Home
Intrusioni seriali

23 Luglio 2013

Intrusioni seriali

di

Big data, delizia per i ricercatori e croce per la comunità quando a servirsene è un personaggio di fama non limpida.

HD Moore lavora per Mandiant come Chief Security Officer ed è soprattutto Chief Architect in carica di Metasploit, uno dei più popolari framework per il penetration testing. Insomma, un soggetto di (scarsa) reputazione immaginabile.

Che cosa può succedere se una persona di questo tipo si trova a guardare nei dati raccolti sul controverso Internet Census Data di cui abbiamo avuto modo di parlare?

Succede che il ricercatore scovi qualcosa come centomila terminal server esposti su Internet e un serio problema collettivo di sicurezza:

Il proxy TCP e i protocolli di accesso proprietario portano a una situazione nella quale la maggior parte delle porte seriali esposte non richiedono autenticazione. Una analisi dei server con porta seriale esposti a Internet ha rivelato oltre tredicimila shell di root, console di sistema e interfacce amministrative prive di richiesta di autenticazione, dove in molti casi un utente autorizzato aveva già preautenticato l’accesso.

I terminal server permettono una connessione alla rete tramite una interfaccia seriale. Si tratta spesso di sistemi usati per la manutenzione o per il controllo di impianti. Utilizzando il protocollo SNMP HD, Moore ha identificato 114 mila terminal server prodotti da due specifiche marche, dei quali 95 mila esposti via connessioni mobili (GPRS o 3G).

Il problema è che queste connessioni spesso sono assolutamente sprotette (o sono protette in modo inadeguato) così che l’accesso (via shell, console o menu amministrativi) permette di operare immediatemente sull’oggetto connesso.

Che si tratti di terminali di pagamento connessi in rete privata ad una rete aziendale del sistema di gestione di una lavanderia o altro, il problema è che nel momento in cui questi sistemi sono connessi ad Internet (magari per consentire la gestione o la manutenzione da remoto), non è poi così difficile proteggerli in modo che richiedano credenziali di autenticazione e possibilmente operino su canali cifrati e autenticati. Perché spesso non accade?

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.