Roma – Il penetration tester Ken Munro ha pubblicato un articolo in cui descrive l’arretratezza della security awareness per quanto riguarda le telecomunicazioni in ambito navale .
L’esperto di sicurezza paragona la situazione attuale a quella relativa ai sistemi automatici di controllo di diversi anni fa, in cui la sicurezza era pressoché assente, con l’attenuante della presenza di reti isolate e proprietarie.
La situazione descritta è allarmante e surreale: i passi effettuati sono estremamente semplici e hanno richiesto un quantitativo mimino di Open Source Intelligente (OSINT) : su Shodan , motore di ricerca per l’Internet of Things , sono disponibili numerosi riferimenti a portali di accesso di Inmarsat, privi di SSL e TLS.
Munro è riuscito ad accedere anche ai dati di un’antenna satellitare, ottenendo informazioni dal sistema Cobham Sailor 900, per il quale esiste un exploit noto che consente la remote code execution ; le credenziali di default, inoltre, sono admin - 1234 , anche se Munro non ha verificato che siano state cambiate.
Sempre attraverso Shodan sono disponibili diversi terminali CommBox prodotti da KVH Industries. Anche in questo caso SSL e TLS sono assenti; la situazione diventa imbarazzante nel momento in cui risulta possibile accedere al nome della nave, alla configurazione della rete e all’anagrafica degli utenti connessi direttamente dalla home page, senza fare login. Partendo da questi dati, Munro è riuscito facilmente a localizzare la nave e a rintracciare su Facebook uno dei marinai .
La risoluzione delle problematiche riscontrate è banale e ricade sia sui produttori che sugli utilizzatori dei software. Come prima cosa, i sistemi di comunicazione satellitari devono essere messi in sicurezza : i protocolli SSL e TLS devono essere sempre presenti; vanno poi implementate politiche per il cambiamento delle credenziali di default alla prima configurazione del dispositivo, con opportuni controlli sulla robustezza .
Elia Tufarolo
leggi i 32 commenti
-
closed suc un affare...
'Sto closed suc sono $mijardi$ in volo dalle tasche degli utenti-contribuenti verso le tasche dei venditori di pentole. -
per i PC non e' un problema, ma per il r
per i PC non e' un problema (o non lo usi proprio, o piazzi le upgrade di lenovo/hp/antani) , ma per il resto possono essere XXXXXhttp://news.err.ee/616732/potential-security-risk-could-affect-750-000-estonian-id-cardsIl problemozzo di questi Infineon pare "la fretta" :)Due to application-specific requirements, it is common practice to employ acceleration algorithms in order to generate key pairs, especially if time resources are sparse. Infineon also utilizes such an ACCELERATION ALGORITHM in time-restricted cases, called Fast Prime. This algorithm is software-based and not related to hardware.( rant difensivo: The foundations of Fast Prime date back to the year 2000. Its use started around ten years later after thorough reviews. As a sub-part of one cryptographic software library which is supplied to customers as a basis for their own development, this software function was certified by the BSI (Federal Office for Information Security) in Germany. No mathematical weaknesses were known, nor have been discovered during the certification processes.)the Fast Prime generate WEAK RSA keys under a specific combination of preconditions: First, the application software must utilize the Fast Prime algorithm instead of the non-accelerated version, both of which are selectable.-Second, the RSA key pairs have to be generated on a card or token which uses this algorithm. If these preconditions are met, then RSA key lengths of up to 2048 bits are considered to be significantly weakened in cryptographic strength. -
Rimuovere il chip no eh ...
