Il penetration tester Ken Munro ha pubblicato un articolo in cui descrive l’arretratezza della security awareness per quanto riguarda le telecomunicazioni in ambito navale .
L’esperto di sicurezza paragona la situazione attuale a quella relativa ai sistemi automatici di controllo di diversi anni fa, in cui la sicurezza era pressoché assente, con l’attenuante della presenza di reti isolate e proprietarie.
La situazione descritta è allarmante e surreale: i passi effettuati sono estremamente semplici e hanno richiesto un quantitativo mimino di Open Source Intelligente (OSINT) : su Shodan , motore di ricerca per l’Internet of Things , sono disponibili numerosi riferimenti a portali di accesso di Inmarsat, privi di SSL e TLS.
Munro è riuscito ad accedere anche ai dati di un’antenna satellitare, ottenendo informazioni dal sistema Cobham Sailor 900, per il quale esiste un exploit noto che consente la remote code execution ; le credenziali di default, inoltre, sono admin - 1234 , anche se Munro non ha verificato che siano state cambiate.
Sempre attraverso Shodan sono disponibili diversi terminali CommBox prodotti da KVH Industries. Anche in questo caso SSL e TLS sono assenti; la situazione diventa imbarazzante nel momento in cui risulta possibile accedere al nome della nave, alla configurazione della rete e all’anagrafica degli utenti connessi direttamente dalla home page, senza fare login. Partendo da questi dati, Munro è riuscito facilmente a localizzare la nave e a rintracciare su Facebook uno dei marinai .
La risoluzione delle problematiche riscontrate è banale e ricade sia sui produttori che sugli utilizzatori dei software. Come prima cosa, i sistemi di comunicazione satellitari devono essere messi in sicurezza : i protocolli SSL e TLS devono essere sempre presenti; vanno poi implementate politiche per il cambiamento delle credenziali di default alla prima configurazione del dispositivo, con opportuni controlli sulla robustezza .
Elia Tufarolo
-
Una piccola lezione
Se basate la vostra sicurezza su un prodotto proprietario vi mettete in mano ad un'azienda il cui interesse è vendere qualcosa, poco importa se vada bene o meno, basta che a livello di marketing passi. Se vi basate su soluzioni FOSS vi mettete in mano ad un eterogeneo gruppo di individui il cui interesse è simile al vostro, altrimenti non svilupperebbero il progetto.Seconda lezione a corollario: cambiare hardware vuol dire cambiare oggetti fisici, cambiare software vuol dire cambiare bit. L'impatto è un pelino diverso.Per aspera ad astra, sperando in quel poco di intelligenza ancora in circolazione.Re: Una piccola lezione
- Scritto da: xte> Se basate la vostra sicurezza su un prodotto> proprietario vi mettete in mano ad un'azienda il> cui interesse è vendere qualcosa, poco importa se> vada bene o meno, basta che a livello di> marketing passi. Se vi basate su soluzioni FOSS> vi mettete in mano ad un eterogeneo gruppo di> individui il cui interesse è simile al vostro,> altrimenti non svilupperebbero il> progetto.> Scusa ma la considerazione è alquanto discutibile: quando dietro c'è una azienda non è assolutamente vero che gli basta vendere il prodotto al di là del risultato, se non sanno competere con la concorrenza falliscono e perdono soldi e posti di lavoro, non è che finisce semplicemente a tarallucci e vino. Nel FLOSS invece non c'è interesse economico e quando, per qualche motivo, inizia a scemare l'interesse o a nascere divergenze, il progetto finisce.Io non dico che uno sia meglio dell'altro, ma che le aziende non ci tengano ai loro prodotti mi sembra un po' riduttivo come discorso.Re: Una piccola lezione
