skip to main | skip to sidebar
16 commenti

Promemoria: se lavori per la sicurezza nazionale, non usare “admin:admin” come login e password

Credit: Twitter/@stilgherrian.
La foto dell’aggressore
è puramente simbolica.
Se pensate di aver combinato un disastro informatico, consolatevi: è difficile che possa essere peggiore di quello combinato da un’azienda che collabora con il Dipartimento della Difesa australiano.

Stando a quanto pubblicato dal Sydney Morning Herald, l’azienda, di cui non viene fatto il nome ma è descritta come una società del settore aerospaziale con una cinquantina di dipendenti, si è fatta sottrarre circa 30 gigabyte di dati tecnici delicatissimi e dettagliati riguardanti i costosissimi nuovi caccia F-35, gli aerei di sorveglianza P-8 Poseidon, varie navi militari e munizioni di precisione.

Fra i tanti dati sottratti dagli sconosciuti incursori c’è, secondo le testimonianze raccolte, persino uno schema delle nuove navi della marina australiana così dettagliato da mostrare la disposizione delle postazioni in plancia.

L’azienda aveva una sola persona responsabile per la sicurezza informatica, non c’erano le normali misure di protezione (niente DMZ), non venivano installati gli aggiornamenti di sicurezza e la password di amministratore su tutti i server era la stessa. I servizi dell’azienda affacciati a Internet avevano ancora le password predefinite, ossia admin:admin e guest:guest. Gli intrusi sono entrati sfruttando una falla per la quale l’aggiornamento correttivo era disponibile da dodici mesi e sono rimasti nei sistemi informatici per tre mesi, saccheggiandoli, fino a quando le autorità australiane sono state allertate e sono intervenute.

Nonostante queste lacune evidenti, l’azienda era stata comunque certificata per trattare documenti governativi riservati a livello ITAR. Se vi siete mai chiesti come fanno le spie a rubare informazioni nel mondo reale, ora lo sapete: non servono tecniche da Mission: Impossible. Siamo in buone mani.


Fonti aggiuntive: ZDnet, Tripwire, ABC.


Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (16)
:-o a questo punto ci vorrebbe un'altra Azienda per certificare il lavoro dell'Azienda che certifica...
alla fine sono sempre questioni burocratiche, tante carte e certificazioni da appendere in bella mostra in reception per far vedere che...
La verità è che queste persone/aziende dovrebbero PAGARE salatamente le loro GRAVISSIME negligenze, chiunque tratti dati sensibili non può permettersi errori del genere.
Mi sembra veramente incredibile, per progetti di quel livello è fatto divieto di usare PC connessi.
E' lo stesso che ha fatto consulenza a Wind per gli account dei router root su telnet admin/admin esposti su internet, colpiti inesorabilmente da Brickerbot?
Nonostante queste lacune evidenti, l’azienda era stata comunque certificata per trattare documenti governativi riservati a livello ITAR.

E' anche evidente come sia stata ottenuta la certificazione.

Diciamo che la differenza tra l'Italia e gli altri paesi sta nel fatto che, in Italia, queste cose ormai si sanno mentre all'estero sono ancora nella fase in cui si "ibarazzano" e cercano di nascondere questre magagne.

Ovvio che chi ci rimette sono sempre le persone capaci ma che non hanno conoscenze in alto per farle lavorare nei posti che meriterebbero.
Suggerisco una password a prova di bomba: "pippo". :D
(Ridiamo per non piangere, va'.)
Non li hanno rubati, praticamente glieli hanno regalati!!!
Classico PEBKAC.
Un'azienda di 50 dipendenti, semplicemente NON può essere strutturata per trattare dati del genere. Non può avere il budget necessario per la struttura informatica ne tantomeno per pagare personale con una certa esperienza... Ecco perchè succedono queste cose.
Beh ragazzi, credo che sia giunto il momento di porsi delle domande o quantomeno di pensare in modo diverso, i nostri dati in possesso di Google, Apple, Microsoft o PincoPallino spa, nonostante la nomea del brand, potrebbero essere custoditi da perfetti imbecilli perché non è l'azienda a garantirne la sicurezza ma la (im)preparazionme di un singolo/team magari in outsourcing.
La muraglia scricchiola, che fare?
Stessa cosa di Wind Infostrada (e io sono uno degli sfortunati in attesa della sostituzione del modem fibra).
Mi lascia molto perplesso che i media non ne abbiano parlato per niente...
Senza nulla voler togliere alla gravità della notizia (e all'inettitudine dei colpevoli) penso che si debba fare un po' di chiarezza su cosa significa parlare di dati "riservati".

La classificazione militare prevede in generale tre gradi di sicurezza: riservato, riservatissimo e segreto (in inglese: restricted, confidential e secret) più eventualmente un "top secret".

Per fare qualche esempio della differenza fra i casi:
riservato -> una documentazione tecnica che permetterebbe al nemico di acquisire una tecnologia importante ma non essenziale
segreto -> i codici dei radar antiaerei - il nemico che ne viene in possesso può superare le difese aeree

Anche se le regole cambiano un po' da nazione a nazione, in generale i documenti riservati possono essere copiati, trasmessi via internet (purché criptati) e trasportati a mano senza grosse formalità.

I documenti dal riservatissimo in su possono essere trasportati solo da corrieri autorizzati, non possono essere inviati su reti pubbliche ed ogni copia (elettronica o fisica) va protocollata e tracciata fino alla sua distruzione.

Sono quasi certo che nel caso della ditta australiana si trattasse di dati del primo tipo.
Soprattutto perché conosco la paranoia degli Stati Uniti per tutto quanto riguarda l'F35 - alcuni miei ex colleghi (che pure lavoravano sul progetto, ma non erano cittadini USA) quando si trovavano in locali dove si trattano dati segreti venivano letteralmente guardati a vista - fino alla soglia del gabinetto - per verificare che non mettessero il naso dove non potevano :-)
Dai, per quanto possa essere piccola un'azienda, non posso credere che non pensino a cambiare le password predefinite, o ad installare, anche mensilmente, gli aggiornamenti di sicurezza... Ormai è qualcosa di facilissimo da fare con qualsiasi sistema operativo moderno!
Questa è pura e semplice negligenza, non diversa dall'uscire dall'ufficio lasciando la porta aperta.
Non si dovrebbe mai usare admin:admin, neanche se non lavori per la sicurezza nazionale
https://tinyurl.com/y7edf5px ;)
Uhm... varie considerazioni mi passano per la testa, ma nessuna ha il potere di rendere bene la manata da facepalm che mi sono stampato in faccia...

Basito.
@PierToso
La sicurezza ha costi spesso eccessivi.... Ma almeno la password!!!
La storia di BrikerBot e dei modem Wind non mi convince. Nel forum di Hardware Upgrade altri utenti riferisono che telnet non è raggiungibile da WAN (ma lo è dalla LAN) o che le credenziali sono note ma diverse da admin/admin.

Però è curioso che mentre con i modem di altri operatori da sempre ci sono difficoltà per entrare in telnet o altro sistema (basta vedere i vari trucchi trovati nei forum specializzati) altri lascino il telent facilmente scovabile con una semplice scansione.