Finora per i pc fissi ( quando presente sulla mobo ) la schedina tpm e' finita direttamente nel raee , per i notebook disabilitata da bios e cancellati i driver di gestione dall' OS ( per fortuna non ho ancora notebook con uefi ) ... l'unica cosa che mi dispiace e' che non ci sia una schedina da rimuovere . il tpm e' venduto come una feature ... e gli utenti se la bevono anche ! -
Fiorenzo
In parte sono d'accordo con xte .. anche se l'argomento della sicurezza è molto più ampio e articolato..www.annuncino.it-----------------------------------------------------------Modificato dall' autore il 17 ottobre 2017 12.25------------------------------------------------------------
Re: Fiorenzo
segnalato per spam
-
-
Una piccola lezione
Se basate la vostra sicurezza su un prodotto proprietario vi mettete in mano ad un'azienda il cui interesse è vendere qualcosa, poco importa se vada bene o meno, basta che a livello di marketing passi. Se vi basate su soluzioni FOSS vi mettete in mano ad un eterogeneo gruppo di individui il cui interesse è simile al vostro, altrimenti non svilupperebbero il progetto.Seconda lezione a corollario: cambiare hardware vuol dire cambiare oggetti fisici, cambiare software vuol dire cambiare bit. L'impatto è un pelino diverso.Per aspera ad astra, sperando in quel poco di intelligenza ancora in circolazione.-
Re: Una piccola lezione
- Scritto da: xte
Se basate la vostra sicurezza su un prodotto
proprietario vi mettete in mano ad un'azienda il
cui interesse è vendere qualcosa, poco importa se
vada bene o meno, basta che a livello di
marketing passi. Se vi basate su soluzioni FOSS
vi mettete in mano ad un eterogeneo gruppo di
individui il cui interesse è simile al vostro,
altrimenti non svilupperebbero il
progetto.
Scusa ma la considerazione è alquanto discutibile: quando dietro c'è una azienda non è assolutamente vero che gli basta vendere il prodotto al di là del risultato, se non sanno competere con la concorrenza falliscono e perdono soldi e posti di lavoro, non è che finisce semplicemente a tarallucci e vino. Nel FLOSS invece non c'è interesse economico e quando, per qualche motivo, inizia a scemare l'interesse o a nascere divergenze, il progetto finisce.Io non dico che uno sia meglio dell'altro, ma che le aziende non ci tengano ai loro prodotti mi sembra un po' riduttivo come discorso.-
Re: Una piccola lezione
- Scritto da: Marco
- Scritto da: xte
Se basate la vostra sicurezza su un prodotto
proprietario vi mettete in mano ad
un'azienda
il
cui interesse è vendere qualcosa, poco
importa
se
vada bene o meno, basta che a livello di
marketing passi. Se vi basate su soluzioni
FOSS
vi mettete in mano ad un eterogeneo gruppo di
individui il cui interesse è simile al
vostro,
altrimenti non svilupperebbero il
progetto.
Scusa ma la considerazione è alquanto
discutibile: quando dietro c'è una azienda non è
assolutamente vero che gli basta vendere il
prodotto al di là del risultatoEcco uno che non ha mai lavorato.-
Re: Una piccola lezione
Mh, se ti riferisci a me... Bé lavoro nella "silicon valley" europea... Forse qualcosa a tema informatico lo vedo. Se intendi che non ho mai fatto l'imprenditore con un'azienda creata con le mie mani ok, questo hai ragione. L'ho in programma ma non così prossimo.-
Re: Una piccola lezione
- Scritto da: xte
Mh, se ti riferisci a me... Bé lavoro nella
"silicon valley" europea... Forse qualcosa a tema
informatico lo vedo. Se intendi che non ho mai
fatto l'imprenditore con un'azienda creata con le
mie mani ok, questo hai ragione. L'ho in
programma ma non così
prossimoNo, mi riferivo a Marco e alla sua affermazione che la priorità delle aziende non sarebbe (quasi) esclusivamente quella del profitto e se si può avere quello trascurando la qualità non lo farebbero. Ti posso assicurare che vent'anni nel settore mi hanno assolutamente convinto che un'azienda messa di fronte al scegliere se aggiungere una feature che non conta un XXXXX ma fa "hype" e sistemare un problema, sceglie SENZA DUBBIO la prima ipotesi. -
