A metà luglio Enrico vi ha raccontato di come non sia stata una buona idea, per l’amministrazione comunale di San Francisco, lasciare le password di accesso al solo amministratore di rete, che li stava ricattando.
Il costo di questo “scherzetto” viene ora quantificato in 1 milione di dollari (and counting, dato che altri 800 mila sono previsti), ma la vicenda non è certamente finita, e forse ha risvolti ben più pensati di quelli che fanno sorridere…
L’arresto del 28 giugno e le vicende successive potevano essere ricondotte a un “semplice” ricatto elettronico, seguito al suo arresto in seguito a un crimine del 1983 nascosto al momento dell’assunzione, ma i fatti di questi ultimi giorni lasciano intuire che le cose siano un po’ più grandi.
Gli investigatori hanno infatti scoperto a fine agosto un dispositivo collegato alla rete incriminata senza autorizzazione. Naturalmente anche questo router è inaccessibile ed è dichiaratamente di proprietà di Terry Childs, che nel frattempo sta sviluppando una vera e propria schiera di fan che lo difendono, come si addice ad un vero “eroe della rete”.
Il fatto è che all’interno della vasta rete comunale di San Francisco, nessuno sa dove si trovi questo router e di conseguenza nessuno può scollegarlo. Se oltre a Terry qualcun altro conoscesse la password di accesso a questo router, avrebbe facilmente – nuovamente – in mano uno strumento per compiere altri crimini informatici.
A questo punto i problemi diventano tre: la sicurezza informatica (la distribuzione delle password e dei livelli di accesso), la sicurezza “sociale” (assumere persone corrette che non diano di testa) e la sicurezza fisica (impedire che si possano fisicamente collegare apparati estranei alla propria rete). C’è da dire che secondo alcune testimonianze l’approccio di Childs alla sicurezza informatica rasentava la pura paranoia, ma questo di certo non lo giustifica. Però scommetto che da tutta questa faccenda ne trarranno un film…
Beh, ma dalle tabelle di routing degli altri dispositivi credo che si riesca a trovare a quali interfacce fisiche sia collegato, e da li ad andare a “tagliare” i fili è piuttosto facile…
Nel router di casa magari si… ma in una rete estesa come quella il discorso è un po’ più complicato
La nostra rete interna ha 120.000 nodi, estesi in tutto il mondo: il controllo possibile e’ a livello del singolo mac … come pure la possibilita’ di trovarli/bloccarli.
Un router, per suo mestiere … fa seguire delle “rotte” ai pacchetti: per cui sa benissimo quali sono i router intorno a lui – non ci molto a “isolare” un’altro router, es: basta toglierlo dalle tabelle di routing di tutti gli altri.
ergo: mi puzza di marcio, esattamente come il fatto che lui possedesse delle passw che lo rendevano padrone di una macchina.
eppure… magari non fa il mestiere di un router, ma consente di avere accessi wireless non autorizzati…
Se anche trovarlo fisicamente fosse difficile (impossibile non è), basta propagare delle regole nell’interior gateway protocol in uso per fare in modo che questo router venga estromesso dal traffico.
Il problema è la dimensione enorme della rete in questione…
Senza contare che il router in questione, quello cioè con la famosa password, potrebbe non essere soltanto uno, e considerando che Childs aveva accesso totale alla rete ed ha avuto tutto il tempo di prepararsi, potrebbe essere un vero incubo risolvere la cosa senza la sua collaborazione.
Suppongo che abbia progettato la cosa in modo da metterla al riparo dalle contromisure più semplici, infatti siamo ancora quì a parlarne a distanza di mesi.
Secondo me gli conviene cercare un accordo finchè è in tempo, perchè quando risolveranno questa cosa senza la sua collaborazione saranno cavoli ancora più amari per lui.
Ma il problema sostanziale è che non hanno accesso a tutti gli altri dispositivi percui non lo possono neanche isolare con le regole , visto che non le possono applicare.
Secondo me è un mito anche se
Come racconta gli eventi Tambu, nessuno mai..!
La sicurezza “sociale” non l’ho capita…
Non la si ottiene assumendo persone che non diano di testa, ma la si ottiene dando il giusto valore ad ogni mestiere.
Questo ragazzo sarà stato come al solito comandato da incompetenti con stipendi da più di 200.000$ quando lui magari prende solo 60/70.000$