La Internet delle Cose è piena di produttori affetti da pigrizia cronica, al punto da riutilizzare chiavi e certificati crittografici per proteggere comunicazioni che alla fine non risultano affatto sicure. Questo almeno è quanto sostiene Stefan Viehböck, Senior Security Consultant di SEC Consult che assieme ai colleghi di CERT/CC, dell’Università del Michigan e di Rapid7 ha scandagliato la rete alla ricerca di dispositivi potenzialmente vulnerabili.
La ricerca di Viehbock ha preso in considerazione le immagini dei firmware di più di 4.000 dispositivi embedded di 70 produttori diversi, sistemi pensati per i più vari utilizzi ma comunque connessi (e accessibili) a Internet inclusivi di router, IP camera, telefoni VoIP, modem e altri ancora.
Per 50 dei produttori testati, i ricercatori hanno scoperto che i dispositivi interconnessi condividono gli stessi certificati X.509 (per le comunicazioni HTTPS) e le stesse chiavi crittografiche per l’autenticazione sulle shell remote SSH, una vulnerabilità che pone le basi per potenziali attacchi di tipo man-in-the-middle (MITM), compromissione delle comunicazioni Web cifrate, sorveglianza attiva e passiva e via elencando.
In totale, il numero di dispositivi embedded vulnerabili presenti in rete ammontano a circa mezzo milione, avvertono i ricercatori : la possibilità di individuare e connettersi ai dispositivi via Internet li rende facile preda di cyber-criminali o intelligence “ostili” (in caso di minacce APT), mentre tra le aziende coinvolte nel fatto val la pena citare nomi ben noti come Cisco, General Electric, ZyXEL, ZTE, Vodafone, Western Digital, Netgear, Huawei.
Come difendersi dalla minaccia delle chiavi crittografiche “universali”? Gli utenti possono ben poco, visto che sostituire i certificati X.509 o le chiavi SSH di prodotti e servizi commerciali è un’opzione difficilmente proponibile; più accessibile è la disabilitazione di connessioni non provenienti da host fidati, mentre per quanto riguarda i produttori c’è chi ha comunicato l’intenzione di voler aggiornare i dispositivi coinvolti e di fornire assistenza ai clienti.
Alfonso Maruccia
-
Tanto piacere
Be e normale che il tizio ha acconsentito ad apparire nel video, tanto lui non lo vede è ceco.(rotfl)povero meRe: Tanto piacere
Ma io avrei acconsentito solo ed esclusivamente ad una diretta-streaming.Sulla promessia ovviamente di dire quello che volevano loro, dove poi in realtà mi sarei sbizzarrito a dire che non bisogna cedere ai ricatti e spiegare di essere stato vittima di un'ingiustizia.un cieco qualsiasiRe: Tanto piacere
- Scritto da: un cieco qualsiasi> Ma io avrei acconsentito solo ed esclusivamente> ad una diretta-streaming.> Sulla promessia ovviamente di dire quello che> volevano loro, dove poi in realtà mi sarei> sbizzarrito a dire che non bisogna cedere ai> ricatti e spiegare di essere stato vittima di> un'ingiustizia.Beh, se ti puzzano 210mila euro.PassanteRe: Tanto piacere
Eh, è facile parlare, al sicuro, a casa dietro la tastiera.Secondo me, al posto suo, moriresti di paura. Acconsentiresti a qualunque cosa.Tutti così, gli smargiassi del web... Come Anonymous. Appena li arrestano, cantano come fringuelli. Denunciano tutti i loro "amici" per salvarsi.Ecco perchè non ci sarà nessuna rivoluzione.Mai.Get RealRe: Tanto piacere
- Scritto da: Get Real> Eh, è facile parlare, al sicuro, a casa dietro la> tastiera. > Secondo me, al posto suo, moriresti di paura.> Acconsentiresti a qualunque cosa.> Tutti così, gli smargiassi del web... Come> Anonymous. Appena li arrestano, cantano come> fringuelli. Denunciano tutti i loro "amici" per> salvarsi.1) regola: una cellula non deve conoscere nulla delle altre cellule, giusto un nick in una chat anonimizzata.PassanteRe: Tanto piacere