Re: Una piccola lezione
+1 purtroppo tanti pensano che ogni azienda viva nel "libero mercato" teorico non nel mercato "incatenato" odierno...Ci sono persino gli entusiasti di Amazon (su cui compro con soddisfazione eh) o di Uber, AirBnB &c che non si rendono conto di come il vivere dentro piattaforme private significa essere schiavi della piattaforma perché si gioca alle *sue* regole, sotto il solo ombrello di stati sempre meno potenti e sempre più sottomessi ai mega-colossi della finanza che a loro volta possiedono i mega-colossi delle varie "piattaforme". Un tempo si considerava un monopolio l'industria automobilistica, c'eran persino le famose statistiche che l'operaio Renault (ovvero pubblico) viveva un anno in più in media dell'operaio Peugeot (ovvero privato) e le più importanti innovazioni erano originate dal pubblico, il privato creava estetica e cose "minori" ma difficilmente innovazioni "pesanti". Oggi la situazione non è troppo cambiata, è solo fortemente aumentata a livello di monopolio, passando dall'industria dove per lo meno il bene fisico lo devi produrre, devi investire in stabilimenti di produzione, creare reti fisiche di acquisto materie prime & semilavorati e di vendita dei tuoi prodotti ecc. alle piattaforme che devono pur investire ma assai meno in meri data-centers che per loro natura possono svolgere quasi ogni compito informatico e quindi con un rischio d'impresa enormemente più basso di uno stabilimento che produce auto o di un albergo. E il loro guadagno in buona parte non proviene dalla vendita di un prodotto ma solo come "percentuale" dal lavoro altrui (dal cliente Amazon a cliente&offritore di AirBnB, JustEat, Uber ecc) trasferendo lavoro e rischio in mano terze in cambio di una *bassa* percentuale del profitto. In pratica siamo al modello bancario con "la piattaforma" che è "l'istituto bancario" che "vendendo" moneta "virtuale" guadagna sul resto del mondo con poca fatica e raggiunte dimensioni enormi diventa di fatto un monopolio. -
Re: Una piccola lezione
Quando uscì quello schifo di Vista sai cos'era la "novità" di cui si parlava di più? AERO. Una cosa totalmente inutile ed anzi dannosa visto che appesantiva solo il sistema senza offrire nulla di pratico in funzionalità. La diffusione capillare del computer anche fra chi ridendo si vanta "di non capire niente di computer" unita a un marketing XXXXXXXXX mirato agli XXXXXXXXX ha portato l'industria informatica a focalizzarsi per il 90% sulla fuffa.
-
-
-
Re: Una piccola lezione
Pensa come esempio all'industria automobilistica: praticamente tutti i "grandi" (che poi sono anche i "soli" o quasi) han smesso di far ricerca, le uniche innovazioni sono il portare all'estremo l'assottigliamento di ogni cosa per risparmiare qualche grammo di materiale, sostituire plastica con metallo, acciaio con alluminio ecc e piccole modifiche cosmetiche alle carrozzerie. La stessa pubblicità del resto è totalmente incentrata sull'infotainment non più sui motori, sulla comodità, sulla solidità, sulle performance ecc.Il navale non è diverso: a fabbricare sistemi MF/LF e sat ci sono 4 gatti, persino sul VHF ci son poco più che quattro gatti. Addirittura molti dispositivi vengono chiamati con la marca del produttore unico che li realizza (voci tipo "il navtex" o "il furuno" sono talmente diffuse da non esser manco più considerati "marchi"). Idem nella cartografia ecc.La sostanza è che non c'è affatto "libero mercato", ci sono 4 colossi più o meno eguali e tanti acquirenti. Per questo possono permettersi di (non) far quel che (non) vogliono a tema innovazione. -
Re: Una piccola lezione
- Scritto da: Marco
- Scritto da: xte
Se basate la vostra sicurezza su un prodotto
proprietario vi mettete in mano ad
un'azienda
il
cui interesse è vendere qualcosa, poco
importa
se
vada bene o meno, basta che a livello di
marketing passi. Se vi basate su soluzioni
FOSS
vi mettete in mano ad un eterogeneo gruppo di
individui il cui interesse è simile al
vostro,
altrimenti non svilupperebbero il
progetto.
