Uber, il CdA ha votato per il nuovo CEO

eh beh
admin:adminChe dire... password difficilissime da indovinare...

Re: eh beh
- Scritto da: panda rottame> admin:admin> > Che dire... password difficilissime da> indovinare...Tempo fa, un tizio mi disse: non indovinerai mai la mia password

lista ci sono più di 33.000 account
errata: Nella lista ci sono più di 33.000 polli che credono ancora allo IoT ... i soliti moderni con il sorriso stampato in faccia.

Re: lista ci sono più di 33.000 account
[img]http://az616578.vo.msecnd.net/files/2016/02/13/635909605772227817391598764_13-fake-smile.png[/img]

Re: lista ci sono più di 33.000 account
- Scritto da: ...> [img]http://az616578.vo.msecnd.net/files/2016/02/1Ma perché pubblichi un ritratto di panda?

Non notiza ma buona per un flame
Fine agosto, poche notizie in circolazione, che c'è di meglio di una bella notizia sparaflame con tanto di allarme sulla sicurezza di ios per rilanciare il traffico?Da sempre ci sono migliaia di utenti che collegano i device con o senza ios alla rete senza cambiare la password di default.http://punto-informatico.it/4386890/PI/News/persirai-botnet-iot-dalle-origini-asiatiche.aspxOltretutto i commenti sulla facilita di intuire la password fanno proprio ridere. La password di default del produttore dovrebbe essere cambiata subito, una password complicata renderebbe solo il compito più difficile.

Re: Non notiza ma buona per un flame
La password di default deve essere cambiata subito (OBBLIGATORIAMENTE) ma ci DEVE anche essere una blacklist per password come "admin", "password", "12345", "pippo", etc. Altrimenti siamo daccapo. Il resto sono chiacchiere.

Re: Non notiza ma buona per un flame
Bravo. Dai ordini ai produttori. E' il modo migliore per farsi mandare affanXXXX e non ottenere niente.Chiedi pure ai produttori di mettere una password di default complicata, cosi dopo tanta fatica per convincere l'utonto, l'utonto scopre che cambiare la password non è cosi semplice e rinuncia.Tra i bei progetti ideali e come vanno a finire le cose la differenza è sempre enorme.

Re: Non notiza ma buona per un flame
Non ha chiesto ai produttori di predisporre password di default complicate, sarebbe inutile visto che comunque sarebbero pubbliche...Ha detto un'altra cosa, condivisibile peraltro: imporre (o spiegare, o convincere etc.) gli utenti a cambiare la password di default con un'altra che inoltre non sia tra quelle "banali" ormai elencate tra le più frequenti.

Re: Non notiza ma buona per un flame
- Scritto da: 3bcd9529c62> Bravo. Dai ordini ai produttori. E' il modo> migliore per farsi mandare affanXXXX e non> ottenere> niente.> > Chiedi pure ai produttori di mettere una password> di default complicataXXXXX, UTILE! Così invece di venire pubblicata sui siti la password di default admin:admin viene pubblicata la password di default admin:494jfsdsd98! Cosa cambierebbe lo sai solo tu.

non c'è più il link a pastebin!
non c'è più il link a pastebin! cioè hanno cancellato il contenuto

Re: non c'è più il link a pastebin!
- Scritto da: user_> non c'è più il link a pastebin! cioè hanno> cancellato il> contenutochi cerca trova

Re: non c'è più il link a pastebin!
ma che cavolo ne so? non mi far perdere tempo-----------------------------------------------------------Modificato dall' autore il 28 agosto 2017 20.25-----------------------------------------------------------

Re: non c'è più il link a pastebin!
telnet list 33138 lines ...

Re: non c'è più il link a pastebin!
- Scritto da: user_> ma che cavolo ne so? non mi far perdere tempoSe non hai tempo da perdere a che ti serve un elenco di user:password?

Re: non c'è più il link a pastebin!
- Scritto da: user_> ma che cavolo ne so? non mi far perdere tempo> --------------------------------------------------> Modificato dall' autore il 28 agosto 2017 20.25> --------------------------------------------------Cache questa sconosciuta...