- Scritto da: Get Real> Eh, è facile parlare, al sicuro, a casa dietro la> tastiera.> > Secondo me, al posto suo, moriresti di paura.Paura di che?Hanno solo da provarci a torcere un capello che c'e' una fila di avvocati fuori dalla porta pronti a intentare una causa.> Acconsentiresti a qualunque> cosa.A differenza tua, molta gente ha i XXXXXXXX.> Tutti così, gli smargiassi del web... Come> Anonymous. Appena li arrestano, cantano come> fringuelli. Denunciano tutti i loro "amici" per> salvarsi.E invece questo fatto dimostra la totale impotenza delle major (quasi come la tua).Non sono risuciti mai ad intimorire nessuno con la galera e allora provano in questo modo.E neanche questa volta otterranno quello che sperano.> Ecco perchè non ci sarà nessuna rivoluzione.Perche' non serve.Finche' si potra' scaricare e scrivere sui forum che si scarica alla faccia loro, non ci sara' mai bisogno di fare una rivoluzione.> Mai.Mai.panda rossaRe: Tanto piacere
- Scritto da: povero me> Be e normale che il tizio ha acconsentito ad> apparire nel video, tanto lui non lo vede è> ceco.(rotfl)[img]http://firstrealize.files.wordpress.com/2013/10/fake-smile2.jpg[/img]...Re: Tanto piacere
- Scritto da: povero me> Be e normale che il tizio ha acconsentito ad> apparire nel video, tanto lui non lo vede è> ceco.(rotfl)E soprattutto non paga :DComunq abbiam superato le 400.000 visualizzazioni, a posto... Non guardatelo più che non diamo altri soldi alle agenzie.Ora quant'è per DotCom ? Un milione di visualizzazioni possono bastare ? Ditecelo che costa niente mandare in play un filmato e poi buttarlo in background senza volume.PassantePrecedenti...
"Eppur si muove..."HisashiRe: Precedenti...
- Scritto da: Hisashi> "Eppur si muove..."Aggiorniamo: "Eppur si scarica..."Forza GalileoRe: Precedenti...
- Scritto da: Forza Galileo> - Scritto da: Hisashi> > "Eppur si muove..."> > Aggiorniamo: "Eppur si scarica..."e continuerà a muoversi e a scaricarsiehehehE poi ci lamentiamo della sharia!
Andiamo a guardare in casa di altri e ci lamentiamo della sharia, quando il medioevo ce lo abbiamo in casa pure noi.Confessioni estorte con la tortura, abiura, penitenza e gogna.I tempi dell'inquisizione non sono ancora finiti a qunto pare.E tutto questo avviene nel nome di una religione, il cui fondatore si presento' al mondo condividendo pani e pesci e predicando la condivisione.panda rossaRe: E poi ci lamentiamo della sharia!
- Scritto da: panda rossa> Andiamo a guardare in casa di altri e ci> lamentiamo della sharia, quando il medioevo ce lo> abbiamo in casa pure noi.> > Confessioni estorte con la tortura, abiura,> penitenza e gogna.> I tempi dell'inquisizione non sono ancora finiti> a qunto pare.> > E tutto questo avviene nel nome di una religione,> il cui fondatore si presento' al mondo> condividendo pani e pesci e predicando la> condivisione.E che da quando è apparso è utilizzato per giustificare massacri...No ma tu veramente pensavi che qua fossimo "superiori" ? Nemmanco venissimo da pianeti diversi (rotfl)PassanteRe: E poi ci lamentiamo della sharia!
- Scritto da: panda rossa> Andiamo a guardare in casa di altri e ci> lamentiamo della sharia, quando il medioevo ce lo> abbiamo in casa pure> noi.> > Confessioni estorte con la tortura, abiura,> penitenza e> gogna.> I tempi dell'inquisizione non sono ancora finiti> a qunto> pare.> > E tutto questo avviene nel nome di una religione,> il cui fondatore si presento' al mondo> condividendo pani e pesci e predicando la> condivisione.amico, quelle sono cacate religiose, qui si parla di SOLDI. ammetterai che sono due piani di importanza completamente differente....Re: E poi ci lamentiamo della sharia!
