1 porta, 0 password, 100 mila server

Intrusioni seriali

di

thumbnail

23

lug

2013

Big data, delizia per i ricercatori e croce per la comunità quando a servirsene è un personaggio di fama non limpida.

HD Moore lavora per Mandiant come Chief Security Officer ed è soprattutto Chief Architect in carica di Metasploit, uno dei più popolari framework per il penetration testing. Insomma, un soggetto di (scarsa) reputazione immaginabile.

Che cosa può succedere se una persona di questo tipo si trova a guardare nei dati raccolti sul controverso Internet Census Data di cui abbiamo avuto modo di parlare?

Succede che il ricercatore scovi qualcosa come centomila terminal server esposti su Internet e un serio problema collettivo di sicurezza:

Il proxy TCP e i protocolli di accesso proprietario portano a una situazione nella quale la maggior parte delle porte seriali esposte non richiedono autenticazione. Una analisi dei server con porta seriale esposti a Internet ha rivelato oltre tredicimila shell di root, console di sistema e interfacce amministrative prive di richiesta di autenticazione, dove in molti casi un utente autorizzato aveva già preautenticato l’accesso.

I terminal server permettono una connessione alla rete tramite una interfaccia seriale. Si tratta spesso di sistemi usati per la manutenzione o per il controllo di impianti. Utilizzando il protocollo SNMP HD, Moore ha identificato 114 mila terminal server prodotti da due specifiche marche, dei quali 95 mila esposti via connessioni mobili (GPRS o 3G).

Il problema è che queste connessioni spesso sono assolutamente sprotette (o sono protette in modo inadeguato) così che l’accesso (via shell, console o menu amministrativi) permette di operare immediatemente sull’oggetto connesso.

Che si tratti di terminali di pagamento connessi in rete privata ad una rete aziendale del sistema di gestione di una lavanderia o altro, il problema è che nel momento in cui questi sistemi sono connessi ad Internet (magari per consentire la gestione o la manutenzione da remoto), non è poi così difficile proteggerli in modo che richiedano credenziali di autenticazione e possibilmente operino su canali cifrati e autenticati. Perché spesso non accade?




Francesco Armando (@quasidot) ha iniziato a curiosare nel mondo dell’informatica ai tempi del glorioso Commodore 64 e da allora non è riuscito a smettere. Ha un debole per i temi della privacy, della disponibilità e della sicurezza. Pare lavorare presso un vendor europeo specializzato nella network security e si diletta a provare servizi online più o meno improbabili. Il suo blog è testimone di queste divagazioni quasi ragionevoli.

Letto 3.664 volte | Tag: , , , , , , , , , ,

Lascia il tuo commento