Cerca nel blog

2015/09/07

Dischi rigidi wireless Seagate hanno accesso nascosto. Account: root, password: root

Facepalm formato Godzilla meritatissimo.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “giampi*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2015/09/08 11:00.

Non ci posso credere. Seagate, notissima marca di dischi rigidi, ha messo in vendita dei dischi accessibili via Wi-Fi lasciando nel firmware un accesso nascosto (raggiungibile via riga di comando con telnet) che permette a chiunque di leggere e scrivere sul disco stesso. Basta sapere il nome dell'account, che è un prevedibilissimo root, e indovinare la password di quest'account, che è ancor più prevedibilmente root.

I modelli contenenti questa simpatica funzione non documentata sono i Seagate Wireless Plus Mobile Storage, i Seagate Wireless Mobile Storage e i LaCie FUEL. La segnalazione proviene dal CERT.

Come se non bastasse questa falla, questi stessi dispositivi hanno altre due falle che permettono a chiunque di scaricare e, rispettivamente, caricare file di qualunque tipo via Wi-Fi.

Immaginate quindi chi compra questo genere di disco rigido pensando che sia un modo pratico per avere qualche cavo in meno in giro e poi scopre che chiunque può scaricarne il contenuto e può anche alterarlo, per esempio mettendovi versioni infette di applicazioni e copie taroccate di documenti oppure iniettandovi file compromettenti (“Caro, aspetta, posso spiegarti tutto, quel video con il burro di arachidi e il labrador me l'ha messo sul disco un hacker via Wi-Fi”).

Seagate ha pubblicato un firmware aggiornato, ma resta da vedere quanti clienti ne verranno informati e rimedieranno. Forse questa foga modaiola di eliminare i cavi (il cosiddetto cord-cutting) in favore delle connessioni senza fili andrebbe ragionata un attimo.


Aggiornamento (2015/09/08): Rispondo qui ai molti commenti che chiedono che senso abbia un disco rigido Wi-Fi, dato che comunque ha bisogno di almeno un cavo (l'alimentazione). Per esempio, ha senso se devo condividere lo stesso disco fra più utenti, specialmente in modo estemporaneo (vai a una festa, piazzi il tuo disco in condivisione, meglio se in sola lettura, e lasci che tutti ne scarichino foto, film o altro), oppure se il disco ha un filesystem non gestito dal dispositivo che vi vorrebbe accedere (un Mac che vuole scrivere su un disco NTFS, per citare un caso ricorrente).

20 commenti:

Guido Baccarini ha detto...

Dalla Seagate non me lo aspettavo. Posso supporre che sia un'atroce backdoor non documentata di uno sviluppatore che si è dimenticato di rimuoverla (magari è stato licenziato prima che potesse farlo e ha pensato bene di vendicarsi... così), sono comunque tutti segnali preoccupanti di una tendenza in crescita: tanto vale cominciare a togliere le serrature dalle porte di casa, così almeno non ti forzano la porta per entrare...

PS: nutella e labrador??? Paolo, ma....?

rico ha detto...

Ho una stampante wi-fi, eppure stampo ogni volta col cavetto collegato al PC, dicendomi che dovrei configurarla.
Ma anche no... ;-)
E per fortuna faccio a meno degli HDD esterni: le pendrive costano un pò di più, ma sono pratiche, leggere, veloci e non trasmettono nulla via wi-fi. Basta formattarle prima di usarle (almeno spero che basti).

max ha detto...

Lentamente ma non tanto, stiamo arrivando ad un controllo completo da parte di terzi a tutta la nostra vita. Probabilmente è la leggerezza con cui proteggiamo le nostre informazioni personali.
A partire da fb, dove alcuni pubblicano anche quando vanno al gabinetto, fino a coloro che danno in pasto tutta una serie di dati personali. Anche i vari siti che chiedono di accettare i vari cookies fino alle condivisioni automatiche di posizione S.O. e IP... Il buon vecchio "Big Brother" si è già istallato a casa nostra.

harlequin ha detto...

"Facepalm formato Godzilla meritatissimo!"
ahahahahahahahha

ps. Nutella e labrador? Per quanto mi sforzi davvero non ci arrivo!

Figura Quattro ha detto...