- Scritto da: Marco> - Scritto da: xte> > Se basate la vostra sicurezza su un prodotto> > proprietario vi mettete in mano ad> un'azienda> il> > cui interesse è vendere qualcosa, poco> importa> se> > vada bene o meno, basta che a livello di> > marketing passi. Se vi basate su soluzioni> FOSS> > vi mettete in mano ad un eterogeneo gruppo di> > individui il cui interesse è simile al> vostro,> > altrimenti non svilupperebbero il> > progetto.> > > > Scusa ma la considerazione è alquanto> discutibile: quando dietro c'è una azienda non è> assolutamente vero che gli basta vendere il> prodotto al di là del risultato, se non sanno> competere con la concorrenza falliscono e perdono> soldi e posti di lavoro, non è che finisce> semplicemente a tarallucci e vino. Nel FLOSS> invece non c'è interesse economico e quando, per> qualche motivo, inizia a scemare l'interesse o a> nascere divergenze, il progetto> finisce.> Io non dico che uno sia meglio dell'altro, ma che> le aziende non ci tengano ai loro prodotti mi> sembra un po' riduttivo come> discorso.Se un progetto FLOSS perde di interesse vuol dire che non interessa piu' a nessuno e quindi nessuno si puo' lamentare.Se invece c'e' ancora qualcuno interessato, la natura stessa del FLOSS permette a questo qualcuno di farsi carico del mantenimento del progetto.Invece una azienda sostiene il proprio progetto CLOSED fino a quando questo rende in termini di fatturato.Nel momento in cui questo progetto non rende piu', viene immediatamente soppiantato da altri prodotti, senza dover rendere conto a nessuno.E' infinita la lista di prodotti commerciali, che sebbene ancora validi e funzionanti, sono stati dismessi per favorire nuovi prodotti piu' profittevoli per il produttore anche se meno interessanti per il cliente che avrebbe di gran lunga preferito il precedente, ma gli tocca ingoiare il rospo.Re: Una piccola lezione
- Scritto da: panda rossa> > Se un progetto FLOSS perde di interesse vuol dire> che non interessa piu' a nessuno e quindi nessuno> si puo'> lamentare.> Se invece c'e' ancora qualcuno interessato, la> natura stessa del FLOSS permette a questo> qualcuno di farsi carico del mantenimento del> progetto.Oppure ci sono progetti che perdono d'interesse perché gestiti con il XXXX, come The Gimp.> Invece una azienda sostiene il proprio progetto> CLOSED fino a quando questo rende in termini di> fatturato.> Nel momento in cui questo progetto non rende> piu', viene immediatamente soppiantato da altri> prodotti, senza dover rendere conto a> nessuno.Oppure arriva il genio di turno che dice che quel progetto non rende più buttando via anni e anni di ricerca e sviluppo.> E' infinita la lista di prodotti commerciali, che> sebbene ancora validi e funzionanti, sono stati> dismessi per favorire nuovi prodotti piu'> profittevoli per il produttore anche se meno> interessanti per il cliente che avrebbe di gran> lunga preferito il precedente, ma gli tocca> ingoiare il> rospo.Tipo?Re: Una piccola lezione
> Se un progetto FLOSS perde di interesse vuol dire> che non interessa piu' a nessuno e quindi nessuno> si puo'> lamentare.> Se invece c'e' ancora qualcuno interessato, la> natura stessa del FLOSS permette a questo> qualcuno di farsi carico del mantenimento del> progetto.> Assolutamente falso. Un progetto di medie e grandi dimensioni può essere sfruttato da decine e centinaia di persone ognuna con il suo contributo (chi in donazioni, chi in lavoro ecc), appena il numero di interessati scenderà il progetto chiuderà, una azienda normale che non sia molto grande non può certo pagarsi programmatori per il mantenimento del software. > Invece una azienda sostiene il proprio progetto> CLOSED fino a quando questo rende in termini di> fatturato.Esatto, ed è esattamente come nell'open, il progetto sta in piedi finché vi è sostenibilità> Nel momento in cui questo progetto non rende> piu', viene immediatamente soppiantato da altri> prodotti, senza dover rendere conto a> nessuno.> Come nell'open, certo.