On Mon, Oct 27, 2008 at 7:54 PM, Luca Carettoni <[EMAIL PROTECTED]> wrote: [...] > Voleva solamente essere una dimostrazione della poca attenzione che i > produttori hanno rispetto alle problematiche di > sicurezza di questi oggetti. Peccato che il loro uso non e' limitato a > quello domestico e in effetti esistono un sacco di piccole imprese che > si affidano a questi apparati per la fornitura di connettivita'.
Ma questo non puoi considerarlo un problema dei fornitori di router. E comunque, so di un sacco di gente (in teoria sysadmin professionisti) che implementa soluzioni di "port knocking" da Internet in sistemi che dovrebbero rimanere sicuri. In pratica fanno deliberatamente in sistemi che invece dovrebbero rimanere confidenziali, quello che questi vendor fanno su sistemi casalinghi. Qualcuno magari dovrebbe guardare alla trave che ha nel proprio occhio prima di urlare contro la pagliuzza degli altri ;-) > Cisco nelle ricerche pubblicate su GNUcitizen non c'e' per una > semplice questione di costo delle apparecchiature su cui fare test nel > tempo libero :) Se permetti, noi paghiamo decine di migliaia di Euro l'anno per ricevere advisory che spero siano professionali (visto cosa li paghiamo :-)) da Secunia, X-force e companeros. Parlo dal punto di vista del professionista della sicurezza, non dell'hobbista (per carità rispettabile, anzi, magari ha più tempo da perdere di noi nel ricercare certe "falle"...). Può darsi che Secunia con i "router casalinghi" non ci perda nemmeno tempo... Comunque non ho mai ricevuto da Secunia o da X-Force notizie di backdoor su router o firewall Cisco... [...] >> > btw: http://www.cisco.com/warp/public/707/cisco-sa-20060712-crws.shtml >> > >> >> Un advisory del 2006, che per la verità mostra soltanto che una >> configurazione di default è insicura... non so cosa dovrebbe >> dimostrare? > > " The default IOS configuration shipped with the CRWS application does > not include an enable password or an enable secret command, allowing > access to the Cisco IOS HTTP server interface at any privilege level". > > C'e' poco da commentare. Altro che se c'è. Ancora, non vedo nulla di sensazionale. Un sacco di gente legge questi advisory e, non conoscendo la piattaforma, gli sembra chissà quale grave falla di sicurezza. Nessun sistema Cisco è fornito di default con la password di config exec ("enable o enable secret") e se è per questo nemmeno con quella di semplice accesso al router. Sono decenni che la gente inserisce la (le) password come normale routine di hardening. Inoltre non si può accedere al CRWS se non dalla LAN inside (AFAIK). Se la gente leggesse il manuale del router (cosa che dovresti fare, prima e durante l'installazione, dato che è un sistema SOHO) userebbe delle password. Infine, ancora, stiamo parlando del 2006?!? > Pur consapevole del fatto che non esiste una vulnerabilita' piu' > critica di un'altra in termini assoluti, Altro che se c'è. Un sacco di aziende fa soldi sfornando "vulnerabilità". Un tool che "si dimentica" di mettere una password di default, non mi pare una vulnerabilità, ma "your mileage may vary"... tutto fa brodo e tutto fa cassa. > direi che tra un accesso > telnet che puo' essere sfruttato solo in condizioni particolari > (192.168.1.X + magic packet) ed il problema di questi Cisco mi e' > abbastanza facile scegliere. Esatto, e scelgo il primo senza alcun dubbio. Se non altro perché il secondo non è una vulnerabilità, ma una configurazione di default, ed è risolto da due anni :-) > A margine direi che il vero problema di questi apparecchi non e' tanto > nelle vulnerabilita' ma quanto nel diverso approccio che gli > utilizzatori hanno per aggiornare firmware ed applicare patch. Spesso > non viene rilasciata una nuova versione del firmware, spesso e' > rischioso applicarla, spesso gli utilizzatori SOHO non lo sanno > nemmeno fare. Spesso (quasi sempre) è facile come leggere le istruzioni del manuale o lanciare un programma .EXE da Windows. E in altri ambiti, non casalinghi, non è comunque facile :-) Cordiali saluti -- Marco Ermini [EMAIL PROTECTED] # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