Scusa ma la considerazione è alquanto
discutibile: quando dietro c'è una azienda non è
assolutamente vero che gli basta vendere il
prodotto al di là del risultato, se non sanno
competere con la concorrenza fallisconoFalliscono se non vendono figliolo. Se ci hai fatto caso restano a galla soltanto le società più infami del mercato. Sai perchè? Perchè hanno un' infinità di brevetti e sono capitalizzate in borsa, con risorse pressocchè infinite da spendere in marketing. Cose del tipo: "it's magic", "your potential our passion". XXXXXXX per prendere per il XXXX i gonzi insomma. Non gliene frega un XXXXX della concorrenza, la concorrenza semplicente non esiste.
e perdono
soldi e posti di lavoro, non è che finisce
semplicemente a tarallucci e vino.Microsoft se rilascia una patch per una vulnerabilità grave, lo fa quando XXXXX gli pare, spesso mesi dopo la disclosure, in compenso gli update fracassa palle/compatibilità te li manda a profusione.Google ci marcia alla grande sul mancato supporto degli OEM (molto paracula).Apple semplicemente sXXXXXXX l' "esperienza utente" trasformandola in "esperienza laggosa" con le nuove versioni dei suoi SO.Il migliore ha la rogna.
Nel FLOSS
invece non c'è interesse economicoNon capite un XXXXX di niente. Siete senza speranza, dei mentecatti destinati a morire di ignoranza:https://fsfe.org/donate/thankgnus.en.htmlhttps://www.linuxfoundation.org/membership/AT&T, cisco, fujitsu, hitachi, huawei, ibm, intel, microXXXXXsoft, nec, oracle, qualcomm, samsung ecc... ecc...Hai capito adesso chi paga? hai capito di chi è l' interesse verso il FOSS? Se nemmeno così riuscite a capire io non posso più aiutarvi in alcun modo, avete il QI troppo basso, siete destinati a fare la parte dello scemo del villaggio nel mercato globale (aka qualcuno continuerà a fare soldi a palate sulla vostra pelle).
e quando, per
qualche motivo, inizia a scemare l'interesse o a
nascere divergenze, il progetto
finisce.Uso la stessa distro da più di 20 anni, lo stesso window manager da 15, il mio init system ha 34 anni (non avevi ancora raggiunto lo stadio di seme dentro tuo padre), il tutto regolarmente patchato. Tu non hai capito un XXXXX sei un povero innocente. Studia, informati. Caprone di montagna!
Io non dico che uno sia meglio dell'altro, ma che
le aziende non ci tengano ai loro prodotti mi
sembra un po' riduttivo come
discorso.Le aziende ci tengono ai loro profitti, i prodotti "buoni" le porterebbero sull' orlo del fallimento. Pirlotto!
-
-
Re: Una piccola lezione
La tirata suo FOSS in questo articolo è completamente fuori luogo.Progettato con open hardware o no cambia poco, un bug può sempre capitare qualunque sia la metodologia utilizzata.Qui il problema è che abbiamo a che fare con un bug hardware e questo è un tipo di bug sempre difficile da sistemare con una patch.-
Re: Una piccola lezione
Se parliamo dell'oggi hai perfettamente ragione, se parliamo di uno sviluppo FOSS ad ogni livello hai torto. Il motivo è che molto hardware e molte scelte oggi comuni *non esisterebbero* in un mondo fatto di solo software libero.Non è un volo pindarico ma semplicemente una mera osservazione: se fai un mondo dove il software è comunitario, l'hw è disegnato da qualcuno e prodotto da altri un'elevata percentuale di dispositivi odierni non esisterebbe.Un bug è sempre possibile ma se produci per te stesso fai in modo di disegnare qualcosa che sia da te gestibile, manutenibile. Non stai producendo per vendere. Es. banali in un mondo FOSS le stampanti "stile GDI" non esisterebbero, sarebbero banali miniboard che parlano un protocollo standard, ad es. una share montabile in scrittura da tutti o con qualche autenticazione che succhia qualsiasi files digeribile da a2ps&c, non esisterebbero i softmodem, sarebbe tutto in hw. Per contro non ci sarebbero fw su mobo e dischi, sarebbe il kernel dell'OS a gestirli direttamente perché questi sarebbero costruiti secondo uno standard ecc.Queste scelte "differenti" nel tempo portano a situazioni ben differenti nei quali i bachi hw sarebbero certamente possibili ma altresì facili da correggere, o per lo meno assai più semplici e chiari. Non si può dire nulla di "provabile scientificamente" ma se osserviamo l'evoluzione dell'IT possiamo farci una certa idea.
-
-
