Ankit Anubhav , ricercatore presso New Sky Security, ha identificato una lista di credenziali Telnet disponibile da almeno un paio di mesi su Pastebin , un elenco di username e password per l’accesso a gadget IoT, router e altri dispositivi controllabili da remoto dal livello di sicurezza a dir poco insufficiente. Decine di migliaia i sistemi vulnerabili, migliaia quelli ancora accessibili mentre i cyber-criminali avranno sicuramente già sfruttato l’opportunità di ingrossare le fila di dispositivi “zombie” per le loro botnet malevole.
L’elenco – che al momento risulta inaccessibile – ha acquisito una certa notorietà nel corso del weekend, quando i ricercatori colleghi di Anubhav hanno condiviso il suo tweet e si sono messi al lavoro per analizzare l’effettiva pericolosità dei dati allegati.
33000+ telnet credentials of IoT devices exposed on pastebin.
Link: https://t.co/v5uGw4Llsv #iot #hacking #malware #infosec @newskysecurity pic.twitter.com/0Lg7q8G0Kq– Ankit Anubhav (@ankit_anubhav) 24 agosto 2017
Nella lista ci sono più di 33.000 account , tutti con indirizzo IP, username e password; inutile dire che una parte significativa di queste credenziali corrisponde alle solite combinazioni insicure come “admin:admin”, “root:root”, “admin:default” e via elencando. Le dieci password più usate corrispondono a quelle di default dei dispositivi .
Per quanto riguarda il tipo di dispositivi coinvolti, invece, si parla di router, videocamere IP e altri sistemi della Internet delle Cose connessi a Internet , mentre l’analisi degli IP ha permesso di restringere il pericolo a 8.233 indirizzi individuali, 2.174 ancora accessibili tramite il protocollo Telnet e 1.775 credenziali di accesso ancora funzionanti.
I ricercatori sono al momento impegnati nel tentativo di contattare i proprietari dei dispositivi vulnerabili, o in alternativa di allertare l’ISP responsabile del loro accesso a Internet; l’obiettivo è quello di limitare i danni ed evitare di ingrossare le fila di botnet malevole come la famigerata Mirai , progettata appunto per abusare dei gadget IoT insicuri “arruolandoli” negli attacchi DDoS.
Alfonso Maruccia
-
text/plain
Non esiste alcuna concreta ragione per mandare informazioni via mail in modalita' diversa dal text/plain.Chi pretende di arricchire la propria informazione testuale con testi colorati, non ha in realta' nulla da dire e quindi la sua mail finisce dritta nel cestino.panda rossaRe: text/plain
- Scritto da: panda rossa> Non esiste alcuna concreta ragione per mandare> informazioni via mail in modalita' diversa dal> text/plain.> > Chi pretende di arricchire la propria> informazione testuale con testi colorati, non ha> in realta' nulla da dire e quindi la sua mail> finisce dritta nel> cestino.mah. le immagini a volte fanno molto comodo, e non vedo motivo per doverle allegare appesantendo l'e-mail quando possono essere esterne....Re: text/plain
- Scritto da: ...> - Scritto da: panda rossa> > Non esiste alcuna concreta ragione per mandare> > informazioni via mail in modalita' diversa dal> > text/plain.> > > > Chi pretende di arricchire la propria> > informazione testuale con testi colorati, non ha> > in realta' nulla da dire e quindi la sua mail> > finisce dritta nel> > cestino.> > mah. le immagini a volte fanno molto comodo, e> non vedo motivo per doverle allegare appesantendo> l'e-mail quando possono essere> esterne.Allegare una immagine e' una cosa diversa dal mandare una mail in html con una immagine embedded.Nulla vieta di allegare una immagine e mandare il testo in text/plainpanda rossaRe: text/plain
