skip to main | skip to sidebar
16 commenti

DJ mette online senza protezioni il suo mixer su PC: indovinate che succede

Ci sono ancora tanti, troppi tecnici informatici che non hanno capito che mettere online un computer per poterlo comandare a distanza è una gran comodità, ma che non proteggerlo con una password e confidare invece nel fatto che nessuno al di fuori di lui (o lei) ne conosce l’indirizzo IP è una pessima idea. È una pessima idea perché esistono servizi automatici di ricerca, come Shodan, che esplorano sistematicamente tutti gli indirizzi IP di Internet e quando trovano un computer o un altro dispositivo accessibile lo segnalano pubblicamente. A quel punto il dispositivo è alla mercé del primo che passa.

Qualche sera fa ho trovato su Shodan un PC Windows che faceva girare Virtual DJ (un programma che fa da mixer per DJ da discoteca). Incuriosito, l’ho tenuto sotto osservazione per un po’ in un angolo del mio monitor e mi sono accorto che non solo era visibile via Internet da chiunque senza dover digitare alcuna password, ma era comandabile. Era sufficiente immettere il suo indirizzo IP in una normale applicazione per la manutenzione remota, come VNC, per vedere cosa faceva il DJ e soprattutto per interferire con il suo lavoro, spegnendogli l’applicazione, cambiandogli a casaccio i brani o andando a sfogliare le cartelle contenenti immagini e altri dati personali. Che è quello che stavano facendo in tanti, con conseguente disperazione del DJ che vedeva che il computer sembrava posseduto e pazientemente cercava di rimettere a posto le cose dopo ogni incursione.

Così ho provato ad aiutarlo: non potendo rintracciare le sue coordinate di mail o telefono senza frugare nei suoi dati personali, ho lanciato Blocco Note sul suo PC e gli ho lasciato un messaggio sullo schermo.

“Ehilà, questo è un consiglio amichevole da parte di tutti su Internet. Non dovresti lasciare un PC accessibile a chiunque tramite VNC senza una password. Chiunque può trovare l’indirizzo IP del tuo PC e pasticciarci. Buona giornata.”

Sono passate alcune ore e il computer è rimasto accessibile. Per fortuna gli altri visitatori, vedendo il mio messaggio, hanno lasciato in pace il computer: un raro momento di galateo in Rete. Ma c’era il rischio che qualcuno meno rispettoso facesse devastazioni, per cui ho insistito.

“FAI QUALCOSA”, gli ho scritto. A quel punto il DJ si è reso conto che il computer non era posseduto dal demonio (o da un driver bislacco di Windows) ma che un altro essere umano stava cercando di comunicare con lui scrivendo dentro Blocco Note e ha capito che poteva usare quest’applicazione come sistema di chat improvvisato. Ha digitato qualche lettera e l'ho incoraggiato: “Sì, possiamo chattare se vuoi”. La sua risposta: “Sistemerò domani. Al momento non posso. Per favore smetti.”

Gli scritto che io lo avrei lasciato in pace, ma che altri avrebbero potuto continuare a far danni se non decideva di mettere una password di protezione. Mi ha risposto che il computer non era il suo, era della ditta, e che queste cose doveva farle il tecnico informatico. Che, mi è venuto da pensare, sta decisamente rubando lo stipendio se è così stupido da impostare un PC per la manutenzione remota senza mettergli almeno uno straccio di password.



Abbiamo chattato ancora un po'. Mi sono presentato e lui mi ha raccontato che è un DJ in California e che le incursioni degli internauti che trovavano il suo PC incustodito gli avevano “completamente mandato a p****e la serata”. Gli ho spiegato che non ero stato io.


Pochi minuti dopo ho visto che è stata finalmente impostata una password sulla sessione di controllo remoto del PC e da quel momento il computer non è più stato accessibile. Un utente salvato, anche se in maniera un po’ brutale, ma quanti altri computer ben più delicati sono in queste stesse condizioni? A giudicare dai risultati pubblicati su Twitter, tantissimi. Ecco due esempi fra i tanti che chiunque può trovare con Shodan o altri mezzi:





Se avete computer in gestione remota via Internet, imparate dalle disavventure del DJ californiano e proteggeteli almeno con una password e con una sessione cifrata, come descritto nel manuale di VNC. Non fate l’errore di pensare che un indirizzo IP sia un segreto.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (16)
Ha ha ha! Divertente!

Fra l'altro, il dj ha anche Windows XP, che è un sistema operativo per il quale Microsoft non rilascia più aggiornamenti dal 2014. Potenziali exploit di sicurezza a go-go!
nonostante le buone intenzioni ricordati che rischi tantissimo, stai comunque accedendo in modo non autorizzato a una macchina altrui e se incontri una persona poco ragionevole rischi in aggiunta anche di essere incolpato per i danni fatti da altri.
ovviamente se lo hai fatto tramite vpn/tor o altro per cui è abbastanza improbabile risalire al tuo ip reale come non detto :)
Qualcosa mi dice che la password sarà 12345678
Le sessioni di TeamViewer sono sicure?
Come si suol dire, "la peggior falla di sicurezza di ogni sistema informatico è localizzata tra la tastiera e lo schienale della sedia".
"Che, mi è venuto da pensare, sta decisamente rubando lo stipendio se è così stupido da impostare un PC per la manutenzione remota senza mettergli almeno uno straccio di password."

Senza conoscere le circostanze questo è piuttosto ingiusto.

Di solito gli artistoidi litigano con il tecnico IT per avere accesso agevole, chè le password son troppo da ricordare, e lo pigliano per stanchezza, con l'aiuto del proprietario che si mette a strillare: "Ma che cavolo di tecnico IT sei, se non riesci ad esaudire una richiesta così semplice?"

