Più di 2000 centraline d’allarme violabili

Azienda italiana espone su internet le sue centraline d’allarme mettendo in piazza dati e immagini dei clienti.

Tempo fa stavo facendo alcune ricerche su shodan.io (ormai chi segue i miei post sa che sono un assiduo frequentatore) quando qualcosa attira la mia attenzione. Sembrano una serie di IoT, di una nota azienda italiana, con interfaccia web esposta su internet e che hanno tutta l’aria di essere una sorta di “antifurto” per la casa:

Pagina principale raggiungibile tramite browser

In seguito ho affinato la ricerca e ho scoperto che, prima di tutto, ciò che pensavo fosse un semplice “antifurto” in realtà si chiama “centralina d’allarme”. Questo perché non solo funge da allarme per la casa, ma si collega con eventuali telecamere, luci, sensori il tutto connesso remotamente con una centrale operativa. Successivamente sono riuscito a raccogliere un buon numero di risultati da Shodan: in un primo momento 1300 poi 2700 centraline dello stesso produttore:

2770 centraline d’allarme trovate su shodan

Vi starete chiedendo:

e quindi? quale sarebbe il problema se sono esposte su internet?! sono protette da un codice numerico!!

Ottima osservazione, bravi! Il problema è che il produttore della centralina ha pubblicato su internet il manuale installatore dentro cui è specificata la password di default che, non immaginerete mai, è 000000 (sei zero):

Inutile dire che la password di default è stata mantenuta per il 99,9% delle centraline d’allarme che ho trovato su Shodan. Infatti, prendendone una a caso, e inserendo il codice 000000 si ottiene questo:

Schermata principale post-login
informazioni sulla SIM interna

Lo so, altre domande defluiscono dalle vostre menti assetate di conoscenza :) del tipo:

beh, al massimo qualcuno può disattivare l’allarme di casa mia o sapere quanto credito residuo ha la scheda SIM del mio antifurto, ma dove sta il problema?? stai sempre lì a creare allarmismo inutile… non hai un hobby normale come tutti gli altri? tipo il modellismo…

Il problema è che la connessione con le telecamere è configurabile sempre tramite lo stesso “pannello di controllo” e, rullo di tamburi, lo username e la password per accedere alle telecamere vengono salvate in chiaro sia sulla pagina di configurazione della centralina che sul codice HTML! (quando l’ho visto mi è caduta la mascella):

Password in chiaro sulla pagina di configurazione
Password in chiaro all’interno del codice JavaScript del pannello di controllo

Il risultato? è questo:

Telecamera connessa alla centralina del povero cliente
Altra telecamera collegata alla centralina

Tentando di andare oltre al discutibile gusto nella scelta dei lampadari e delle automobili, la questione è molto grave e non è giusto minimizzare o giustificare la totale indifferenza del produttore. Ho riflettuto a lungo sul fatto di rivelare o meno il nome dell’azienda, a cui ho prontamente segnalato la problematica e che (come spesso accade) ha semplicemente ignorato le mie indicazioni.

Sono arrivato alla conclusione che pubblicando gli screenshot dell’interfaccia utente, i clienti che hanno acquistato questo prodotto lo riconosceranno e sapranno di chi sto parlando. Per tutti gli altri, potete provare a chiedermi in privato (su linkedin o twitter) il nome dell’azienda… magari otterrete questa informazione.

Ok, ammettiamo per un secondo che la colpa della “debolezza” del codice d’accesso sia da imputare all’installatore invece che al produttore… è vero. Voglio far finta di credere che l’azienda che produce queste centraline abbia detto agli installatori:

“oh ragazzi, vedete di cambiare il codice d’accesso dopo la prima installazione perché zero-zero-zero-zero-zero-zero è veramente ridicolo e poco sicuro!”

e che questi abbiano completamente ignorato tale indicazione. Resta il problema delle password delle telecamere in chiaro… qui è palese la responsabilità di chi ha concepito la GUI di gestione. Non solo le password vengono “registrate” in chiaro all’interno della centralina, ma vengono esposte sia sul codice HTML del pannello di controllo che sulla pagina di configurazione.

È inaccettabile che nel 2017 non esista una legge che imponga un certo livello di sicurezza e di “best practice” per chi produce sistemi che dovrebbero proteggere privati e aziende, famiglie e lavoratori.

Nei prossimi giorni penserò a un modo per segnalare ai poveri e ignari clienti di questa azienda che le loro telecamere non devono più essere esposte su internet o comunque collegate a una centralina il cui codice d’accesso è rappresentato da una serie di zero. Non so ancora bene come ma in qualche modo riuscirò a far arrivare il messaggio (a costo di sconfigurarle).

-theMiddle