Leggendo l’intervista a Robert Moore, un cracker ventitreenne condannato a due anni di detenzione in una prigione federale per essersi introdotto illegalmente nel computer di una quindicina di compagnie di telecomunicazioni, ne è uscito un interessante spaccato di “mala sicurezza” globale.
Secondo Moore infatti: “è così facile che ci potrebbe riuscire pure un uomo delle caverne” — e prosegue — “quando si hanno tra le mani così tanti computer sei stupito di come sia insicuro tutto il sistema”. Il suo lavoro infatti era quello di scansionare la rete in cerca di router Cisco e dispositivi VoIP Quintum. Una volta trovati egli avrebbe provato su ognuno tutte le vulnerabilità standard come le password di default e gli exploit su bug non fixati. Invece la presenza di password ”admin” o “Cisco0”, per citare le più famose, hanno reso semplice il tutto, evitando di dover usare degli attacchi brute-force o dizionario. Questo perché il 70% delle aziende scansionate erano insicure come pure il 50% dei provider VoIP.
Keith Rhodes, un white hat, che testa i computer governativi, non si dimostra sorpreso da quanto affermato da Moore anche se lo considera un problema sciocco abilmente trasformato in business. Kenneth van Wyk, autore di diversi libri sulla sicurezza, invece ci va giù più duro sostenendo che si tratta di un problema ventennale a cui nessuno sembra voler porre rimedio. Infine Alan Paller, direttore delle ricerche al SANS Institute, non se la sente di dare tutta la colpa alle aziende e ai responsabili IT, sostenendo che la cura del prodotto dovrebbe venire soprattutto da chi lo produce obbligando l’utente a cambiare la password di default al momento della prima connessione.
Al di là del rimpallo delle responsabilità è incredibile pensare che ancor oggi le password di default siano più letali delle password più semplici e del social engineering più disarmante del tipo: “sono il tecnico dei computer mi dà la sua password? Come dice? ‘pippo’ tutto in minuscolo? Grazie.”
di Alessandro Vinciarelli - Programmazione.it