- Scritto da: panda rossa> - Scritto da: ...> > - Scritto da: panda rossa> > > Non esiste alcuna concreta ragione per> mandare> > > informazioni via mail in modalita'> diversa> dal> > > text/plain.> > > > > > Chi pretende di arricchire la propria> > > informazione testuale con testi> colorati, non> ha> > > in realta' nulla da dire e quindi la> sua> mail> > > finisce dritta nel> > > cestino.> > > > mah. le immagini a volte fanno molto comodo,> e> > non vedo motivo per doverle allegare> appesantendo> > l'e-mail quando possono essere> > esterne.> > Allegare una immagine e' una cosa diversa dal> mandare una mail in html con una immagine> embedded.> > Nulla vieta di allegare una immagine e mandare il> testo in> text/plaine appesantisci l'email....Re: text/plain
Motivi validi ce ne sono più di uno. Di sicuro, se uno vuole inviare informazioni appena appena critiche, non solo non usa email HTML, ma non usa proprio le email, a meno che non siano certificate...HisashiRe: text/plain
- Scritto da: Hisashi> Motivi validi ce ne sono più di uno.Hai 7000 caratteri.Elenca un paio di questi motivi.> Di sicuro,> se uno vuole inviare informazioni appena appena> critiche, non solo non usa email HTML, ma non usa> proprio le email, a meno che non siano> certificate...Ma non stiamo parlando mica di questo.panda rossaRe: text/plain
- Scritto da: panda rossa> - Scritto da: Hisashi> > Motivi validi ce ne sono più di uno.> > Hai 7000 caratteri.> Elenca un paio di questi motivi.tabelle, formule matematiche, diagrammi...Prima che mi rispondi che si può fare tutto allegando immagini, ti anticipo che mi serve il copia-incolla di parte del contenuto intabellato....Re: text/plain
- Scritto da: Hisashi> Motivi validi ce ne sono più di uno. Di sicuro,> se uno vuole inviare informazioni appena appena> critiche, non solo non usa email HTML, ma non usa> proprio le email, a meno che non siano> certificate...da quando in qua la posta certificata garantisce la riservatezza di informazioni critiche ? Se vuoi essere sicuro della riservatezza devi utilizzare PGP/GPG o qualche sistema simile che crittografi i messaggi.amedeoRe: text/plain
- Scritto da: panda rossa> Non esiste alcuna concreta ragione per mandare> informazioni via mail in modalita' diversa dal> text/plain.> > Chi pretende di arricchire la propria> informazione testuale con testi colorati, non ha> in realta' nulla da dire e quindi la sua mail> finisce dritta nel> cestino.ma hai ancora la televisione in bianco e nero a casa tua o sei passato a quella a colori? (rotfl)(rotfl)(rotfl)Forza e coraggioRe: text/plain
- Scritto da: Forza e coraggio> - Scritto da: panda rossa> > Non esiste alcuna concreta ragione per mandare> > informazioni via mail in modalita' diversa dal> > text/plain.> > > > Chi pretende di arricchire la propria> > informazione testuale con testi colorati, non ha> > in realta' nulla da dire e quindi la sua mail> > finisce dritta nel> > cestino.> > > ma hai ancora la televisione in bianco e nero a> casa tua o sei passato a quella a colori?> (rotfl)(rotfl)(rotfl)Forse si è accorto che qualunque mail è modificabile (da chiunque) dopo il delivery! O secondo te è una novità sconvolgente? Questo è ovviamente vero sia che sia testo che html che laqualunque unica eccezione è se la mail è cifrato e/o firmata.Adesso torna pure a giocare (a colori mi raccomando!)Mi chiamo furbond James furbondRe: text/plain
(rotfl)(rotfl)(rotfl)(troll) :@(troll)(rotfl)(rotfl)(rotfl)(rotfl)(cylon)(cylon)(troll1) :@(troll1)(cylon)(cylon)(rotfl)(rotfl)(cylon) :o :o(troll2) :o :o(cylon)(rotfl)(troll)(troll1) :o :@ :@ :@ :o(troll1)(troll) :@ :@(troll2) :@ :-o :@(troll2) :@ :@(troll)(troll1) :o :@ :@ :@ :o(troll1)(troll)(rotfl)(cylon) :o :o(troll2) :o :o(cylon)(rotfl)(rotfl)(cylon)(cylon)(troll1) :@(troll1)(cylon)(cylon)(rotfl)(rotfl)(rotfl)(rotfl)(troll) :@(troll)(rotfl)(rotfl)(rotfl)...poco efficace
