Alfonso Maruccia

Google, lo storage di rete è indicizzato

Nuovo allarme sui rischi connessi ai dispositivi di storage connessi alle reti locali, sistemi teoricamente al sicuro ma che in realtà mettono a disposizione di Internet tutta file che sarebbero dovuti rimanere privati

Roma - Google indicizza anche i file presenti sulle unità di storage connesse alle reti locali, e la colpa non è di Mountain View quanto piuttosto degli utenti incauti e poco informati sui rischi connessi all'archiviazione di dati che si vorrebbero privati, al riparo da criminali e da occhi indiscreti.

Il nuovo allarme sullo storage disponibile in "cloud" arriva da CSO, che con poche, semplici istruzioni di ricerca ha potuto "scavare" all'interno di HDD, NAS e dischi connessi in rete, accessibili via FTP e non configurati correttamente per tenere fuori dalla porta tutti tranne i legittimi proprietari dei dischi.

Le ricerche di CSO hanno portato all'identificazione di un gran numero di file contenenti dati sensibili e riservati quali password, foto private, diari personali, documenti familiari, email, informazioni relative a passaporti e carte di identità, dichiarazioni dei redditi, dettagli su account finanziari o carte di credito e molto, molto altro.
I casi peggiori di "cloud personale" aperto ai quattro venti coinvolgono secondo CSO sistemi di storage prodotti da Seagate (Personal Cloud, Business NAS), Western Digital (MyCloud), e LaCie (CloudBox). Per ciascuno di questi dispositivi CSO indica i passi necessari a rafforzare la sicurezza, fatto che dovrebbe impedire una volta per tutte ai motori di ricerca pubblici di indicizzare i file privati.

Alfonso Maruccia
Notizie collegate
  • SicurezzaCloud storage, attenti al linkDropbox ammette, Box ci pensa. Cartelle e documenti condivisi attraverso le piattaforme online possono finire nelle mani sbagliate. Per la disattenzione di chi li gestisce
11 Commenti alla Notizia Google, lo storage di rete è indicizzato
Ordina
  • poi quella resta ignuda e prende freddo. Credo sia la 290301esima "analisi" di una societa' che "da l'allarme" via google dork. Che noia. (E che invidia... come mai loro si e il mio report/grido d'allarme no?Con la lingua fuori )
    non+autenticato
  • - Scritto da: bubba
    > poi quella resta ignuda e prende freddo. Credo
    > sia la 290301esima "analisi" di una societa' che
    > "da l'allarme" via google dork. Che noia. (E che
    > invidia... come mai loro si e il mio report/grido
    > d'allarme no?Con la lingua fuori
    > )

    Come no?
    Mi pare che i nostri gridi d'allarme abbiano molto piu' spazio su PI dei loro.
  • peggio del "cloud" c'è solo il "cloud fatto in casa"
  • - Scritto da: bradipao
    > peggio del "cloud" c'è solo il "cloud fatto in
    > casa"

    No, il peggio e' il cloud fatto da persone incompetenti, non che sia fatto in casa.

    Il marketing che fa credere a qualunque idiota di essere in grado di amministrarsi da solo una rete locale sta provocando danni immensi.

    L'informatica non ammette ignoranza.
  • - Scritto da: panda rossa
    > No, il peggio e' il cloud fatto da persone
    > incompetenti, non che sia fatto in casa.

    Io partivo dal presupposto che l'utente medio (acquirente di quei prodotti) è quasi sempre incompetente.

    Faccio un esempio correlato: Per curiosità personale, mi sono comprato una IPcam, per toccare con mano la quantità di dati del flusso video e la comandabilità, sia in rete locale, che esposta su internet. Sono rimasto orripilato dalla vulnerabilità. Di fatto qualsiasi IPcam di quella marca (ma sono sicuro anche gran parte delle altre nella fascia di prezzo da centro commerciale) sono di fatto esposte a chiunque. Manca una qualsiasi parvenza di sicurezza, persino quelle basilari.
    -----------------------------------------------------------
    Modificato dall' autore il 13 aprile 2015 17.49
    -----------------------------------------------------------
  • - Scritto da: bradipao
    > - Scritto da: panda rossa
    > > No, il peggio e' il cloud fatto da persone
    > > incompetenti, non che sia fatto in casa.
    >
    > Io partivo dal presupposto che l'utente medio
    > (acquirente di quei prodotti) è quasi sempre
    > incompetente.

