Ubiquiti vittima di un attacco hacker "catastrofico"? Poca trasparenza dalla società

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...eta_96672.html

Nei mesi passati la società avrebbe subito un attacco hacker, ma è stata poco chiara nelle informazioni condivise con i clienti. L'analisi di Brian Krebs prova a fare luce sulla vicenda

Click sul link per visualizzare la notizia.

[Paganetor]

ho letto che anche Boggi (abbigliamento) ha subito un attacco simile.

Bisognerebbe obbligare le aziende a denunciare simili eventi se coinvolgono informazioni sensibili di dipendenti o utenti, non è possibile che si venga a sapere solo a cose fatte (e magari con la mia utenza sottratta sono riusciti a fare qualcosa senza che me ne accorgessi)

[Axios2006]

Quote:

il team legale della società abbia impedito di dare segnalazione accurata e puntuale ai clienti sulle possibili conseguenze e rischi dell'accaduto.

92 minuti di applausi. Simili societa' vanno premiate con il fallimento. Senza se e senza ma.

Comunque, si attende l'ondata buonista del "poverini, tutti possono sbagliare"...

[\_Davide_/]

Quote:

Originariamente inviato da Paganetor

Bisognerebbe obbligare le aziende a denunciare simili eventi se coinvolgono informazioni sensibili di dipendenti o utenti, non è possibile che si venga a sapere solo a cose fatte (e magari con la mia utenza sottratta sono riusciti a fare qualcosa senza che me ne accorgessi)

In Europa è tassativamente obbligatorio, nel resto del mondo è condizionale...

[virtualdj]

Ma come, non era la società consigliata da tutti per i suoi prodotti fantastici?

[SpyroTSK]

Quote:

Originariamente inviato da virtualdj

Ma come, non era la società consigliata da tutti per i suoi prodotti fantastici?

L'hardware è ottimo, il problema secondo me (non solo di ubiquiti) è che hanno questa mania di semplificare l'utente nella configurazione (tagliando parti avanzate molto utili) e fare tutto in cloud, cosa secondo me assurda e inutile oltre che rischiosa per la sicurezza.

L'unico modo di avere cose configurabili "alla vecchia maniera" è prendere i dispositivi fascia Pro, il problema è che spesso costano 2 volte tanto.

[io78bis]

Quote:

Originariamente inviato da SpyroTSK

L'hardware è ottimo, il problema secondo me (non solo di ubiquiti) è che hanno questa mania di semplificare l'utente nella configurazione (tagliando parti avanzate molto utili) e fare tutto in cloud, cosa secondo me assurda e inutile oltre che rischiosa per la sicurezza.

L'unico modo di avere cose configurabili "alla vecchia maniera" è prendere i dispositivi fascia Pro, il problema è che spesso costano 2 volte tanto.

Il problema non è il Cloud se configurato nel modo corretto e da persone capaci. In questo caso poi se è vero che la causa è il salvataggio delle password Admin su un servizio di Password Manager il problema è l'incompetenza del SysAdmin

[giuliop]

Quote:

Originariamente inviato da virtualdj

Ma come, non era la società consigliata da tutti per i suoi prodotti fantastici?

Già, perché un attacco ai loro server AWS abbassa la qualità dei loro prodotti

[Notturnia]

il DPCM obbliga in Italia/Europa a comunicare qualsiasi aggressione al sistema informatico che coinvolga dati sensibili dei clienti..

[Tasslehoff]

Quote:

Originariamente inviato da SpyroTSK

L'hardware è ottimo, il problema secondo me (non solo di ubiquiti) è che hanno questa mania di semplificare l'utente nella configurazione (tagliando parti avanzate molto utili) e fare tutto in cloud, cosa secondo me assurda e inutile oltre che rischiosa per la sicurezza.

L'unico modo di avere cose configurabili "alla vecchia maniera" è prendere i dispositivi fascia Pro, il problema è che spesso costano 2 volte tanto.

No, non c'è alcuna differenza tra fascia "pro" e le altre, tutto viene controllato attraverso l'unifi controller (che è una dashboard che ben pochi produttori possono eguagliare).

L'unifi controller (che è un normalissimo sw che può essere installato su qualsiasi OS, anche su arm, infatti su Raspberry PI e simili va che è un piacere) da qualche versione in qua permette di accedere con account "cloud" Unifi, ma non è affatto obbligatorio e si può cmq accedere con utente locale che viene salvato nel database mongodb usato dalla console unifi in locale.

Da una parte Ubiquiti ha certamente incentivato gli utenti a usare la login "cloud" relegando in un angolino la creazione di un utente locale durante il setup (del resto è quello che fanno tutti, fate caso al setup di Windows 10 tanto per fare un esempio eclatante), dall'altra però ha inciso molto la pigrizia di tanti utenti che anzichè cercare se fosse possibile creare un account locale si è limitata a seguire il classico wizard "checcivuole?"

[miky_b854]

Io posseggo apparati ubiquiti con il mio bel serverino dentro casa, accedibile solo sotto vpn... altro che cloud. prossimo step un NAS degno di essere chiamato tale.

[\_Davide_/]

Quote:

Originariamente inviato da SpyroTSK

L'unico modo di avere cose configurabili "alla vecchia maniera" è prendere i dispositivi fascia Pro, il problema è che spesso costano 2 volte tanto.

Ma no, nessuno obbliga a linkare l'account online: io ho il mio per comodità ma dai clienti è tutto offline e accedo tramite VPN.

Quote:

Originariamente inviato da Notturnia

il DPCM obbliga in Italia/Europa a comunicare qualsiasi aggressione al sistema informatico che coinvolga dati sensibili dei clienti..