La maggior parte dei clients sono configurati per fare reply o fwd in formato testo. Anche l'utonto clikkando reply o inoltra si accorge che qualcosa non torna.ebdbad920d2Re: poco efficace
- Scritto da: ebdbad920d2> La maggior parte dei clients sono configurati per> fare reply o fwd in formato testo. Anche l'utonto> clikkando reply o inoltra si accorge che qualcosa> non torna.purtroppo sottovaluti grandemente quanto un utonto possa essere utonto....ma dai
Ragionamento tipico del forum:le email ad ARPANET se le mandavano così e così devono rimanereForza e coraggioRe: ma dai
- Scritto da: Forza e coraggio> Ragionamento tipico del forum:> > le email ad ARPANET se le mandavano così e così> devono> rimanereXXXXXXXXX le email sono SEMPRE (capisci la parola SEMPRE?) Modificabili dopo il delivery!A meno che non siano cifrate e/o firmate.Mi chiamo furbond James furbondRe: ma dai
Ah, certo, peccato che in un caso è qualcosa che fai sul client, nel caso dell'articolo è una mail/pagina web che si succhia pezzi via http al di fuori del messaggio.Ma hai almeno capito cosa ha scritto l'articolista si?xteRe: ma dai
- Scritto da: Forza e coraggio> Ragionamento tipico del forum:> > le email ad ARPANET se le mandavano così e così> devono> rimanereUn po' hanno ragione. Voglio dire, capisco l'esigenza di abbellire un po' una mail ecc, ma alla fine lo scopo per il quale è stata creata la mail è per comunicare da utente A ad utente B, in più si possono mettere allegati, cosa vuoi di più? Il fatto di avere HTML nelle mail ha comportato per anni bug e problemi di sicurezza, poi mail illeggibili perché ogni client di posta fa un po' come gli pare, adesso siamo pieni di roba piena di tracking e alla meglio mi vedo arrivare mail con allegate immagini, se apro immagine è il caxxo di firma o logo dell'azienda di chi mi ha mandato la mail... e che continua a mandarmi ogni volta che mi scrive! una schifezza unica, che se scrive la firma e l'azienda in plain-text lo capisco meglio.Insomma, ok evoluzione ma nelle cose che serve. Se mi parli di un wordproXXXXXr mi va bene che mi vuoi aggiugere i caratteri stilosi, il "wordart", la gestione formule ecc ecc, ed ogni realese sarà migliore della precedente, ma la mail nasce per mandarsi messaggi.E pensa un attimo, qual'è la piattaforma più usata al mondo di messagistica oggi? Ad occhio e croce whatsapp: manda messaggi ed al massimo allegati (le faccine saranno codici immagino), whasapp non è nient'latro che la mail di arpanet solo che grazie all'app non devi digitare l'indirizzo della mail del destinatario. La semplicità ripaga, sempre.piccoloecal voRe: ma dai
Condivido e straquotoFrancescoSiete imbarazzanti
un bidello: "ho imparato rapidamente le lingue. Adesso guadagno un sacco di soldi""una cuoca di caserva ha imparato l'inglese in 9 giorni""apprendimento RAPIDO di una lingua staniera"e giu' giu' giu' verso uno squallore sempre piu' grezzo e becero della pubblicita' schifa.E' imbarazzante.Manca solo "sei il milionesimo visitatore, clicca per ritirare il tuo iphone gratis""allunga il tuo pene ci 7 cm con questo segreto himalayano""puoi recuperare i capelli perduti: come? clicca qui per saperlo"."lui ti ha lasciato? Maga Magnoza lo riportera' a te con qeusto filtro egiziano"veramente, siete imbarazzanti.riattivo adblock....Re: Siete imbarazzanti
> "allunga il tuo pene ci 7 cm con questo segreto> himalayano"> > "puoi recuperare i capelli perduti: come? clicca> qui per> saperlo".>Sono interessato a questi due.piccoloecal voRe: Siete imbarazzanti
