Roma – La Internet delle Cose è piena di produttori affetti da pigrizia cronica, al punto da riutilizzare chiavi e certificati crittografici per proteggere comunicazioni che alla fine non risultano affatto sicure. Questo almeno è quanto sostiene Stefan Viehböck, Senior Security Consultant di SEC Consult che assieme ai colleghi di CERT/CC, dell’Università del Michigan e di Rapid7 ha scandagliato la rete alla ricerca di dispositivi potenzialmente vulnerabili.
La ricerca di Viehbock ha preso in considerazione le immagini dei firmware di più di 4.000 dispositivi embedded di 70 produttori diversi, sistemi pensati per i più vari utilizzi ma comunque connessi (e accessibili) a Internet inclusivi di router, IP camera, telefoni VoIP, modem e altri ancora.
Per 50 dei produttori testati, i ricercatori hanno scoperto che i dispositivi interconnessi condividono gli stessi certificati X.509 (per le comunicazioni HTTPS) e le stesse chiavi crittografiche per l’autenticazione sulle shell remote SSH, una vulnerabilità che pone le basi per potenziali attacchi di tipo man-in-the-middle (MITM), compromissione delle comunicazioni Web cifrate, sorveglianza attiva e passiva e via elencando.
In totale, il numero di dispositivi embedded vulnerabili presenti in rete ammontano a circa mezzo milione, avvertono i ricercatori : la possibilità di individuare e connettersi ai dispositivi via Internet li rende facile preda di cyber-criminali o intelligence “ostili” (in caso di minacce APT), mentre tra le aziende coinvolte nel fatto val la pena citare nomi ben noti come Cisco, General Electric, ZyXEL, ZTE, Vodafone, Western Digital, Netgear, Huawei.
Come difendersi dalla minaccia delle chiavi crittografiche “universali”? Gli utenti possono ben poco, visto che sostituire i certificati X.509 o le chiavi SSH di prodotti e servizi commerciali è un’opzione difficilmente proponibile; più accessibile è la disabilitazione di connessioni non provenienti da host fidati, mentre per quanto riguarda i produttori c’è chi ha comunicato l’intenzione di voler aggiornare i dispositivi coinvolti e di fornire assistenza ai clienti.
Alfonso Maruccia
-
E questo Jakub chi cappero sarebbe?
Possibile che a far notizia sono sempre dei perfetti sconosciuti? Svegliatemi quando sarà qualcuno di importante ad "abiurare", che me ne frega di un signor nessuno. -
Si potrebbe riempire la pagina
Si potrebbe riempire la pagina dei commenti di link pirata per vedere l'effetto che fa :-) -
noi siamo legione
per un bocciolo reciso, ne sbocciano altri due.-
Re: noi siamo legione
... Hail HYDRA?
-
-
evviva l'intelligence ovvero i miracoli
Ve lo ricordate "my name is cocciolone"?a me fa la stessa impressione.P.S.Qualcuno avvisi Renzi Hollande e compagmia cantante che gli conviene sostituire l'intelligence con la BSA.A quanto pare a trovare "colpevoli" ci mettono grande impegno....che gli facciano cercare gli attentatori di parigi... -
tie
Finche al mondo pochi milioni di persone fanno la bella vita sulla pelle e sulle fatiche di miliardi di altre persone, la pirateria non solo è moralmente accettabile, ma auspicabile. -
Precedenti...
"Eppur si muove..."-
Re: Precedenti...
- Scritto da: Hisashi
"Eppur si muove..."Aggiorniamo: "Eppur si scarica..."-
Re: Precedenti...
- Scritto da: Forza Galileo
- Scritto da: Hisashi
"Eppur si muove..."
Aggiorniamo: "Eppur si scarica..."e continuerà a muoversi e a scaricarsi
-
-
-
Tanto piacere
Be e normale che il tizio ha acconsentito ad apparire nel video, tanto lui non lo vede è ceco.(rotfl)-
Re: Tanto piacere
Ma io avrei acconsentito solo ed esclusivamente ad una diretta-streaming.Sulla promessia ovviamente di dire quello che volevano loro, dove poi in realtà mi sarei sbizzarrito a dire che non bisogna cedere ai ricatti e spiegare di essere stato vittima di un'ingiustizia.-
Re: Tanto piacere
- Scritto da: un cieco qualsiasi
Ma io avrei acconsentito solo ed esclusivamente
ad una diretta-streaming.
Sulla promessia ovviamente di dire quello che
volevano loro, dove poi in realtà mi sarei
sbizzarrito a dire che non bisogna cedere ai
ricatti e spiegare di essere stato vittima di
un'ingiustizia.Beh, se ti puzzano 210mila euro. -
Re: Tanto piacere
Eh, è facile parlare, al sicuro, a casa dietro la tastiera.Secondo me, al posto suo, moriresti di paura. Acconsentiresti a qualunque cosa.Tutti così, gli smargiassi del web... Come Anonymous. Appena li arrestano, cantano come fringuelli. Denunciano tutti i loro "amici" per salvarsi.Ecco perchè non ci sarà nessuna rivoluzione.Mai.-
Re: Tanto piacere
- Scritto da: Get Real
Eh, è facile parlare, al sicuro, a casa dietro la
tastiera.
Secondo me, al posto suo, moriresti di paura.
Acconsentiresti a qualunque cosa.
Tutti così, gli smargiassi del web... Come
Anonymous. Appena li arrestano, cantano come
fringuelli. Denunciano tutti i loro "amici" per
salvarsi.1) regola: una cellula non deve conoscere nulla delle altre cellule, giusto un nick in una chat anonimizzata.
-
-
-
Re: Tanto piacere
- Scritto da: povero me
Be e normale che il tizio ha acconsentito ad
apparire nel video, tanto lui non lo vede è
ceco.(rotfl)[img]http://firstrealize.files.wordpress.com/2013/10/fake-smile2.jpg[/img] -
Re: Tanto piacere
- Scritto da: povero me
Be e normale che il tizio ha acconsentito ad
apparire nel video, tanto lui non lo vede è
ceco.(rotfl)E soprattutto non paga :DComunq abbiam superato le 400.000 visualizzazioni, a posto... Non guardatelo più che non diamo altri soldi alle agenzie.Ora quant'è per DotCom ? Un milione di visualizzazioni possono bastare ? Ditecelo che costa niente mandare in play un filmato e poi buttarlo in background senza volume.
-
