Ho incontrato la persona che ha avvertito del pericolo che correvano centinaia di persone con dispositivi esposti. Ci ha raccontato com’è andata
Proprio vero, la rete è un oceano di informazioni che attendono solo di essere pescate, e le sorprese non finiscono mai. Nel tempo dell’information overflow basta affacciarsi sui social per essere letteralmente sommersi da un’infinita quantità di dati, e tra le migliaia di news di ogni genere e grado, ecco piombarci addosso anche i dork.
Ma cosa sono i dork?
I dork sono particolari chiavi di ricerca che sono formulate per cercare in rete qualcosa di specifico. Ad esempio cercare su Google parole concatenate come questa “index of” inurl:wp-content/” consente di trovare tutti i siti Web che utilizzano il content management system WordPress e che hanno la directory wp-content “esposta”. Tutto ciò a cosa può servirci? Serve a farci segnalare dai motori di ricerca, quali sono tutti i siti Web nel mondo che contengono una vulnerabilità di cui possediamo l’exploit, ovvero possediamo una “tecnica” con cui possiamo effettuare un accesso non autorizzato.
Insomma se hai trovato una “chiave”, con un dork puoi cercare tutte le porte – nel Mondo – che possono essere aperte da quella chiave ed aprirle all’oscuro degli ignari proprietari.
Proprio attraverso un banale dork un esperto italiano di sicurezza informatica conosciuto in Rete con lo pseudonimo di Odisseus ha scoperto che in Italia ci sono oltre 600 dispositivi Lantronix accessibili e configurabili da Internet che sono in Rete e non sono protetti da alcuna password. Odisseus è un hacker etico, quindi ha immediatamente comunicato la sua scoperta al CertPA, ovvero il Computer Emergency Response Team della Pubblica Amministrazione che ha immediatamente recepito la notizia ed allertato i propri utenti.
I dispositivi Lantronix scoperti da Odisseus collegano device con connettività seriale su internet (macchine industriali, dispositivi sanitari, strumentazione specialistica) ed espongono un accesso da Amministratore senza protezione.
Ho quindi incontrato Odisseus in un bar del centro ed ho approfittato dell’occasione per fargli qualche domanda.
L’intervista a Odisseus
Come hai scoperto questa notizia?
Come si scoprono casualmente tutte le cose: ho notato un tweet di Dalmoz, Direttore del Threat Research presso @Akamai con il quale ci seguiamo su Twitter, che mostrava un dork per una categoria di dispositivi che in America conta 8,700 esemplari. Poi l’occhio mi è caduto sul secondo classificato: l’Italia. Il Tweet di Dalmoz diceva che usando quel dork era possibile ricercare su Shodan tutti i dispositivi Lantronix a cui potersi collegare senza immettere alcuna password. In effetti facendo un minimo di controllo il gioco era semplice: bastava scriviere la frase “Press Enter for Setup Mode” nel motore di ricerca Shodan ed ecco comparire tutti i dispositivi Lantronix nel mondo, Italia inclusa. In questo momento ci sono oltre 600 dispositivi alla mercè di chiunque voglia “manometterli”.
Ma di chi è la colpa di questa enorme “svista”?
Devo dire che come al solito la colpa è di chi installa questi dispositivi senza leggere il manuale utente. Infatti leggendo il manuale la casa costruttrice intima esplicitamente di disabilitare il servizio (Telnet e Web) di remote administration. Ma come spesso accade nessuno lo fà, consentendo a chiunque di accedere questi device senza neppure dover digitare la password di default, – proprio perchè non c’è alcuna password – ed avere accesso al pannello di amministrazione del dispositivo.
Dispositivi dell’Internet of Things (IoT), errate configurazioni e falle nei loro software …. Siamo all’ennesimo campanello d’allarme?
Certamente: da quando abbiamo iniziato a parlare di Mirai, e vorrei ricordare che Security Affairs conserva il primato di chi ne ha parlato per primo nel mondo, i produttori di dispositivi IoT hanno iniziato a costringere gli utenti a cambiare le password di default. Mi sembra davvero anomalo che la Lantronix non solo non abbia costretto l’utente a cambiare la password di default, ma abbia lasciato il dispositivo sprotetto consentendo a chiunque conoscesse l’indirizzo IP di connettersi via telnet sulla porta 9999 come Amministratore e cosi prendere il totale controllo del dispositivo
In un tuo Tweet parlavi anche di botnet.
Si, non ho approfondito la cosa per ovvi motivi, ma un accesso da Amministratore via Telnet è sempre piuttosto pericoloso e può aprire a molteplici scenari: uno tra tutti, dando un’occhiata veloce al manuale utente, con l’accesso da Amministratore ho visto che è possibile aggiornare il Firmware attraverso TFTP. Il che significa che – faccio un’ipotesi – se fosse possibile alterare il firmware inserendo qualcosa di “anomalo” (un malware n.d.r), si potrebbe aggiornare il firmware esistente del dispositivo per ottenere una botnet piuttosto consistente.
Ma senza scomodate le botnet, quale altro pericolo è in agguato?
Avendo accesso a tutta la configurazione di rete, DNS incluso, anche qui gli scenari potrebbero essere molteplici: dal Man in The Middle (MiTM) al Denial of Service (DoS). Questo ci mostra come questi dispositivi mettano a serio rischio impianti industriali di Aziende che ignorano completamente di essere vulnerabili in questo momento.
