Andrea Beggi

Emancipate yourself from mental slavery.

Sechiuriti/2

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

Durante una intervento presso un nuovo cliente ho trovato una coppia di apparati Aethra, installati da $GrossoProvider (non il solito e nemmeno quello della fibra), in comodato d’uso. Essi forniscono fonia ISDN al centralino e connettività ADSL alla rete.
Per fortuna ho installato una appliance firewall, perché ieri sera da casa, ho scoperto che puntando un browser all’IP pubblico del cliente si apre l’interfaccia amministrativa dell’apparecchio che funge da router.
Le credenziali le ho beccate al primo tentativo: “root” con password vuota.
Non ho parole.

Tags: ,

11 Commenti

theo | #

E quelli che mette $solitoGrossoProvider? Che cambia le pw di admin ma non quelle dell’utente (il quale può attivare il forward delle porte)?

Emmo | #

eh eh già, capitato anche a me più di una volta.
Direi che si abbina perfettamente a quanto riportato oggi da PI, secondo cui solo un *tecnico* può installare un router o un modem adsl…

Davide Salerno | #

Beh considera che di solito chi si impegna a sbarrarti la strada mette di solito come nome utente: admin e password: passwd o password…
E poi si lamentano che le cose non funzionano…

Stefano "Free.9" Scardovi | #

Dunque mi confermi che il VoIP puo’ essere attaccato ad un centralino ISDN?

Bella notizia, quando il VoIP sara’ attendibile… anzi, quando le ADSL saranno attendibili.

Barbara | #

Ohamma fortunato il nuovo cliente a essere incappato in te prima che se ne sia accorto qualcun altro

Simone | #

Ah se è per questo a volte si riesce ad entrare in alcuni cms di alcuni siti mettendo admin admin ..

mattneri | #

Non mi stupisco molto. Nel mio precedente lavoro tra i nostri clienti in assistenza vi erano alcuni comuni. Le password di root dei server unix principali erano nientemeno che il nome del comune…non serve che vi dica che i firewall erano un optional…

…e poi si parla di protezione dei dati sensibili e privacy…se se :)

Brivio Stefano | #

@mattneri: Se si facesse un’analisi basic della sicurezza informatica media su di un campione di c
Comuni Italiani aventi un minimo di infrastruttura IT, ci sarebbe da mettersi le mani nei capelli …

Ovviamente parlo per esperienza personale ;)

Melvin | #

Aggiungo che non sembrano avere una sorta migliore le intranet di molte aziende, alle quali si può tranquillamente ed indisturbatamente accedere con qualche piccolo banale trucchetto.
All’interno molti dati aziendali e dati personali degli ignari impiegati…
Questo credo ci dia anche una vaga idea sulla scarsa qualità e professionalità delle persone a cui spesso vengono affidati i sistemi informativi.
Saluti.