Backdoor in una SAN di HP


In una SAN di HP c'è un account non documentato che da un accesso totale al sistema. Con una password ridicola.

Certe volte quando leggo delle notizie, rimango esterrefatto. Quando si parla di sicurezza informatica, si pensa sempre a sistemi complicatissimi, delle cassaforti digitali inviolabili. Però nulla può fare contro la stupidità umana. Generalmente la più grossa violazione di sicurezza sono le persone stesse, non i sistemi. Le ingenuità, il pensare tanto figurati se succede a me.

Anni fa un mio corso fu frequentato da una persona che lavorava in un grosso ente pubblico, di cui non faccio il nome, con grosse responsabilità nel campo dell'economia. Mi raccontò che quando si iniziava a lavorare lì, veniva dato un account per accedere ai sistemi. La login era il cognome, la password il nome. Ed ognuno doveva cambiare la password al primo accesso. Ma non c'era alcuna policy che obbligasse a questa operazione. La conseguenza è che la maggior parte delle persone non avevano mai cambiato la password. Presidente dell'ente compreso. Quindi tutti potevano andare a scuriosare anche con i diritti di accesso del presidente. Malgrado l'importanza che aveva l'ente per l'economia italiana.

Oggi ho letto una notizia di questo tipo. HP commercializza una SAN nella quale è presente una back door. Esiste un account non documentato con la login:admin e password:!admin, tramite la quale è possibile accedere con tutti i poteri possibili al dispositivo. L'accesso non è nè modificabile, nè cancellabile dall'interfaccia di controllo. A seguito della scoperta della falla di sicurezza, HP ha affermato che è possibile cambiare la password tramite l'interfaccia da linea di comando.

Giusto per curiosità sono andato a vedere quanto costa questo aggeggino, che non è altro un array di dischi per memorizzare i dati di uno o più server. Sul sito dell'HP ecco il modico prezzo. A partire da appena 11 mila dollari.

Quindi riassumendo, io comprò un dispositivo per memorizzare in tutta sicurezza ed affidabilità i dati miei e dei miei clienti, ad un prezzo non indifferente e tu mi lasci una porta aperta grossa come una cosa, con una password stupidissima e non me lo scrivi nemmeno da nessuna parte. E solo adesso che la notizia si è sparsa mi dici che il problema è stato gestito e tutti i clienti verranno avvisati. E se intanto mi hanno fatto danni, se mi hanno rubato dati?

E stiamo parlando di HP, il primo produttore di computer al mondo. Senza parole.

Parlare di questa notizia, mi ha fatto ricordare uno spezzone di un vecchio e mitico film. Purtroppo non l'ho trovato in italiano. Però è in un inglese comprensibilissimo. Si parla di una password....

 
Password 1, 2, 3, 4, 5 (dal film Balle Spaziali)



Post correlati: