parli di algoritmi la cosa non è innegabile, anzi è proprio il contrario. Se un algoritmo è pubblico vuol dire che N persone lo testano e ne troveranno eventuali problematiche (che saranno corrette). In informatica è auspicabile avere l'algoritmo pubblico (e le sole chiavi private). Pensa scovare una roba in stile NSA in algoritmi non pubblici, ma diffusi :-)"

Quanti bug incredibili e rivelazioni di Snowden dobbiamo ancora attendere perché si capisca chiaramente dove sta il punto? Se un algoritmo è pubblico significa che è pubblico, ed è congetturale l'idea che di conseguenza qualcuno - con competenze adeguate - si prenda la briga di perderci del gran tempo per validarne la bontà del codice. Dopo quel che è successo con OpenSSL (più pubblico e diffuso di così) dovrebbe essere lampante che l'open / la diffusione non fa la qualità del codice. La qualità del codice la si raggiunge con team di sviluppo selezionati, controllo qualità, procedure. Al di là della teoria (peraltro fortemente ideologica) l'open che abbiamo adesso ha degli standard di qualità incredibilmente variabili. Escluso il kernel (e nemmeno tutto), al quale lavorano tanti, tanti sviluppatori delle più grosse società mondiali (persone estremamente qualificate che vengono pagate per far quello), non mi vengono altri esempi di codice che in una qualsiasi software house seria passerebbe un controllo qualità. Siamo afflitti da centinaia di pacchetti che non raggiungono la versione 1 (tra cui OpenSSL che solo adesso ha raggiunto l'obiettivo, dopo che hanno messo n sviluppatori a lavorarci), e anche su quelli stabili ogni tanto saltano fuori dei bachi incredibili.

Poi secondo te tra un OpenSSL sviluppato dallo stesso team (ridicolmente esiguo) e open oppure closed HearthBleed (per dirne uno) veniva scoperto con la stessa semplicità? Facciamo un bagno di realtà, su
Fx, é vero, open source non significa affatto che il codice sia sicuro se nessuno si prende la briga di controllarlo. Ma per tutti gli algoritmi di cifratura e di protezione non pubblici, che quindi hanno superato il controllo di qualità interno di cui scrivi, sono sempre stati trovati dei bachi.
Pensa alle protezioni delle console, ad esempio.

Io qualche pacchetto decente me lo ricordo. Posso citare Apache, Asterisk (lo trovi dentro tutti i modem/router di Telecom Italia che supportano il VOIP), MySQL fra quelli più noti che mi vengono in mente.

Una delle rivelazioni di Snowden riguardava un generatore di numeri casuali che tanto casuali non erano. Ebbene l'algoritmo era stato reso pubblico e dopo solo 6 mesi ci fu chi sospetto che fosse bacato apposta, Snowden non ha fatto altro che confermarlo.
Parlo di questo
http://en.wikipedia.org/wiki/Dual_EC_DRBG
Hm lavorando su sistemi di automazione anche in impianti di generazione, posso dire che SI' solitamente abbiamo il PULSANTONE Avvio e Stop.
Questo solitamente perché anche se il sistema ORA e' moderno DEVE mantenere l'interfaccia quanto più simile al vecchio sistema a relé per non spiazzare gli operatori della macchina...
Scatola grande: "Fx, é vero, open source non significa affatto che il codice sia sicuro se nessuno si prende la briga di controllarlo. "

Quanti si prendono la briga di farlo? E quanti tra quelli che lo fanno rendono pubblica la scoperta? Su, siamo onesti.
Impressionante. Facendo la ricerca sui file excel qui suggerita, il primo sito che emerge è quello della commisione che regolamenta e sorveglia gli impianti nucleari USA! Se si scarica il file, si vede che la password è stata rimossa, ma è ancora perfettamente visibile nella cache e persino nel preview!

Per quanto riferita a sistemi non sensibili (serve per accedere a un report periodico) può dare indizi sulla logica con cui queste volpi scelgono le password.