Re: non c'è più il link a pastebin!
tanto la maggior parte dei router ha indirizzo dinamico e non son piu li..

i due lati della medaglia
e' un grosso problema per gli utenti della "pappa pronta" (macachi in testa) abituati a non configurare nulla, le aziende nel tempo hanno creato un'utenza ignorante, piena di falsi esperti, acritica, marchio dipendentel'altro lato della medaglia sono le aziende che hanno creato tonnellate di elettronica scadente lato HW, usa e getta, Sw implementato alla Carlona, non supportato, alle volte chiuso e server dipendentela colpa e' una sola: obsolescenza, dovete produrre e consumare a qualsiasi costo e con ritmi sempre piu' sostenuti

Password?
Signori anche se le password fossero cambiate obbligatoriamente al primo login con qualcosa di ragionevolmente lungo il problema sicurezza resterebbe sostanzialmente analogo, al massimo passerebbe dal livello "moglie/marito che si spiano con la video sorveglianza" al livello script kiddies.Il punto non è il login di default il punto è la configurazione nel suo complesso (login http/telnet, aggiornabilità ZERO, WebUI scritte per essere il più vulnerabili possibili ecc). Se non cambia COMPLETAMENTE questo modello non vi potrà mai essere una sicurezza diversa dai primi anni '90.Il solo modo per cambiare questo è: - scegliere o imporre se non si riesce a scegliere uno standard o meglio una serie di standard per il mondo "IoT" (il Raspy, del tutto "non standard" è per esempio diventato uno standard de facto con distro ed OS vari e un po' di merchandising relativo) che faccia da base a praticamente ogni prodotto, la "serie" serve per coprire le varie esigenze per non cadere nell'one size fit all - incoraggiare lo sviluppo di distro FOSS (che avviene naturalmente se la/le piattaforme sono interessanti, vedi appunto il caso del raspy che pensato per uno scopo viene usato per tutt'altro da n-mila persone nel mondo, persone che anche ci sviluppano sopra e portano i loro software favoriti)

Re: Password?
- Scritto da: xte> Signori anche se le password fossero cambiate> obbligatoriamente al primo login con qualcosa di> ragionevolmente lungo il problema sicurezza> resterebbe sostanzialmente analogo, al massimo> passerebbe dal livello "moglie/marito che si> spiano con la video sorveglianza" al livello> script> kiddies.> > Il punto non è il login di default il punto è la> configurazione nel suo complesso (login> http/telnet, aggiornabilità ZERO, WebUI scritte> per essere il più vulnerabili possibili ecc). Se> non cambia COMPLETAMENTE questo modello non vi> potrà mai essere una sicurezza diversa dai primi> anni> '90.> > Il solo modo per cambiare questo è:Smettere di comprare XXXXXXXte. Fixed 8).

Re: Password?
Difficile in molti casi: un esempio; vuoi un router domestico che non sia immondizia. Soluzione economica: compri una miniboard, ci installi una distro "potata", sistemi iptables, dnsmasq/bind/unbound, radvd, ... e mantieni il tutto aggiornato tu. Soluzione con cui fai più cose: un minicomputer celeron-based con ram&c da miniserver. A meno che tu non abbia taaanto tempo libero o non faccia il sysadmin di mestiere (ovvero automazione pronta all'uso, mutuabile anche in casa) fai un discreto lavoro. Altro? Non pervenuto. Anche le distro/os embedded dedicate allo scopo (classica PfSense&fork, per altri OpenWRT&fork) non sono granché aggiornate e le webUI sono come minimo perfettibili anche se ricche&stilose.Idem: videosorveglianza domestica/soho decente: minicomputer e ip-cam tenute isolate da internet, acXXXXX mediato da minicomputer, il costo è analogo a cam analogiche+scheda di acquisizione, anche ad andare su gamme medio alte (Axis&c) non hai una gran "gestione" sul piano security e tanto codice scatola-nera.Telefoni VoIP: o mantieni un centralino tu (Yate, Asterisk, ...) e i telefoni desktop sono solo in una vlan locale e non escono su internet o sei comunque esposto.Smartphones? Li francamente non hai scelta. O stanno in una DMZ/mai in LAN e restano solo loro groviere o non vedo ad oggi altre opzioni.Smart*? Opzioni: o non li compri, posto che ancora trovi qualcosa di "non-smart" o ti tieni la groviera.Alla fine la risposta è: finché puoi fatti tutto in casa, ma il lavoro non è poco a meno che tu non abbia già da mantenere il tutto per lavoro o non sia uno studente con tanto tempo libero.