- Scritto da: ...> - Scritto da: panda rossa> > Andiamo a guardare in casa di altri e ci> > lamentiamo della sharia, quando il medioevo ce> lo> > abbiamo in casa pure> > noi.> > > > Confessioni estorte con la tortura, abiura,> > penitenza e> > gogna.> > I tempi dell'inquisizione non sono ancora finiti> > a qunto> > pare.> > > > E tutto questo avviene nel nome di una> religione,> > il cui fondatore si presento' al mondo> > condividendo pani e pesci e predicando la> > condivisione.> > amico, quelle sono cacate religiose, qui si parla> di SOLDI. ammetterai che sono due piani di> importanza completamente> differente.Certo che sono due piani di importanza completamente differente: i soldi mica te li porti nella tomba.panda rossaRe: E poi ci lamentiamo della sharia!
- Scritto da: panda rossa> Certo che sono due piani di importanza> completamente differente: i soldi mica te li> porti nella tomba.Se è per questo neanche i tuoi santini ...Macktie
Finche al mondo pochi milioni di persone fanno la bella vita sulla pelle e sulle fatiche di miliardi di altre persone, la pirateria non solo è moralmente accettabile, ma auspicabile.iGandhievviva l'intelligence ovvero i miracoli
Ve lo ricordate "my name is cocciolone"?a me fa la stessa impressione.P.S.Qualcuno avvisi Renzi Hollande e compagmia cantante che gli conviene sostituire l'intelligence con la BSA.A quanto pare a trovare "colpevoli" ci mettono grande impegno....che gli facciano cercare gli attentatori di parigi...My Name Is Cocciolone 123noi siamo legione
per un bocciolo reciso, ne sbocciano altri due....Re: noi siamo legione
... Hail HYDRA?Vattelalbic occaRe: noi siamo legione
- Scritto da: Vattelalbic occa> ... Hail HYDRA?Qualcuno qui legge i fumetti del Ratto o sbaglio? ;-)Izio01Si potrebbe riempire la pagina
Si potrebbe riempire la pagina dei commenti di link pirata per vedere l'effetto che fa :-)ehehehOrrore!
Ma cosa siamo ai tempi della santa inquisizione? Ora siamo alle abiure? Hanno ben precisato che il povero cristo è in condizioni economiche precarie, quindi non si è certo arricchito da questa "pretesa" pirateria!Quannto alle valutazioni del danno economico, quelle di BSA e associati hanno già da tempo dimostrato di essere completamente avulse dalla realtà!Non basta mettere on line un file e dimostrare che è stato scaricato n volte per dimostrare un danno economico, bisogna dimostrare che chi ha scaricato il file in modo illegale avrebbe in assenza del file "illegale" comprato un file "originale"Io sono sempre del parere che:1. prima si limita il diritto d'autore a max 10 anni dalla commercializzazione di un prodotto2. Lo si limita alle sole situazioni di lucro, basta con la SIAE che tampina chi fa una festa di matrimonio o simili3. La SIAE venga sciolta e l'esazione dei diritti venga affidata ad una società i cui membri siano liberamente eletti da tutti gli associati e non gestita da pochi notabili!Enjoy with UsRe: Orrore!
