Roma – C’è un buco di sicurezza grosso come una casa che si traduce in un notevole rischio per gli utenti ADSL italiani, molti dei quali utilizzano il prodotto fallato perché distribuito dai maggiori operatori TLC italiani. Questa la tesi di ALCEI , l’Associazione per la libertà nella comunicazione elettronica interattiva.
In una lettera inviata al Garante per la privacy, ALCEI sostiene che un buco nei router ADSL Telindus serie 11xx permette di acquisire senza nessuna dote particolare di “cracking” le password di accesso ai router della famiglia.
ALCEI si riferisce al buco di cui parla TigerTeam secondo cui il problema è grave perché di fatto consente di accedere al router, e dunque ai dati che vi passano, senza bisogno di conoscere la password di accesso al programma di gestione del router stesso.
“Il programma – spiega TigerTeam – cerca di scoprire i router presenti nella LAN attraverso un broadcast UDP. Successivamente viene spedito un pacchetto UDP unicast alle macchine che hanno risposto al broadcast: in risposta a tale richiesta il router replica con un pacchetto UDP che contiene, fra gli altri il numero di revisione del software, il nome del router e la password. Tutte le informazioni passano in chiaro sulla porta UDP 9833. E` possibile sfruttare questo comportamento in mille modi: su una LAN e` sufficiente scaricarsi lo strumento di amministrazione e sniffare il traffico. Su una WAN e` invece necessario (e sufficiente) forgiare un pacchetto che faccia la query al router”.
Nella lettera al Garante, ALCEI spiega come questo consenta di bloccare “il funzionamento dell’apparato rendendo inaccessibili i servizi e, in alcuni casi, accedere alla rete interna dell’utente. Il che consentirebbe di intercettarne la posta elettronica e, più in generale, le informazioni che ivi sono contenute. Ovviamente il tutto all’insaputa dell’utente”.
Secondo ALCEI, i router Telindus vengono utilizzati e distribuiti dai maggiori operatori di telefonia e di connettività e, dunque, potrebbero rivelarsi in questo caso una via d’accesso ai sistemi di moltissimi utenti.
“Ci chiediamo – e le chiediamo – domanda ALCEI al Garante – come sia possibile che vengano immessi sul mercato apparati affetti da simili vulnerabilità per la privacy dei cittadini e per l’attività delle imprese, senza alcun controllo, senza alcuna informazione o cautela, senza assunzione di responsabilità da parte di produttori e distributori e senza alcuna protezione per gli indifesi (e ignari) utenti”.
C’è da dire che qualora il Garante decidesse di intervenire in questo caso di rischio per la privacy degli utenti dovuto ad un problema di gestione di un router, si creerebbe un importante precedente anche per l’intervento del Garante nella vasta schiera dei software che non offrono garanzie e tutele alla privacy di chi li utilizza.
Ti potrebbe interessare
