Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
|
Top |
|
|
Cesco67 Dio maturo
Registrato: 15/10/09 10:34 Messaggi: 1758 Residenza: EU
|
Inviato: 29 Mag 2018 06:49 Oggetto: |
|
|
Citazione: | Sempre gli investigatori federali americani invitano inoltre i possessori di dispositivi potenzialmente infetti a disabilitare l'accesso remoto ai dispositivi, e di impostare una password robusta a protezione dell'interfaccia di configurazione |
È la prima cosa che faccio quando configuro un nuovo router; riguardo il riavvio lo eseguo tutti i giorni in quanto accendo i vari apparecchi informatici solo quando li utilizzo, e li spengo (=tolgo l'alimentazione a 220V) quando ho terminato |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12239
|
Inviato: 29 Mag 2018 07:14 Oggetto: |
|
|
Andiamo...un riavvio non rimuove un malware...
Se ha cambiato qualche parametro, questo va riportato al valore di prima. Al massimo può essere utile prima ripristino (reset) e poi modificare le password. |
|
Top |
|
|
Cesco67 Dio maturo
Registrato: 15/10/09 10:34 Messaggi: 1758 Residenza: EU
|
Inviato: 29 Mag 2018 09:15 Oggetto: |
|
|
@ Maary79
Infatti nell'articolo è proprio scritto che il malware rimane, il riavvio serve per altro |
|
Top |
|
|
Ripper_92 Eroe in grazia degli dei
Registrato: 11/09/09 10:03 Messaggi: 193
|
Inviato: 29 Mag 2018 10:16 Oggetto: |
|
|
Maary79 ha scritto: | Se ha cambiato qualche parametro, questo va riportato al valore di prima. Al massimo può essere utile prima ripristino (reset) e poi modificare le password. |
Parlo per ipotesi, questo malware potrebbe anche cambiare il firmware per quanto ne sappiamo (non ho fatto ricerche a riguardo), a quel punto pure il reset di fabbrica non servirebbe a niente. |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12239
|
Inviato: 29 Mag 2018 18:35 Oggetto: |
|
|
Già, ma si può scaricare l'ultimo firmware dal sito del produttore, e provare ad installarlo, se non sono state inibite alcune funzioni.
Non si capisce neanche come faccia a colpire questo malware, quali SO... |
|
Top |
|
|
mda Dio maturo
Registrato: 01/11/06 09:39 Messaggi: 6648 Residenza: Figonia
|
Inviato: 30 Mag 2018 02:01 Oggetto: |
|
|
Pare che siano stati infettati alla costruzione in Ucraina mentre altri perchè avevano password di base standard ed ovviamente non cambiate dall'utente.
Nel secondo caso è bastato far uno scanner in rete internet e provare le password base standard. Qui la cosa è più grave di quanto sembri dato che bastava inserire una password random che poi si scrive su una tessera prima di vendere il router. Non basta scrivere nelle istruzioni di cambiare subito la password in installazione.
Spegnere e riaccendere per tracciarli? Meglio fare un aggiornamento software (del firmware) e cambiare la password con 12 caratteri con lettere e numeri.
Ciao |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12858 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 03 Giu 2018 15:07 Oggetto: |
|
|
Citazione: | [...]e di impostare una password robusta a protezione dell'interfaccia di configurazione. |
Questo è un ocnsiglio piuttosto ovvio ed è il minimo sindacale per chi acquista ed installa un router o un NAS, la cosa che trovo critica, invece, per i dispositivi Netgear è che non possa essere modificato l'utente admin ma solo la sua password e questo, a mio giudizio, rappresenta un limite critico. |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12239
|
Inviato: 04 Giu 2018 07:22 Oggetto: |
|
|
@Gladiator
Pensa che non lo fa nessuno.
Cmq anche il mio Sercomm, e la mia saponetta WiFi...non puoi cambiare l'user 'admin'... |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12858 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 04 Giu 2018 18:01 Oggetto: |
|
|
@Maary79
Dai non essere pessimista, quasi nessuno: io e te lo facciamo.
Il fatto di non poter cambiare l'admin invece ho notato che è una pessima abitudine di tanti fabbricanti e si che mi sembra non sia una complicazione tecnica così devastante o costosa renderlo possibile... |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11580 Residenza: Tokelau
|
Inviato: 05 Giu 2018 09:36 Oggetto: |
|
|
non poter cambiare la user è un problema minore, l'importante è poter cambiare la password! |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12239
|
Inviato: 05 Giu 2018 10:46 Oggetto: |
|
|
Gladiator ha scritto: | @Maary79
Dai non essere pessimista, quasi nessuno: io e te lo facciamo. Wink
|
Noi che scriviamo sulle news non facciamo testo...