- Scritto da: Enjoy with Us> Ma cosa siamo ai tempi della santa inquisizione?> Ora siamo alle abiure? Hanno ben precisato che il> povero cristo è in condizioni economiche> precarie, quindi non si è certo arricchito da> questa "pretesa" pirateria!> Quannto alle valutazioni del danno economico,> quelle di BSA e associati hanno già da tempo> dimostrato di essere completamente avulse dalla> realtà!> Non basta mettere on line un file e dimostrare> che è stato scaricato n volte per dimostrare un> danno economico, bisogna dimostrare che chi ha> scaricato il file in modo illegale avrebbe in> assenza del file "illegale" comprato un file> "originale"> Io sono sempre del parere che:> 1. prima si limita il diritto d'autore a max 10> anni dalla commercializzazione di un> prodotto> 2. Lo si limita alle sole situazioni di lucro,> basta con la SIAE che tampina chi fa una festa di> matrimonio o simili> 3. La SIAE venga sciolta e l'esazione dei diritti> venga affidata ad una società i cui membri siano> liberamente eletti da tutti gli associati e non> gestita da pochi notabili!Scusa, ma cosa c'entrano SIAE e diritto d'autore? Qui si parla di BSA, vale a dire software professionale!Leggevo di recente su un forum, svariati giovani architetti che lamentavano che "se davvero dovessi pagare il software, fai prima a non aprire nemmeno lo studio" e denunciando presunti monopoli di Autodesk o chi per essa.Grande! Quindi siccome voglio aprire una pizzeria ma non ho i soldi per il materiale, me lo procuro in maniera "alternativa", rivolgendomi ad un amico trafficone che me lo "procura" a basso costo?Non è che io ami la BSA, però chi usa software per lavoro lo deve acquistare regolarmente.Izio01Re: Orrore!
- Scritto da: Izio01> - Scritto da: Enjoy with Us> > Ma cosa siamo ai tempi della santa> inquisizione?> > Ora siamo alle abiure? Hanno ben precisato> che> il> > povero cristo è in condizioni economiche> > precarie, quindi non si è certo arricchito da> > questa "pretesa" pirateria!> > Quannto alle valutazioni del danno economico,> > quelle di BSA e associati hanno già da tempo> > dimostrato di essere completamente avulse> dalla> > realtà!> > Non basta mettere on line un file e> dimostrare> > che è stato scaricato n volte per dimostrare> un> > danno economico, bisogna dimostrare che chi> ha> > scaricato il file in modo illegale avrebbe in> > assenza del file "illegale" comprato un file> > "originale"> > Io sono sempre del parere che:> > 1. prima si limita il diritto d'autore a max> 10> > anni dalla commercializzazione di un> > prodotto> > 2. Lo si limita alle sole situazioni di> lucro,> > basta con la SIAE che tampina chi fa una> festa> di> > matrimonio o simili> > 3. La SIAE venga sciolta e l'esazione dei> diritti> > venga affidata ad una società i cui membri> siano> > liberamente eletti da tutti gli associati e> non> > gestita da pochi notabili!> > Scusa, ma cosa c'entrano SIAE e diritto d'autore?> Qui si parla di BSA, vale a dire software> professionale!> Leggevo di recente su un forum, svariati giovani> architetti che lamentavano che "se davvero> dovessi pagare il software, fai prima a non> aprire nemmeno lo studio" e denunciando presunti> monopoli di Autodesk o chi per> essa.> Grande! Quindi siccome voglio aprire una pizzeria> ma non ho i soldi per il materiale, me lo procuro> in maniera "alternativa", rivolgendomi ad un> amico trafficone che me lo "procura" a basso> costo?> Non è che io ami la BSA, però chi usa software> per lavoro lo deve acquistare> regolarmente.Ma anche no.Che software avranno usato per costruire le Piamidi, il Colosseo, la Muraglia Cinese?Ma anche la torre Eiffel...panda rossaRe: Orrore!
- Scritto da: panda rossa> - Scritto da: Izio01>> > Non è che io ami la BSA, però chi usa> software> > per lavoro lo deve acquistare> > regolarmente.> > Ma anche no.> Che software avranno usato per costruire le> Piamidi, il Colosseo, la Muraglia> Cinese?> Ma anche la torre Eiffel...Che ragionamento, Panda!Io ho detto: "Chi USA software per lavoro". Chi NON lo usa, ovviamente, non deve pagare niente, ci piove? Per fortuna l'equo compenso sul software ancora non ce l'abbiamo :-PIzio01E questo Jakub chi cappero sarebbe?
Possibile che a far notizia sono sempre dei perfetti sconosciuti? Svegliatemi quando sarà qualcuno di importante ad "abiurare", che me ne frega di un signor nessuno.Vattelalbic occaGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiAlfonso Maruccia 27 11 2015
Ti potrebbe interessare