A Maggio abbiamo parlato di BrickerBot, malware che attaccava i dispositivi IoT:

Tutti i dispositivi colpiti utilizzano un pacchetto chiamato BusyBox, hanno un’interfaccia telnet accessibile dall’esterno ed utilizzano le password di default.

E tutti sarcastici che, ridacchiando, si chiedevano chi potesse mai essere il genio a lasciare le password di default per poi lanciarsi in rete. Beh, abbiamo un vincitore: Wind!

Diversi giorni fa i clienti Fibra di Wind hanno iniziato a segnalare disservizi riguardanti la loro connessione in fibra. Nel giro di pochissimo tempo tutti router in fibra Nokia/Alcatel-Lucent forniti dall’operatore si sono trasformati in “eleganti” soprammobili in grado di fornire al massimo giochi di luci e colori.

Wind, in seguito alle segnalazioni, ha iniviato ai propri utenti Fibra questo SMS:

Gentile cliente, a seguito della sua segnalazione le comunichiamo che il problema dipende da un guasto tecnico del suo modem Nokia. Provvederemo pertanto insieme a Nokia alla sostituzione dell’apparato. A breve la contatteremo per concordare la data dell’intervento. Ci scusiamo per il disagio e rimaniamo a sua disposizione attraverso i nostri servizi di assistenza

Si beh, il guasto tecnico ed il router tramutato in mattoncino sono fuori discussione ma Wind ha inizialmente attribuito la colpa ad un aggiornamento automatico del firmware non andato a buon fine.

Con il passare dei giorni, parrebbe invece che non sia stato un aggiornamento mal riuscito, ma una situazione persistente che ha portato ad un infelice epilogo. Sul sito www.downdetector.it è comparso infatti questo commento dell’utente Bonny F.:

[…]The Wind modems had telnetd running on port 8023 and a default password admin/admin which gave anyone root access to them. Unfortunately the modems got bricked by malware known as ‘BrickerBot’ which wrote random data over the partitions.[…]

I modem Wind utilizzavano il servizio telnetd sulla porta 8023 e le credenziali di accesso di default admin/admin che davano a chiunque l’accesso come utente root. Sfortunatamente i modem sono stati brickati dal malware conosciuto come BrickerBot che scrive dati random sulle partizioni.

La parte peggiore, forse, è che un utente non può modificare queste credenziali sul dispositivo fornito dall’operatore, nonostante magari sia ben conscio delle conseguenze che una cosa del genere potrebbe generare!

A screditare ulteriormente l’ipotesi dell’aggiornamento andato male ci sono anche diversi commenti di utenti apparsi sul forum di Hardware Upgrade in cui ribadiscono che, nonostante l’aggiornamento del firmware, Telnet è sempre raggiungibile sulla medesima porta e con le stesse credenziali.

BrickerBot è nato esattamente con questo scopo: neutralizzare i dispositivi IoT pericolosi. Pericolosi perché avrebbero potuto trasformarsi in macchine al servizio di botnet, come successo in passato con Mirai.

Una lezione di sicurezza non indifferente per Wind (e speriamo anche per altri operatori) che ora ci penserà bene (mi auguro) prima distribuire hardware trascurando completamente ogni tipo di controllo.

La possibilità di concedere agli utenti la modifica di alcuni parametri di base sui loro modem invece la vedo ancora, purtroppo, abbastanza remota.

Elena Metelli

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.