    Quasi?

    > Faccio un esempio correlato: Per curiosità
    > personale, mi sono comprato una IPcam, per
    > toccare con mano la quantità di dati del flusso
    > video e la comandabilità, sia in rete locale, che
    > esposta su internet. Sono rimasto orripilato
    > dalla vulnerabilità. Di fatto qualsiasi IPcam di
    > quella marca (ma sono sicuro anche gran parte
    > delle altre nella fascia di prezzo da centro
    > commerciale) sono di fatto esposte a chiunque.

    Confermo.

    > Manca una qualsiasi parvenza di sicurezza,
    > persino quelle
    > basilari.

    Che pero' sono implementabili lato client.
    Quindi non vedo il problema.

    D'altra parte pure quella massa ignorante che si espone non proteggendo le connessioni non vede il problema.

    E il proverbio dice: occhio non vede, cuore non duole.
  • - Scritto da: panda rossa
    > > Manca una qualsiasi parvenza di sicurezza,
    > > persino quelle basilari.
    > Che pero' sono implementabili lato client.
    > Quindi non vedo il problema.

    Il problema è sostanziale. L'utente normale, quello del 99.9% dei casi, compra qualcosa che vuole connettere ed usare, senza dover avere competenze specifiche.

    La IPcam può essere acceduta con una app, quindi sembra quantomeno sicura. Se poi, come ho fatto, vai a ispezionare il traffico di rete, vedi prima di tutto che lo scambio dati avviene in http e non https, il che la rende quantomeno non adatta ad essere esposta su internet. Poi scendi nel dettaglio e, orrore, username e password passano in chiaro come parametri di una richiesta HTTP GET.

    Ora, io non pretendo che sia tutto criptato e stra-sicuro. Ma almeno le basi ci dovrebbero essere. Basterebbe veramente poco.
  • - Scritto da: bradipao
    > - Scritto da: panda rossa
    > > > Manca una qualsiasi parvenza di sicurezza,
    > > > persino quelle basilari.
    > > Che pero' sono implementabili lato client.
    > > Quindi non vedo il problema.
    >
    > Il problema è sostanziale. L'utente normale,
    > quello del 99.9% dei casi, compra qualcosa che
    > vuole connettere ed usare, senza dover avere
    > competenze
    > specifiche.
    >
    > La IPcam può essere acceduta con una app, quindi
    > sembra quantomeno sicura. Se poi, come ho fatto,
    > vai a ispezionare il traffico di rete, vedi prima
    > di tutto che lo scambio dati avviene in http e
    > non https, il che la rende quantomeno non adatta
    > ad essere esposta su internet. Poi scendi nel
    > dettaglio e, orrore, username e password passano
    > in chiaro come parametri di una richiesta HTTP
    > GET.
    >
    > Ora, io non pretendo che sia tutto criptato e
    > stra-sicuro. Ma almeno le basi ci dovrebbero
    > essere. Basterebbe veramente
    > poco.

    Se vai a vedere , la maggior parte dei router non supporta https.
    Basterebbe anche un minimo di impegno da parte dei produttori per risolvere alcune problematiche.
    non+autenticato
  • - Scritto da: nome
    > - Scritto da: bradipao
    > > - Scritto da: panda rossa
    > > > > Manca una qualsiasi parvenza di
    > > > > sicurezza, persino quelle basilari.
    > > > Che pero' sono implementabili lato client.
    > > > Quindi non vedo il problema.

    > > Il problema è sostanziale. L'utente normale,
    > > quello del 99.9% dei casi, compra qualcosa che
    > > vuole connettere ed usare, senza dover avere
    > > competenze specifiche.

    > > La IPcam può essere acceduta con una app, quindi
    > > sembra quantomeno sicura. Se poi, come ho fatto,
    > > vai a ispezionare il traffico di rete, vedi
    > > prima di tutto che lo scambio dati avviene in
    > > http e non https, il che la rende quantomeno non
    > > adatta ad essere esposta su internet. Poi scendi
    > > nel dettaglio e, orrore, username e password
    > > passano in chiaro come parametri di una richiesta
    > > HTTP GET.
    > >
    > > Ora, io non pretendo che sia tutto criptato e
    > > stra-sicuro. Ma almeno le basi ci dovrebbero
    > > essere. Basterebbe veramente poco.