Nutella e labrador è epica. Ma in quest'ordine preciso? O si accettano varianti?

bastian contrario ha detto...

nutella e labrador non vanno d'accordo, il cacao è tossico per i cani.
non vanno bene nemmeno le uova crude (quindi la maionese), l'alcol e i pomodori.
poco sale, poco zucchero, niente gelato, no alle cipolle e all'aglio, no pure all'uva.
digeriscono male anche il lattosio.
insomma, se volete fare sesso col cane fate pure, ma attenti a quello che mangia
oltre che ai dischi rigidi.
;-)

Andrea F ha detto...

Il facepalm di Godzilla è epico!!

Sue Flora May ha detto...

Ormai sto considerando la mia vecchia ferraglia "disconnessa" e poco "smart" come una sorta di Galactica

Det. Bullock ha detto...

Mi chiedo quale sia esattamente il pregio di avere un hard disk wi-fi portatile, e uso uno con cavo e non mi pare vi siano particolari complicazioni visto che immagino che quello wi-fi uno se lo deba portare comunque appresso.

@rico: i pen drive oltre una certa soglia di capacità hanno un costo relativamente elevato e se uno vuole fare rapidamente il backup di grosse quantità di dati senza masterizzare dischi Blu Ray un buon hard disk USB ha costi più contenuti a parità di capacità, certo mi chiedo a cosa serva farli wi-fi visto che si presterebbero facilmente a intrusioni senza che sia necessario rubartelo fisicamente.

Guido Pisano ha detto...

perche' scusa quale doveva essere la password? :D

Guido Pisano ha detto...

ma un caro vecchio NAS attaccato col cavo ethernet troppo difficile da configurare?

Fx ha detto...

Mi accodo alle perplessità su nutella e labrador.

Detto questo: da Seagate tutto sommato ce lo si poteva aspettare, fa dischi di m, figurarsi le feature aggiuntive

Tuttavia c'è da dire che in genere tutti i router hanno user / pass di accesso di default, usano protocolli non protetti (l'interfaccia è html, via http), non vedo grosse differenze... Anzi si: se ti hackerano il router oltre ad accedere a tutta la rete (e tutti i dischi di rete) ti sniffano tutto il traffico da / verso l'internet

Crazy ha detto...

@Fx

Vero. E sono facilmente disponibili su internet anche nei siti ufficiali.
Però è un fatto documentato e si possono, facilmente cambiare, introducendo diversi livelli di sicurezza.

Stefano Benamati ha detto...

Ma non vi sembra una stro...upidata fare un HD wireless? A meno che non sia ad energia solare o che usi un generatore RTG dovrà comunque avere un cavo di alimentazione, e dove la prendiamo la corrente? Dalla porta USB del computer magari?

Paolo Attivissimo ha detto...

A chi chiede il senso di un disco con Wi-Fi: ho aggiunto due scenari esplicativi all'articolo.

A chi critica l'esempio della Nutella perché tossica per i cani: gente, se attingete a questo blog per i vostri passatempi sessuali, siete messi davvero male :-) Comunque correggo subito.

Teo_ ha detto...

Integro l’aggiornamento: io ne ho preso uno per consultare da iPad la libreria di foto, video e film o altri documenti. Comodo quando sono in vacanza o fuori casa.

Anonimo ha detto...

I complottisti direbbero che :
anche moltissimi modem hanno una password riservata all' assistenza tecnica.
e una portante wi-fi nascosta denominata "guest".
altri invece sono resettabili da remoto, e in questo caso tornano alle impostazioni di fabbrica,
cioe' senza Wep o Wpa e il reset di accesso alla configurazione che torna ad essere admin.

PS ... il labrador... ahahahah 😁 Paolo me fai mori... 😁

Stefano Benamati ha detto...

Ma vi rendete conto che con questi HD wireless i Gigabyte di Watt di rosicario iniziano ad avere un senso? È troppo avanti questo uomo, e noi che lo prendevamo in giro...

Guastulfo (Giuseppe) ha detto...

Può essere che si tratti di un accesso root dimenticato aperto dalla fase di sviluppo?

Credo che questi dischi WiFi siano dei NAS semplificati con un loro filesystem e un loro sistema operativo che, di solito, deriva da linux.
Se hanno dimenticato il root account aperto...

CimPy ha detto...

"vai a una festa, piazzi il tuo disco in condivisione, meglio se in sola lettura, e lasci che tutti ne scarichino foto, film o altro"

Che, per tramortire i festaioli, le diapositive del viaggio in Patagonia ormai sono roba superata...