> E' infinita la lista di prodotti commerciali, che> sebbene ancora validi e funzionanti, sono stati> dismessi per favorire nuovi prodotti piu'> profittevoli per il produttore anche se meno> interessanti per il cliente che avrebbe di gran> lunga preferito il precedente, ma gli tocca> ingoiare il> rospo.E stessa cosa possiamo dire dell'open, anzi, pure peggio visto che personalmente ho visto progetti più che buoni diventare closed ed il loro fork essere appena appena sufficiente. La dimostrazione che chi ci mette i soldi ottiene prodotti migliori. Un esempio per tutti è Nessus https://it.wikipedia.org/wiki/Nessus dove, parole della fantastica enciclopedia libera e condivisa, "Nessus è attualmente considerato dall'industria della sicurezza come uno dei prodotti migliori nel suo genere", non mi risulta che openvas sia considerato allo stesso modo.Poi fanno benissimo aziende come canonical ed altre a dare supporto su prodotti open, quello mi sembra il modello di business migliore per quel tipo di progetti, ed abbiamo altrettanti casi di sucXXXXX.Io non sto facendo un bilancio tra cosa è meglio o cosa è peggio, open e closed sono solo metodi di sviluppo, personalmente in ogni scelta che faccio guardo prima qual'è la via di uscita ma di certo non scelgo per false speranze o ideologie (se non a parità di comparazione).Re: Una piccola lezione
- Scritto da: Marco> - Scritto da: xte> > Se basate la vostra sicurezza su un prodotto> > proprietario vi mettete in mano ad> un'azienda> il> > cui interesse è vendere qualcosa, poco> importa> se> > vada bene o meno, basta che a livello di> > marketing passi. Se vi basate su soluzioni> FOSS> > vi mettete in mano ad un eterogeneo gruppo di> > individui il cui interesse è simile al> vostro,> > altrimenti non svilupperebbero il> > progetto.> > > > Scusa ma la considerazione è alquanto> discutibile: quando dietro c'è una azienda non è> assolutamente vero che gli basta vendere il> prodotto al di là del risultatoEcco uno che non ha mai lavorato.Re: Una piccola lezione
Mh, se ti riferisci a me... Bé lavoro nella "silicon valley" europea... Forse qualcosa a tema informatico lo vedo. Se intendi che non ho mai fatto l'imprenditore con un'azienda creata con le mie mani ok, questo hai ragione. L'ho in programma ma non così prossimo.Re: Una piccola lezione
Pensa come esempio all'industria automobilistica: praticamente tutti i "grandi" (che poi sono anche i "soli" o quasi) han smesso di far ricerca, le uniche innovazioni sono il portare all'estremo l'assottigliamento di ogni cosa per risparmiare qualche grammo di materiale, sostituire plastica con metallo, acciaio con alluminio ecc e piccole modifiche cosmetiche alle carrozzerie. La stessa pubblicità del resto è totalmente incentrata sull'infotainment non più sui motori, sulla comodità, sulla solidità, sulle performance ecc.Il navale non è diverso: a fabbricare sistemi MF/LF e sat ci sono 4 gatti, persino sul VHF ci son poco più che quattro gatti. Addirittura molti dispositivi vengono chiamati con la marca del produttore unico che li realizza (voci tipo "il navtex" o "il furuno" sono talmente diffuse da non esser manco più considerati "marchi"). Idem nella cartografia ecc.La sostanza è che non c'è affatto "libero mercato", ci sono 4 colossi più o meno eguali e tanti acquirenti. Per questo possono permettersi di (non) far quel che (non) vogliono a tema innovazione.Re: Una piccola lezione
- Scritto da: Marco> - Scritto da: xte> > Se basate la vostra sicurezza su un prodotto> > proprietario vi mettete in mano ad> un'azienda> il> > cui interesse è vendere qualcosa, poco> importa> se> > vada bene o meno, basta che a livello di> > marketing passi. Se vi basate su soluzioni> FOSS> > vi mettete in mano ad un eterogeneo gruppo di> > individui il cui interesse è simile al> vostro,> > altrimenti non svilupperebbero il> > progetto.> > > > Scusa ma la considerazione è alquanto> discutibile: quando dietro c'è una azienda non è> assolutamente vero che gli basta vendere il> prodotto al di là del risultato, se non sanno> competere con la concorrenza fallisconoFalliscono se non vendono figliolo. Se ci hai fatto caso restano a galla soltanto le società più infami del mercato. Sai perchè? Perchè hanno un' infinità di brevetti e sono capitalizzate in borsa, con risorse pressocchè infinite da spendere in marketing. Cose del tipo: "it's magic", "your potential our passion". XXXXXXX per prendere per il XXXX i gonzi insomma. Non gliene frega un XXXXX della concorrenza, la concorrenza semplicente non esiste.