- Scritto da: piccoloecal vo> > "allunga il tuo pene ci 7 cm con questo> segreto> > himalayano"> > > > "puoi recuperare i capelli perduti: come?> clicca> > qui per> > saperlo".> >> > Sono interessato a questi due.Li ha provati mio cugGino.Adesso ha una ciocca di minchie di 7 cm sulla pelata.panda rossaRe: Siete imbarazzanti
- Scritto da: panda rossa> - Scritto da: piccoloecal vo> > > "allunga il tuo pene ci 7 cm con questo> > segreto> > > himalayano"> > > > > > "puoi recuperare i capelli perduti:> come?> > clicca> > > qui per> > > saperlo".> > >> > > > Sono interessato a questi due.> > Li ha provati mio cugGino.> > Adesso ha una ciocca di minchie di 7 cm sulla> pelata.(rotfl)(rotfl)Facci sapere come ha sistemato i 14 zebedei ci ha fatto il riporto?(rotfl)Mi chiamo furbond James furbondRe: Siete imbarazzanti
Ma quello sarebbe anche il meno (in fondo un giornale mostra la pubblicità che gli pare). Il problema più grosso che riscontro è dovuto al fatto che tentare di leggere gli articoli è diventato come fare una partita di battaglia navale: se non stai attento a dove posizioni il puntatore del mouse ti si apre tanta di quella roba che l'articolo sparisce, per non parlare di "x" che non chiudono contenuti, scrolling up/down selvaggio (manca ancora il left/right ma ci arriveranno)... dovrebbero fornire un corso gratuito di lettura "sincronizzata".Nel frattempo, anche (soprattutto) a causa di questo, ho (quasi) smesso di leggere P.I... con tanti saluti alla relativa pubblicità: prima mi bastava evitare il forum.Skymah...
E' da un paio di decenni che modifico, per vari motivi, le mail dopo l'arrivo.Se ne accorgono adesso?!?!Forse mi sono perso qualcosa.triparti sanRe: mah...
header o body :-)xteRe: mah...
- Scritto da: xte> header o body :-)ambedue e senza problemiMi chiamo furbond James furbondRe: mah...
Interessante, nel mio caso è facile: sono file di testo in una directory, ma l'articolo parla di contenuto "modificato" da remoto. Poi son d'accordo che non è una vulnerabilità ma una *zzata visto che in effetti non "attacca" un tubo ma il discorso è diverso.xteGPG impera(dovrebbe almeno)
Io firmo, le mie email, da una vita con GPG, mi frega assai se chi riceve non capisce cosa sia quella firma, basta a me per poter dimostrare, se servisse, che l'email è stata o no, modificata dopo l'invio.IgaRyuRe: GPG impera(dovrebbe almeno)
Qui è pieno di Caproni pronti a sostenere che firmare una mail sia complicato.La logica del caprone è quella e è del tutto inutile mettersi a fare a craniate col caprone vince lui.....Mi chiamo furbond James furbondRe: GPG impera(dovrebbe almeno)
Firmare una mail (come qualsiasi file) non è complicato, sviluppare una chain of trust sufficientemente "distribuita" lo è, o per lo meno è assai lungo in termini di tempo e impegno. Questa è la prima ragione percui GNUPG non è mai decollata IMO.Però per quanto mi riguarda una mail con html&css&js ecc non è una mail ma una pagina web se non addirittura una mini-applicazione. Se mi scrivi qualcosa di ufficiale me lo scrivi in testo, base64 se vuoi, ma testo semplice.xteRe: GPG impera(dovrebbe almeno)
- Scritto da: xte> Firmare una mail (come qualsiasi file) non è> complicato, sviluppare una chain of trust> sufficientemente "distribuita" lo è,Vedi che non hai capito un XXXXX?come sempre del resto a me che tu "ti fidi" (abbia trust) della mia firma non me ne fotte una ceppa quello che conta in questo specifico caso è che tu non possa modificare quello che ho scritto nella mail senza che nessuno se ne accorga per poi spacciarla per "spedita da me".Tu proprio di queste cose non capisci una ceppa era meglio se stavi zitto.Mi chiamo furbond James furbondGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 28 ago 2017Ti potrebbe interessare