Re: Password?
sono d'accordo in pieno che i router soho (ma anche alcuni firewall soho) sono immondizia bella e buona.Pfsense però non è male dai: ci fai cose che nemmeno con un watchguard da 1000+ fai (tipo geoipblock) ed è anche aggiornato spesso e volentieri. Dopo un lungo rodaggio a casa con conf non banali anche in produzione in datacenter non sfiguraper le cam, meritano un discorso a parte e per esperienza personale posso dire che1: va bloccato l'acXXXXX ad internet alle singole cam2: evitare giocattoli e questo taglia quasi tutto sotto i 100 a cam3: farsi per l'appunto l'nvr in casa che da molta più flessibilità rispetto ad un nvr boxato ma dipende sempre cosa ci vuoi fare: se vuoi fare motiondetection con +5 cam serve una macchina recente e carrozzata e non è da trascurare il consumo elettrico. C'è da dire anceh che sw nvr open ricchi di funzionalità non ne ho trovati: l'unico che offre tanto a poco è blue iris ma serve una cpu recente e un buon comparto disco senza spendere una cifra di licenza per milestone xprotect oppure ispy che ha una fee annuale, più ovviamente una macchina carrozzata.Comunque il mio pensiero è: senza avere 45 mini pc che ogn'uno tiene su un servizio con prestazioni scarse, fai la spesa subito e ti comperi una mobo seria con 2 o + nic (tipo una supermicro), ci XXXXX sopra un i5 o un i7, 32 o 64 gb di ram, un bel ctrl raid lsi su ebay anche usato, da 3 dischi in su per un array con ridondanza, un ups, uno switch anche light-managed e sopra ci metti vmware o hyperv e via tutto virtuale, anche il firewall. Se compero un nuc o un minipc a servizio nel giro di poco spendo di più e se ci devo metter mano finisco nella ragnatela degli alimentatori o dei cavi di rete e sono XXXXXXX.- Scritto da: xte> Difficile in molti casi: un esempio; vuoi un> router domestico che non sia immondizia.> Soluzione economica: compri una miniboard, ci> installi una distro "potata", sistemi iptables,> dnsmasq/bind/unbound, radvd, ... e mantieni il> tutto aggiornato tu. Soluzione con cui fai più> cose: un minicomputer celeron-based con ram&c da> miniserver. A meno che tu non abbia taaanto tempo> libero o non faccia il sysadmin di mestiere> (ovvero automazione pronta all'uso, mutuabile> anche in casa) fai un discreto lavoro. Altro? Non> pervenuto. Anche le distro/os embedded dedicate> allo scopo (classica PfSense&fork, per altri> OpenWRT&fork) non sono granché aggiornate e le> webUI sono come minimo perfettibili anche se> ricche&stilose.> > Idem: videosorveglianza domestica/soho decente:> minicomputer e ip-cam tenute isolate da internet,> acXXXXX mediato da minicomputer, il costo è> analogo a cam analogiche+scheda di acquisizione,> anche ad andare su gamme medio alte (Axis&c) non> hai una gran "gestione" sul piano security e> tanto codice> scatola-nera.> > Telefoni VoIP: o mantieni un centralino tu (Yate,> Asterisk, ...) e i telefoni desktop sono solo in> una vlan locale e non escono su internet o sei> comunque> esposto.> > Smartphones? Li francamente non hai scelta. O> stanno in una DMZ/mai in LAN e restano solo loro> groviere o non vedo ad oggi altre> opzioni.> > Smart*? Opzioni: o non li compri, posto che> ancora trovi qualcosa di "non-smart" o ti tieni> la> groviera.> > Alla fine la risposta è: finché puoi fatti tutto> in casa, ma il lavoro non è poco a meno che tu> non abbia già da mantenere il tutto per lavoro o> non sia uno studente con tanto tempo> libero.

