Blog
home > blog > Backdoor in una SAN di HP

Tag: sicurezza, HP, backdoor

Backdoor in una SAN di HP

In una SAN di HP c'è un account non documentato che da un accesso totale al sistema. Con una password ridicola.
di Maurizio Ceravolo

Certe volte quando leggo delle notizie, rimango esterrefatto. Quando si parla di sicurezza informatica, si pensa sempre a sistemi complicatissimi, delle cassaforti digitali inviolabili. Però nulla può fare contro la stupidità umana. Generalmente la più grossa violazione di sicurezza sono le persone stesse, non i sistemi. Le ingenuità, il pensare tanto figurati se succede a me.

Anni fa un mio corso fu frequentato da una persona che lavorava in un grosso ente pubblico, di cui non faccio il nome, con grosse responsabilità nel campo dell'economia. Mi raccontò che quando si iniziava a lavorare lì, veniva dato un account per accedere ai sistemi. La login era il cognome, la password il nome. Ed ognuno doveva cambiare la password al primo accesso. Ma non c'era alcuna policy che obbligasse a questa operazione. La conseguenza è che la maggior parte delle persone non avevano mai cambiato la password. Presidente dell'ente compreso. Quindi tutti potevano andare a scuriosare anche con i diritti di accesso del presidente. Malgrado l'importanza che aveva l'ente per l'economia italiana.

Oggi ho letto una notizia di questo tipo. HP commercializza una SAN nella quale è presente una back door. Esiste un account non documentato con la login:admin e password:!admin, tramite la quale è possibile accedere con tutti i poteri possibili al dispositivo. L'accesso non è nè modificabile, nè cancellabile dall'interfaccia di controllo. A seguito della scoperta della falla di sicurezza, HP ha affermato che è possibile cambiare la password tramite l'interfaccia da linea di comando.

Giusto per curiosità sono andato a vedere quanto costa questo aggeggino, che non è altro un array di dischi per memorizzare i dati di uno o più server. Sul sito dell'HP ecco il modico prezzo. A partire da appena 11 mila dollari.

Quindi riassumendo, io comprò un dispositivo per memorizzare in tutta sicurezza ed affidabilità i dati miei e dei miei clienti, ad un prezzo non indifferente e tu mi lasci una porta aperta grossa come una cosa, con una password stupidissima e non me lo scrivi nemmeno da nessuna parte. E solo adesso che la notizia si è sparsa mi dici che il problema è stato gestito e tutti i clienti verranno avvisati. E se intanto mi hanno fatto danni, se mi hanno rubato dati?

E stiamo parlando di HP, il primo produttore di computer al mondo. Senza parole.

Parlare di questa notizia, mi ha fatto ricordare uno spezzone di un vecchio e mitico film. Purtroppo non l'ho trovato in italiano. Però è in un inglese comprensibilissimo. Si parla di una password....

 
Password 1, 2, 3, 4, 5 (dal film Balle Spaziali)

Post correlati
2012
10
Gennaio
Aggiornamento automatico per Internet Explorer
Maurizio Ceravolo
Da gennaio 2012 Microsoft aggiornerà automaticamente tutte le vecchie versioni del suo browser. Un vantaggio in sicurezza per gli utenti, un grattacapo per le aziende.
2014
29
Aprile
Usa Google per scoprire se ti hanno hackerato il sito
Maurizio Ceravolo
Se si usano cms open source e non si è attenti agli aggiornamenti e alla sicurezza, si può essere bucati. Spesso in maniera invisibile. Google ci può aiutare a rilevarlo.


Archivio Mensile Blog
Tag Cloud
Apple Azure evoluzionismo digitale Facebook geek Geolocalizzazione Google Google+ humor innovazione iPhone Microsoft Motori di ricerca naming RDP social network video viral Web Design Wikipedia
Ultimi Post
I migliori di oggi
I più popolari del mese
Top post