skip to main | skip to sidebar
20 commenti

Dischi rigidi wireless Seagate hanno accesso nascosto. Account: root, password: root

Facepalm formato Godzilla meritatissimo.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “giampi*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2015/09/08 11:00.

Non ci posso credere. Seagate, notissima marca di dischi rigidi, ha messo in vendita dei dischi accessibili via Wi-Fi lasciando nel firmware un accesso nascosto (raggiungibile via riga di comando con telnet) che permette a chiunque di leggere e scrivere sul disco stesso. Basta sapere il nome dell'account, che è un prevedibilissimo root, e indovinare la password di quest'account, che è ancor più prevedibilmente root.

I modelli contenenti questa simpatica funzione non documentata sono i Seagate Wireless Plus Mobile Storage, i Seagate Wireless Mobile Storage e i LaCie FUEL. La segnalazione proviene dal CERT.

Come se non bastasse questa falla, questi stessi dispositivi hanno altre due falle che permettono a chiunque di scaricare e, rispettivamente, caricare file di qualunque tipo via Wi-Fi.

Immaginate quindi chi compra questo genere di disco rigido pensando che sia un modo pratico per avere qualche cavo in meno in giro e poi scopre che chiunque può scaricarne il contenuto e può anche alterarlo, per esempio mettendovi versioni infette di applicazioni e copie taroccate di documenti oppure iniettandovi file compromettenti (“Caro, aspetta, posso spiegarti tutto, quel video con il burro di arachidi e il labrador me l'ha messo sul disco un hacker via Wi-Fi”).

Seagate ha pubblicato un firmware aggiornato, ma resta da vedere quanti clienti ne verranno informati e rimedieranno. Forse questa foga modaiola di eliminare i cavi (il cosiddetto cord-cutting) in favore delle connessioni senza fili andrebbe ragionata un attimo.


Aggiornamento (2015/09/08): Rispondo qui ai molti commenti che chiedono che senso abbia un disco rigido Wi-Fi, dato che comunque ha bisogno di almeno un cavo (l'alimentazione). Per esempio, ha senso se devo condividere lo stesso disco fra più utenti, specialmente in modo estemporaneo (vai a una festa, piazzi il tuo disco in condivisione, meglio se in sola lettura, e lasci che tutti ne scarichino foto, film o altro), oppure se il disco ha un filesystem non gestito dal dispositivo che vi vorrebbe accedere (un Mac che vuole scrivere su un disco NTFS, per citare un caso ricorrente).
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (20)
Dalla Seagate non me lo aspettavo. Posso supporre che sia un'atroce backdoor non documentata di uno sviluppatore che si è dimenticato di rimuoverla (magari è stato licenziato prima che potesse farlo e ha pensato bene di vendicarsi... così), sono comunque tutti segnali preoccupanti di una tendenza in crescita: tanto vale cominciare a togliere le serrature dalle porte di casa, così almeno non ti forzano la porta per entrare...

PS: nutella e labrador??? Paolo, ma....?
Ho una stampante wi-fi, eppure stampo ogni volta col cavetto collegato al PC, dicendomi che dovrei configurarla.
Ma anche no... ;-)
E per fortuna faccio a meno degli HDD esterni: le pendrive costano un pò di più, ma sono pratiche, leggere, veloci e non trasmettono nulla via wi-fi. Basta formattarle prima di usarle (almeno spero che basti).
Lentamente ma non tanto, stiamo arrivando ad un controllo completo da parte di terzi a tutta la nostra vita. Probabilmente è la leggerezza con cui proteggiamo le nostre informazioni personali.
A partire da fb, dove alcuni pubblicano anche quando vanno al gabinetto, fino a coloro che danno in pasto tutta una serie di dati personali. Anche i vari siti che chiedono di accettare i vari cookies fino alle condivisioni automatiche di posizione S.O. e IP... Il buon vecchio "Big Brother" si è già istallato a casa nostra.
"Facepalm formato Godzilla meritatissimo!"
ahahahahahahahha