Re: Password?
- Scritto da: xte> Signori anche se le password fossero cambiate> obbligatoriamente al primo login con qualcosa di> ragionevolmente lungo il problema sicurezza> resterebbe sostanzialmente analogo, al massimo> passerebbe dal livello "moglie/marito che si> spiano con la video sorveglianza" al livello> script> kiddies.Ma neanche per sogno...> Il punto non è il login di default il punto è la> configurazione nel suo complesso (login> http/telnet, aggiornabilità ZERO, WebUI scritte> per essere il più vulnerabili possibili ecc). Se> non cambia COMPLETAMENTE questo modello non vi> potrà mai essere una sicurezza diversa dai primi> anni> '90.Quindi dovrebbero esserci miliardi di router KO ?Le cose non stanno così...> Il solo modo per cambiare questo è:> - scegliere o imporre se non si riesce a> scegliere uno standard o meglio una serie di> standard per il mondo "IoT" (il Raspy, del tutto> "non standard" è per esempio diventato uno> standard de facto con distro ed OS vari e un po'> di merchandising relativo) che faccia da base a> praticamente ogni prodotto, la "serie" serve per> coprire le varie esigenze per non cadere nell'one> size fit> all> - incoraggiare lo sviluppo di distro FOSS (che> avviene naturalmente se la/le piattaforme sono> interessanti, vedi appunto il caso del raspy che> pensato per uno scopo viene usato per tutt'altro> da n-mila persone nel mondo, persone che anche ci> sviluppano sopra e portano i loro software> favoriti)Il solo modo è sapere quello che si fa e rimanere informati

Re: Password?
> Quindi dovrebbero esserci miliardi di router KO ?> Le cose non stanno così...Mai fatto un giro su shodan? Mai letto i giornali? Solo per dire il famoso caso di deutsche telekom con praticamente l'intera Germania down per un "attacco" ai fw dei loro router bacati? Tieni presente che internet è vasto e oramai attaccare senza motivo non va di moda, reclutare dispositivi per dDOS, proxy "conto terzi" ecc va assai più di moda. Sai quanti attacchi vedi nei log di fail2ban o di un fw partiti da cam connesse, nas, stb, ...?> Il solo modo è sapere quello che si fa e rimanere informatiOh si, quindi se in commercio ci sono solo dispositivi vulnerabili ti basta saperlo e seguire le notizie dei vari bucati, per miracolo così facendo sarai "immune"... UAU.

Re: Password?
- Scritto da: xte> Mai fatto un giro su shodan? Mai letto i> giornali? Solo per dire il famoso caso di> deutsche telekom con praticamente l'intera> Germania down per un "attacco" ai fw dei loro> router bacati? Tieni presente che internet è> vasto e oramai attaccare senza motivo non va di> moda, reclutare dispositivi per dDOS, proxy> "conto terzi" ecc va assai più di moda. Sai> quanti attacchi vedi nei log di fail2ban o di un> fw partiti da cam connesse, nas, stb,> ...?Quelli delle telco è una questione a parte visto che ci possono accedere da remoto se il cliente non sa come fare. E comunque spesso i router dati in comodato d'uso sono router commerciali con firmware personalizzati, basta metterci quello di fabbrica e risolvi.> Oh si, quindi se in commercio ci sono solo> dispositivi vulnerabili ti basta saperlo e> seguire le notizie dei vari bucati, per miracolo> così facendo sarai "immune"...> UAU.Ogni cosa che viene messa in commercio è potenzialmente vulnerabile.Secondo te ogni 2 anni uno si ricompra il router ?Su un mio vecchio router ho un firmware di 10 anni fa,non è mai sucXXXXX nulla.Certo se poi usi come password "password" o "pippo" le possibilità aumentano.

Re: Password?
- Scritto da: xte> Signori anche se le password fossero cambiate> obbligatoriamente al primo login con qualcosa di> ragionevolmente lungo il problema sicurezza> resterebbe sostanzialmente analogo, al massimo> passerebbe dal livello "moglie/marito che si> spiano con la video sorveglianza" al livello> script> kiddies.> > Il punto non è il login di default il punto è la> configurazione nel suo complesso (login> http/telnet, aggiornabilità ZERO, WebUI scritte> per essere il più vulnerabili possibili ecc). Se> non cambia COMPLETAMENTE questo modello non vi> potrà mai essere una sicurezza diversa dai primi> anni> '90.> > Il solo modo per cambiare questo è:- Non esporre direttamente su internet servizi inessenziali (quei pochi che davvero hanno bisogno di accedere all'interfaccia di configurazione del router domestico dall'esterno, dovrebbero avere capacità sufficienti a proteggerne l'acXXXXX, per gli altri basta limitare l'acXXXXX alla funzione dall'interno della propria lan)- Non esporre direttamente su internet servizi che possono essere gestiti anche senza accettare connessioni dirette in entrata: un po' di indirezione risolve molti problemi (compresi quelli di avere un indirizzo IP dinamico), affidandosi a servizi terzi che svolgano il ruolo di mediatori tra noi e gli apparati, con crittografia e codici di acXXXXX diversi da quelli che servono per l'acXXXXX di amministratore.- Non esporre direttamente su internet servizi con password di default o banali, sempre e comunque(il riferimento è sempre e comunque a sistemi "domestici", in ambito enterprise vorrei dare per scontate alcune competenze e di risorse da dedicare alla sicurezza in più a fronte di esigenze certamente più complesse)> - incoraggiare lo sviluppo di distro FOSS (che> avviene naturalmente se la/le piattaforme sono> interessanti, vedi appunto il caso del raspy che> pensato per uno scopo viene usato per tutt'altro> da n-mila persone nel mondo, persone che anche ci> sviluppano sopra e portano i loro software> favoriti)Il problema è che la presenza di password di default per servizi esposti direttamente su internet rende accessibile anche un sistema di cui non siano note vunerabilità. Diversi apparati sono basati su distro linux più o meno diffuse, ma finchè si lasciano le porte aperte e non protette non c'è nulla da fare.