> e perdono> soldi e posti di lavoro, non è che finisce> semplicemente a tarallucci e vino.Microsoft se rilascia una patch per una vulnerabilità grave, lo fa quando XXXXX gli pare, spesso mesi dopo la disclosure, in compenso gli update fracassa palle/compatibilità te li manda a profusione.Google ci marcia alla grande sul mancato supporto degli OEM (molto paracula).Apple semplicemente sXXXXXXX l' "esperienza utente" trasformandola in "esperienza laggosa" con le nuove versioni dei suoi SO.Il migliore ha la rogna.> Nel FLOSS> invece non c'è interesse economicoNon capite un XXXXX di niente. Siete senza speranza, dei mentecatti destinati a morire di ignoranza:https://fsfe.org/donate/thankgnus.en.htmlhttps://www.linuxfoundation.org/membership/AT&T, cisco, fujitsu, hitachi, huawei, ibm, intel, microXXXXXsoft, nec, oracle, qualcomm, samsung ecc... ecc...Hai capito adesso chi paga? hai capito di chi è l' interesse verso il FOSS? Se nemmeno così riuscite a capire io non posso più aiutarvi in alcun modo, avete il QI troppo basso, siete destinati a fare la parte dello scemo del villaggio nel mercato globale (aka qualcuno continuerà a fare soldi a palate sulla vostra pelle).> e quando, per> qualche motivo, inizia a scemare l'interesse o a> nascere divergenze, il progetto> finisce.Uso la stessa distro da più di 20 anni, lo stesso window manager da 15, il mio init system ha 34 anni (non avevi ancora raggiunto lo stadio di seme dentro tuo padre), il tutto regolarmente patchato. Tu non hai capito un XXXXX sei un povero innocente. Studia, informati. Caprone di montagna!> Io non dico che uno sia meglio dell'altro, ma che> le aziende non ci tengano ai loro prodotti mi> sembra un po' riduttivo come> discorso.Le aziende ci tengono ai loro profitti, i prodotti "buoni" le porterebbero sull' orlo del fallimento. Pirlotto!Re: Una piccola lezione
La tirata suo FOSS in questo articolo è completamente fuori luogo.Progettato con open hardware o no cambia poco, un bug può sempre capitare qualunque sia la metodologia utilizzata.Qui il problema è che abbiamo a che fare con un bug hardware e questo è un tipo di bug sempre difficile da sistemare con una patch.Re: Una piccola lezione
Se parliamo dell'oggi hai perfettamente ragione, se parliamo di uno sviluppo FOSS ad ogni livello hai torto. Il motivo è che molto hardware e molte scelte oggi comuni *non esisterebbero* in un mondo fatto di solo software libero.Non è un volo pindarico ma semplicemente una mera osservazione: se fai un mondo dove il software è comunitario, l'hw è disegnato da qualcuno e prodotto da altri un'elevata percentuale di dispositivi odierni non esisterebbe.Un bug è sempre possibile ma se produci per te stesso fai in modo di disegnare qualcosa che sia da te gestibile, manutenibile. Non stai producendo per vendere. Es. banali in un mondo FOSS le stampanti "stile GDI" non esisterebbero, sarebbero banali miniboard che parlano un protocollo standard, ad es. una share montabile in scrittura da tutti o con qualche autenticazione che succhia qualsiasi files digeribile da a2ps&c, non esisterebbero i softmodem, sarebbe tutto in hw. Per contro non ci sarebbero fw su mobo e dischi, sarebbe il kernel dell'OS a gestirli direttamente perché questi sarebbero costruiti secondo uno standard ecc.Queste scelte "differenti" nel tempo portano a situazioni ben differenti nei quali i bachi hw sarebbero certamente possibili ma altresì facili da correggere, o per lo meno assai più semplici e chiari. Non si può dire nulla di "provabile scientificamente" ma se osserviamo l'evoluzione dell'IT possiamo farci una certa idea.Fiorenzo
In parte sono d'accordo con xte .. anche se l'argomento della sicurezza è molto più ampio e articolato..www.annuncino.it-----------------------------------------------------------Modificato dall' autore il 17 ottobre 2017 12.25-----------------------------------------------------------Re: Fiorenzo
segnalato per spamRimuovere il chip no eh ...