    > Se vai a vedere , la maggior parte dei router
    > non supporta https.
    > Basterebbe anche un minimo di impegno da parte
    > dei produttori per risolvere alcune problematiche.

    Ed anche dei consumatori esperti, che potebbero ben consigliare su queste cose: io devo cambiare router cosa mi consigliate che supporti https ?

    Qualcosa di stabile e robusto.
    non+autenticato
  • - Scritto da: bradipao
    > - Scritto da: panda rossa
    > > > Manca una qualsiasi parvenza di sicurezza,
    > > > persino quelle basilari.
    > > Che pero' sono implementabili lato client.
    > > Quindi non vedo il problema.
    >
    > Il problema è sostanziale. L'utente normale,
    > quello del 99.9% dei casi, compra qualcosa che
    > vuole connettere ed usare, senza dover avere
    > competenze
    > specifiche.

    Questa e' una conseguenza delle scellerate scelte del marketing degli ultimi decenni.

    Io ricordo perfettamente che quando ero bambino e in famiglia arrivo' il primo televisore a colori in epoca delle TV private, mi ero messo li' un pomeriggio a configurare a mano tutti i canali, inserendo le corrette frequenze mediante rotellina analogica.
    Niente di complesso, ma quella volta imparai molto del funzionamento delle frequenze televisive, tanto che in seguito, quando arrivo' il televisore con ricerca digitale, io andavo a richiamare i canali direttamente inserendo il numero della frequenza.
    Cosa molto utile negli alberghi dove trovavo televisori in cui erano pre-programmati i soli canali rai e io andavo a cercare tutti gli altri che si ricevevano.

    Oggi invece la ricerca dei canali e' concepita per gli idioti: accendi e fa tutto lui, cosi' nessuno riesce ad imparare piu' niente, e la gente rincitrullisce.
    Non solo, ma hanno pure impedito di andare a fare una risintonazione manuale.

    Con i computer e' lo stesso: siamo partiti dai primi pc dove ti dovevi slottare a mano le schede e configurare gli interrupt con gli switch, a quelle di oggi tutte integrate in cui l'utente non ha piu' nessun potere.


    > La IPcam può essere acceduta con una app, quindi
    > sembra quantomeno sicura. Se poi, come ho fatto,
    > vai a ispezionare il traffico di rete, vedi prima
    > di tutto che lo scambio dati avviene in http e
    > non https, il che la rende quantomeno non adatta
    > ad essere esposta su internet.

    E io non la esporrei su internet comunque.

    > Poi scendi nel
    > dettaglio e, orrore, username e password passano
    > in chiaro come parametri di una richiesta HTTP
    > GET.

    Mi chiedo a che serva una password in quel caso.

    > Ora, io non pretendo che sia tutto criptato e
    > stra-sicuro. Ma almeno le basi ci dovrebbero
    > essere. Basterebbe veramente
    > poco.

    Basterebbe rendere moddabile il firmware, poi il produttore esce con il sistema che gli pare e uno autonomamente puo' riscriverselo come si deve.
  • - Scritto da: bradipao
    > - Scritto da: panda rossa
    > > > Manca una qualsiasi parvenza di sicurezza,
    > > > persino quelle basilari.
    > > Che pero' sono implementabili lato client.
    > > Quindi non vedo il problema.
    >
    > Il problema è sostanziale. L'utente normale,
    > quello del 99.9% dei casi, compra qualcosa che
    > vuole connettere ed usare, senza dover avere
    > competenze
    > specifiche.
    >
    > La IPcam può essere acceduta con una app, quindi
    > sembra quantomeno sicura. Se poi, come ho fatto,
    > vai a ispezionare il traffico di rete, vedi prima
    > di tutto che lo scambio dati avviene in http e
    > non https, il che la rende quantomeno non adatta
    > ad essere esposta su internet. Poi scendi nel
    > dettaglio e, orrore, username e password passano
    > in chiaro come parametri di una richiesta HTTP
    > GET.
    ed e' gia buono che abbia una pw che funzioniCon la lingua fuori   pensa a quelle che hanno dei cgi-bin del menga dove basta un paio di caratteri per evadere la gestione account...
    non+autenticato