Re: Password?
Molti router han backdoor di fabbrica, telnet/ssh (dropbear) esposti o talvolta mascherati con port-knocking rudimentale, inoltre han kernel vulnerabili regolarmente NON aggiornati e via dicendo. Quanto al non esporre se la tua cam "videosorveglianza" che ti serve appunto da remoto offre solo una webUI (con plugin activeX richiesto nel 2017) con login plain http, attaccabile in ogni modo (addirittura ci son modelli che al login redirigono su una pagina standard che se sai l'URL è comunque sempre disponibile direttamente) come non esponi? A modo mio ovvero proxando tutto dietro un tuo miniserver? Come limiti il login ad un certo ip se tu in giro hai ip(v4, nel 2017) dinamici e basta? Come richiedi un port-knocking se il tuo terminale non lo supporta ed è closed source (spesso in violazione della GPL)? Il punto è che soltanto se si han standard aperti e community che sviluppano si può avere qualche sicurezza: la community è formata da utenti interessati, quindi la sicurezza e l'aggiornamento son tenuti d'occhio, l'azienda non ha più interesse a sviluppare in casa quando ha già tutto pronto, tanto più se è obbligata a rilasciare le source, almeno ai suoi clienti, e la completa toolchain di sviluppo&deploy che non deve richiedere nulla di speciale (es. un jtag, ma solo flash/boot via usb/rete (es tftp) ecc).

Re: Password?
- Scritto da: xte> Molti router han backdoor di fabbrica,Comprane altri.> telnet/ssh> (dropbear) esposti o talvolta mascherati con> port-knocking rudimentale, inoltre han kernel> vulnerabili regolarmente NON aggiornati e via> dicendo.Il port knocking non è una contromisura di sicurezza, punto. Se tieni le porte esterne chiuse, vedrai che i problemi di vulnerabilità dei kernel risultano molto poco impattanti, in generale. > Quanto al non esporre se la tua cam> "videosorveglianza" che ti serve appunto da> remoto offre solo una webUI (con plugin activeX> richiesto nel 2017) con login plain http,> attaccabile in ogni modo (addirittura ci son> modelli che al login redirigono su una pagina> standard che se sai l'URL è comunque sempre> disponibile direttamente) come non esponi? La soluzione l'ho già scritta nel precedente post:1) No a telecamere con buchi di questo tipo, se ne prendono altre2) Indirezione: non espongo porte, mantengo il NAT, gli apparati interni chiamano un servizio esterno su canale cifrato (funzionamento alla base del vecchio hamachi, skype, teamviewer etc.) e a quello accedo da remoto, sempre con canale cifrato e credenziali robuste.[cut]> punto è che> soltanto se si han standard aperti e community> che sviluppano si può avere qualche sicurezza: la> community è formata da utenti interessati, quindi> la sicurezza e l'aggiornamento son tenuti> d'occhio, l'azienda non ha più interesse a> sviluppare in casa quando ha già tutto pronto,> tanto più se è obbligata a rilasciare le source,incongruente con quanto hai scritto sopra: router basati su kernel FOSS e non aggiornati sono all'ordine del giorno su tutto il pianeta. Evidentemente non è una garanzia sufficiente. Almeno questo è il mio parere, poi se ti fa piacere crederlo, a posto così e amici come prima.