Finora per i pc fissi ( quando presente sulla mobo ) la schedina tpm e' finita direttamente nel raee , per i notebook disabilitata da bios e cancellati i driver di gestione dall' OS ( per fortuna non ho ancora notebook con uefi ) ... l'unica cosa che mi dispiace e' che non ci sia una schedina da rimuovere . il tpm e' venduto come una feature ... e gli utenti se la bevono anche !per i PC non e' un problema, ma per il r
per i PC non e' un problema (o non lo usi proprio, o piazzi le upgrade di lenovo/hp/antani) , ma per il resto possono essere XXXXXhttp://news.err.ee/616732/potential-security-risk-could-affect-750-000-estonian-id-cardsIl problemozzo di questi Infineon pare "la fretta" :)Due to application-specific requirements, it is common practice to employ acceleration algorithms in order to generate key pairs, especially if time resources are sparse. Infineon also utilizes such an ACCELERATION ALGORITHM in time-restricted cases, called Fast Prime. This algorithm is software-based and not related to hardware.( rant difensivo: The foundations of Fast Prime date back to the year 2000. Its use started around ten years later after thorough reviews. As a sub-part of one cryptographic software library which is supplied to customers as a basis for their own development, this software function was certified by the BSI (Federal Office for Information Security) in Germany. No mathematical weaknesses were known, nor have been discovered during the certification processes.)the Fast Prime generate WEAK RSA keys under a specific combination of preconditions: First, the application software must utilize the Fast Prime algorithm instead of the non-accelerated version, both of which are selectable.-Second, the RSA key pairs have to be generated on a card or token which uses this algorithm. If these preconditions are met, then RSA key lengths of up to 2048 bits are considered to be significantly weakened in cryptographic strength.closed suc un affare...
'Sto closed suc sono $mijardi$ in volo dalle tasche degli utenti-contribuenti verso le tasche dei venditori di pentole.Sinonimi e contrari.
Scusate se ci tengo ancora al corretto utilizzo dell'italiano da parte di giornalisti/pubblicisti (o presunti tali), ma insicuro vuol dire incerto/indeciso e NON "carente in sicurezza".Are you sure or not sure about it?Re: Sinonimi e contrari.
- Scritto da: angeloski> Scusate se ci tengo ancora al corretto utilizzo> dell'italiano da parte di giornalisti/pubblicisti> (o presunti tali), ma insicuro vuol dire> incerto/indeciso e NON "carente in> sicurezza".> Are you sure or not sure about it?Sbagliato.http://www.garzantilinguistica.it/ricerca/?q=insicuro 1. che manca di sicurezza, di fiducia in sé stesso: è egocentrico ma anche molto insicuro | che rivela insicurezza, incertezza: una risposta insicura | malfermo, incerto: passo insicuro2. <b> che non offre affidamento, sicurezza </b> : un ponte, un rifugio insicuroRe: Sinonimi e contrari.
Grazie, aggiorno il mio db.Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commentiPubblicato il 17 ott 2017Link copiato negli appuntiTi potrebbe interessare
![Elia Tufarolo]()
Pubblicato il 17 ott 2017Link copiato negli appunti