Ma basta che ti fai un giro in questo forum (ma anche altri, sicuramente), quelli prettamente Windowsiani, e scoprirai che non lo fa nessuno. |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12858 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 05 Giu 2018 18:07 Oggetto: |
|
|
@Maary79
Eh lo so ma a volte cerco di essere ottimista...
@SverX
Sono d'accordo ma solo parzialmente non poter cambiare l'admin è fottere già metà della sicurezza della combinata user/password... |
|
Top |
|
|
seagate Eroe
Registrato: 24/02/16 11:44 Messaggi: 60 Residenza: Via Lattea
|
Inviato: 05 Giu 2018 18:18 Oggetto: |
|
|
Dovrebbero scriverlo sulla scatola, a caratteri cubitali, che non si può cambiare l'admin. |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11580 Residenza: Tokelau
|
Inviato: 06 Giu 2018 08:57 Oggetto: |
|
|
Gladiator ha scritto: | Sono d'accordo ma solo parzialmente non poter cambiare l'admin è fottere già metà della sicurezza della combinata user/password... |
allora usa una password 5 caratteri più lunga ancora per pareggiare |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12858 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 06 Giu 2018 18:09 Oggetto: |
|
|
@SverX
Certo, al mondo si possono fare tante cose per aggirare certe limitazioni ma, quello che io non capisco e voglio stigmatizzare, è che questa limitazione proprio non la capisco, non ci vedo alcuna ragione sensata - tecnica o altro - perché tanti produttori si ostinino a mantenerla.
Personalmente ho anche un vecchio NAS iomega di 8 o 10 anni fa che questa limitazione non ce l'ha affatto... |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11580 Residenza: Tokelau
|
Inviato: 07 Giu 2018 09:18 Oggetto: |
|
|
guarda, il punto è solo concettuale - la cosiddetta "autenticazione" si basa sul principio di presentare delle credenziali. Parte di queste credenziali è segreta (la password) e parte invece non lo è (la username) e non c'è niente che richiede che lo sia... anzi spesso è il contrario, per necessità.
Ti faccio un esempio. Vai su Gmail e prova a registrare la casella 'prova123@gmail.com': avrai la risposta "That username is taken. Try another.", e non penso che hai appena ridotto la sicurezza di quell'account. |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12858 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 07 Giu 2018 18:01 Oggetto: |
|
|
@SverX
Quindi, se capisco bene il tuo punto di vista, permettere ad un utente di modificare il suo username è inutile se non solo come identificativo.
Personalmente penso che, se per accedere ad un dispositivo, un hacker prima deve azzeccare lo username da fornire per il ruolo di admin poi una password faccia più fatica che inserendo la parola admin come username dovendo poi solo azzeccare la password.
In ogni caso il mio principale dissenso su questa scelta operata da parte di vari fabbricanti - che tu sembri non considerare nemmeno nelle tue risposte - è il fatto che, a mio giudizio, non ha ragioni né tecniche né economiche di essere e, quindi, non me la spiego affatto. |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11580 Residenza: Tokelau
|
Inviato: 08 Giu 2018 09:57 Oggetto: |
|
|
se l'hacker applica tecniche di bruteforcing, l'indovinare user e password corrisponde alla complessità di indovinare una password di lunghezza uguale alla somma delle due... quindi, appunto, se la user è fissa e questo ti preoccupa, allunga la password.
il fatto che non abbia né ragioni tecniche né economiche è comunque una tua opinione, e hai diritto di averla. Io credo che su un sistema dove non ha nessuna utilità avere più di un account di accesso (come un semplice router casalingo ad esempio) addirittura non abbia senso dovere specificare un account - sarebbe bastato un campo 'password' e basta, no?
(ma non lo fanno secondo me perché poi gli utenti si trovano perplessi davanti al fatto di non trovarsi i campi user e password - l'usabilità innanzitutto, evidentemente...) |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12858 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 08 Giu 2018 17:37 Oggetto: |
|
|
@SverX
Per il primo punto già fatto.
Per il secondo punto certo che è una mia opinione come ho scritto ma mi piacerebbe sapere anche la tua in merito.
Comunque, se per un router, potrei anche accettare la cosa per un NAS ad uso semi professionale dove c'è necessità di gestire comunque account diversi faccio veramente fatica a capire ed accettare.
Per gli utenti perplessi (o anche peggio), come sottolineava anche Maary79, purtroppo, non c'è problema: lasciano il dispositivo come viene fornito e tanti saluti alla sicurezza e questo, credo, indipendentemente dal fatto che l'admin sia o meno modificabile... |
|
Top |
|
|
|