ps. Nutella e labrador? Per quanto mi sforzi davvero non ci arrivo!
Nutella e labrador è epica. Ma in quest'ordine preciso? O si accettano varianti?
nutella e labrador non vanno d'accordo, il cacao è tossico per i cani.
non vanno bene nemmeno le uova crude (quindi la maionese), l'alcol e i pomodori.
poco sale, poco zucchero, niente gelato, no alle cipolle e all'aglio, no pure all'uva.
digeriscono male anche il lattosio.
insomma, se volete fare sesso col cane fate pure, ma attenti a quello che mangia
oltre che ai dischi rigidi.
;-)
Il facepalm di Godzilla è epico!!
Ormai sto considerando la mia vecchia ferraglia "disconnessa" e poco "smart" come una sorta di Galactica
Mi chiedo quale sia esattamente il pregio di avere un hard disk wi-fi portatile, e uso uno con cavo e non mi pare vi siano particolari complicazioni visto che immagino che quello wi-fi uno se lo deba portare comunque appresso.

@rico: i pen drive oltre una certa soglia di capacità hanno un costo relativamente elevato e se uno vuole fare rapidamente il backup di grosse quantità di dati senza masterizzare dischi Blu Ray un buon hard disk USB ha costi più contenuti a parità di capacità, certo mi chiedo a cosa serva farli wi-fi visto che si presterebbero facilmente a intrusioni senza che sia necessario rubartelo fisicamente.
perche' scusa quale doveva essere la password? :D
ma un caro vecchio NAS attaccato col cavo ethernet troppo difficile da configurare?
Mi accodo alle perplessità su nutella e labrador.

Detto questo: da Seagate tutto sommato ce lo si poteva aspettare, fa dischi di m, figurarsi le feature aggiuntive

Tuttavia c'è da dire che in genere tutti i router hanno user / pass di accesso di default, usano protocolli non protetti (l'interfaccia è html, via http), non vedo grosse differenze... Anzi si: se ti hackerano il router oltre ad accedere a tutta la rete (e tutti i dischi di rete) ti sniffano tutto il traffico da / verso l'internet
@Fx

Vero. E sono facilmente disponibili su internet anche nei siti ufficiali.
Però è un fatto documentato e si possono, facilmente cambiare, introducendo diversi livelli di sicurezza.
Ma non vi sembra una stro...upidata fare un HD wireless? A meno che non sia ad energia solare o che usi un generatore RTG dovrà comunque avere un cavo di alimentazione, e dove la prendiamo la corrente? Dalla porta USB del computer magari?
A chi chiede il senso di un disco con Wi-Fi: ho aggiunto due scenari esplicativi all'articolo.

A chi critica l'esempio della Nutella perché tossica per i cani: gente, se attingete a questo blog per i vostri passatempi sessuali, siete messi davvero male :-) Comunque correggo subito.
Integro l’aggiornamento: io ne ho preso uno per consultare da iPad la libreria di foto, video e film o altri documenti. Comodo quando sono in vacanza o fuori casa.
I complottisti direbbero che :
anche moltissimi modem hanno una password riservata all' assistenza tecnica.
e una portante wi-fi nascosta denominata "guest".
altri invece sono resettabili da remoto, e in questo caso tornano alle impostazioni di fabbrica,
cioe' senza Wep o Wpa e il reset di accesso alla configurazione che torna ad essere admin.

PS ... il labrador... ahahahah 😁 Paolo me fai mori... 😁
Ma vi rendete conto che con questi HD wireless i Gigabyte di Watt di rosicario iniziano ad avere un senso? È troppo avanti questo uomo, e noi che lo prendevamo in giro...
Può essere che si tratti di un accesso root dimenticato aperto dalla fase di sviluppo?

Credo che questi dischi WiFi siano dei NAS semplificati con un loro filesystem e un loro sistema operativo che, di solito, deriva da linux.
Se hanno dimenticato il root account aperto...
"vai a una festa, piazzi il tuo disco in condivisione, meglio se in sola lettura, e lasci che tutti ne scarichino foto, film o altro"

Che, per tramortire i festaioli, le diapositive del viaggio in Patagonia ormai sono roba superata...