Credit: Dan Tentler. La centrale è questa. |
Un esempio classico di questo modo di pensare è dato dai tantissimi amministratori di sistemi informatici che usano software di controllo remoto, come VNC o TeamViewer, senza attivare la cifratura o la protezione tramite password. Tanto, secondo loro, basta che nessuno sappia qual è l'indirizzo IP del computer da comandare a distanza e la sicurezza è garantita. È l'equivalente informatico di mettere le chiavi di casa sotto lo zerbino.
Un altro esempio è dato dai responsabili della sicurezza che mettono sui computer aziendali un file Excel contenente le password degli utenti senza proteggerlo con una password, perché tanto basta che nessuno sappia dov'è e come si chiama il file.
Questo approccio poteva avere senso, forse, prima dei motori di ricerca. Ma oggi Google, Bing e gli altri motori scandagliano ogni anfratto della Rete e trovano qualunque cosa sia esposta. Per esempio, ecco come usare Google per trovare i file Excel contenenti password:
https://www.google.ch/search?q=filetype:xls+password
Davvero: basta così poco e viene fuori di tutto.
Sul versante del controllo remoto, invece, l'informatico Dan Tentler (@viss su Twitter), ha scritto un software che scandaglia tutta Internet in meno di un'ora, trova le sessioni di VNC e TeamViewer non protette da password e ne cattura le schermate. Tentler pubblica le migliori qui, e c'è da sbellicarsi e rabbrividire, perché ci si trova di tutto: sistemi di controllo e sorveglianza di abitazioni, telecamere del CERN, impianti di condizionamento industriali, a schermate di monitoraggio di centrali idroelettriche italiane.
Non è un difetto del software: è colpa degli utenti che intenzionalmente non si proteggono pensando “tanto chi vuoi che scopra questa sessione”, e questa è un'abitudine che va assolutamente abbandonata, perché oggi basta poco per scoprire questo e altro. Lo scopo di Tentler è proprio questo: sensibilizzare mostrando cosa c'è la fuori. Così, magari, i responsabili di queste falle smetteranno di comportarsi in modo così imprudente.
Nessun commento:
Posta un commento