Quando arriva la scena del salotto, il signor committente voglio tutto e pago niente si dimentica di aver detto: "E allora fallo, le probabilità che qualcuno trovi PROPRIO questo computer e ci giochi sono sufficientemente basse"

Tuttavia un tecnico che cerca di spiegare i rischi al committente, viene zittito, riceve l'ordine di tralasciare i rischi e lo esegue, non sta rubando lo stipendio.

Quando lo fa, ha già in testa l'ufficio di collocamento, comunque.
@Unknown:
Dipende, in alcuni stati degli Stati Uniti sarebbe reato e in altri no, non so quale sia la situazione esatta per la California.
In ogni caso mi sembra molto complicato che si vada a perseguire un cittadino di uno stato estero (con leggi a sua volta diverse) per un reato non federale e senza danno dimostrabile (essere incolpato per i danni fatti da altri non è proprio una possibilità).
Vista la differenza di fusi orari e l'espressione "serata rovinata", secondo me il tipo era al lavoro in qualche discoteca e diversi burloni gli hanno scombinato i pezzi in diretta :D Peccato non aver avuto una webcam per vedere la scena!

Considerando però quanto sono lesi i fruitori medi di questa... hem... "serie di rumori elettronici messi in fila secondo un certo ritmo", secondo me neanche se ne sono accorti. Anche perché sennò il DJ non sarebbe stato lì a chattare, ma sarebbe stato linciato dalla (ahimé) sempre numerosissima folla presente a questi eventi.
Vuoi dire che tu, con i tuoi trascorsi, hai resistito alla tentazione di tornare DJ per un giorno? :-D
Puffolotti,

Senza conoscere le circostanze questo è piuttosto ingiusto.

Non sono d'accordo. Qualunque informatico che riceva la richiesta di attivare una sessione VNC non cifrata e senza password dovrebbe rifiutarsi di farlo, esattamente come un venditore di motoseghe si rifiuterebbe di venderne una a un bambino. Se lo fa lo stesso, è un idiota e un irresponsabile. La scusa dello stipendio non è accettabile.

A meno che non sia così intelligente da far firmare al committente una dichiarazione nella quale il committente conferma che gli sono stati spiegati i rischi della richiesta e che nonostante la richiesta sia idiota vuole lo stesso che il tecnico la soddisfi e se ne assume pienamente la responsabilità.
A meno che non sia così intelligente da far firmare al committente una dichiarazione nella quale il committente conferma che gli sono stati spiegati i rischi della richiesta e che nonostante la richiesta sia idiota vuole lo stesso che il tecnico la soddisfi e se ne assume pienamente la responsabilità.

Infatti è quello che accade di solito, o almeno è la prassi per chi fornisce assistenza tecnica nel consorzio dove lavoro.
Penso anche che questo lo facciano un po' tutti, altrimenti chissà quanti contenziosi si aprirebbero.

Se qualche dirigente richiede qualcosa che, a parere di chi fornisce assistenza tecnica, può provocare danni, nel rapportino tecnico aggiungono proprio una postilla del genere.

Ad esempio, vuoi un wifi con password 12345678? Loro lo fanno ma ti mettono la postilla. Devo dire che è molto utile perché chi si "sogna" queste cose sono sempre i capi (o SL come direbbe qualcuno qui dentro ;-) ).
La postilla da firmare a volte li ferma (eh sì, quando devono assumersi la responsabilità di ciò che ordinano, a volte, fanno un passo indietro).

E' un peccato che io, in quanto dipendente, non posso far firmare quella postilla quando mi chiedono stron... ehm cose poco sensate le cui conseguenze (e colpe) ricadono poi su chi le esegue :-)
Anche perché se il tecnico non imposta la password e il committente subisce dei danni, indovinate un po' a chi tenterà in ogni modo di incolpare? Mi è capitata una situazione simile, anche se non faccio il tecnico: fortunatamente tutte le richieste erano arrivate via email e quindi era evidente che io avevo semplicemente fatto quanto richiesto informando il committente dei problemi che ci sarebbero stati.
E poi c'è il caso in cui un dipendente totalmente privo di qualifiche viene investito "tecnico IT" perchè si sa di lui che sa smanettare un pochettino col computer...
fortunatamente tutte le richieste erano arrivate via email e quindi era evidente che io avevo semplicemente fatto quanto richiesto informando il committente dei problemi che ci sarebbero stati.

Visto che qui ci leggono anche giovanotti che devono fare esperienza, preciso che questo è un metodo molto utile anche quando le richieste sono fatte verbalmente. Rimandare il tutto via mail con la scusa di riassumere e di chiedere un OK mette al riparo dalle rivalse ingiustificate.
Servirebbe anche con la moglie, oh se servirebbe! Ma non si può militarizzare la vita intera :-)
@Martinobri

Intervallo di Plank

è 32'516 volte il tempo che un bevitore di latte alla spina dell' IT ci mette a rendersi conto che quando la stronzata salterà fuori, chi ha dato l'ordine fingerà di non averci a che fare con tanta perizia teatrale che il cerbiattuccolo stesso dubiterà di aver sostenuto la conversazione da sveglio.

Cioè in effetti questa nozione è una delle più importanti, per fare quel mestiere.
Il tuo messaggio, mi ricorda molto il momento in cui Morpheus contatta Neo in Matrix :)

https://s-media-cache-ak0.pinimg.com/736x/52/5e/2b/525e2b059b47d71559bbbb90d08a9d6e.jpg