Okay che vanno di moda, ma penso ti riferissi al GDPR

@Tasslehoff per fortuna creare l'account offline sul controller è molto più semplice e richiede meno insistenza di quanto succede con W10, che se collegato al WWW non dà proprio la possibilità di creare un account offline.

Unifi è un po' su mentalità USA, dove è tutto uguale, semplificato al massimo e senza eccezioni (se ti servono? Vedi di non fartele servire).

[Jack.Mauro]

Quote:

Originariamente inviato da Tasslehoff

L'unifi controller cut] permette di accedere con account "cloud" Unifi, ma non è affatto obbligatorio

Quote:

Originariamente inviato da \_Davide_/

per fortuna creare l'account offline sul controller è molto più semplice e richiede meno insistenza di quanto succede con W10, che se collegato al WWW non dà proprio la possibilità di creare un account offline.

Io vedo sempre male i prodotti che, con la scusa di bypassare i port forwarding o altro, sono accessibili attraverso server gestiti da altri (tipicamente dal produttore).

Oltre a Ubiquity, Windows 10 già citati, anche i NAS Synology, i router fritz!box, tutto il settore automotive avanzato (tesla, blue&me di fiat, per citarne alcuni), praticamente tutti i sistemi di videosorveglianza domestica, tutto l'internet delle cose di oggi consentono di default l'accesso al prodotto da parte della società produttrice.

Non si tratta di pensare SE qualche malintenzionato riuscirà ad entrare, ma QUANDO....

Purtroppo credo che gli utenti consapevoli siano una percentuale trascurabile della popolazione....

[SpyroTSK]

Quote:

Originariamente inviato da Tasslehoff

No, non c'è alcuna differenza tra fascia "pro" e le altre, tutto viene controllato attraverso l'unifi controller (che è una dashboard che ben pochi produttori possono eguagliare).

L'unifi controller (che è un normalissimo sw che può essere installato su qualsiasi OS, anche su arm, infatti su Raspberry PI e simili va che è un piacere) da qualche versione in qua permette di accedere con account "cloud" Unifi, ma non è affatto obbligatorio e si può cmq accedere con utente locale che viene salvato nel database mongodb usato dalla console unifi in locale.

Da una parte Ubiquiti ha certamente incentivato gli utenti a usare la login "cloud" relegando in un angolino la creazione di un utente locale durante il setup (del resto è quello che fanno tutti, fate caso al setup di Windows 10 tanto per fare un esempio eclatante), dall'altra però ha inciso molto la pigrizia di tanti utenti che anzichè cercare se fosse possibile creare un account locale si è limitata a seguire il classico wizard "checcivuole?"

Sì, tutto bello, lo conosco unifi controller, io ho dovuto mettere in piedi un server appositamente per questo scopo, per un solo dispostivo.
Ne vale la pena?
Più tosto fammi scegliere se gestirlo tramite unifi controller o se gestirlo direttamente dalla sua interfaccia, come si faceva una volta.

[SpyroTSK]

Quote:

Originariamente inviato da \_Davide_/

Ma no, nessuno obbliga a linkare l'account online: io ho il mio per comodità ma dai clienti è tutto offline e accedo tramite VPN.

Anche noi, abbiamo 11 AP Zyxel gestiti dal firewall (anch'esso Zyxel, ma ti rispondo come ho risposto nel post precedente:
Per 1 dispostivo devo mettere in piedi un server (o installare un'app su un server pre-esistente) per gestire un singolo apparato "stupido" come un'access point?
Il cloud lo evito se posso, infatti ho installato unifi controller su una macchina dedicata a tale scopo.

[SpyroTSK]

Quote:

Originariamente inviato da Jack.Mauro

Io vedo sempre male i prodotti che, con la scusa di bypassare i port forwarding o altro, sono accessibili attraverso server gestiti da altri (tipicamente dal produttore).

Oltre a Ubiquity, Windows 10 già citati, anche i NAS Synology, i router fritz!box, tutto il settore automotive avanzato (tesla, blue&me di fiat, per citarne alcuni), praticamente tutti i sistemi di videosorveglianza domestica, tutto l'internet delle cose di oggi consentono di default l'accesso al prodotto da parte della società produttrice.

Non si tratta di pensare SE qualche malintenzionato riuscirà ad entrare, ma QUANDO....

Purtroppo credo che gli utenti consapevoli siano una percentuale trascurabile della popolazione....

this is the dirty truth.

[\_Davide_/]

Quote:

Originariamente inviato da Jack.Mauro

Io vedo sempre male i prodotti che, con la scusa di bypassare i port forwarding o altro, sono accessibili attraverso server gestiti da altri (tipicamente dal produttore).

Anche io, al 100%.

Quote:

Originariamente inviato da Jack.Mauro

Oltre a Ubiquity, Windows 10 già citati, anche i NAS Synology, i router fritz!box, tutto il settore automotive avanzato (tesla, blue&me di fiat, per citarne alcuni), praticamente tutti i sistemi di videosorveglianza domestica, tutto l'internet delle cose di oggi consentono di default l'accesso al prodotto da parte della società produttrice.

Non si tratta di pensare SE qualche malintenzionato riuscirà ad entrare, ma QUANDO....

Purtroppo credo che gli utenti consapevoli siano una percentuale trascurabile della popolazione....

Hai assolutamente ragione. Io ho il mio raggiungibile in quanto è un periodo in cui sto continuamente cambiando le linee ADSL e non sempre le (3) VPN sono operative. L'app mi dice se la linea va giù ed io posso stare tranquillo su ciò che succede in casa, che poi è anche il mio ufficio.

Quando tutto sarà concluso disabiliterò l'accesso cloud, tanto ormai con wireguard si accede dal telefono molto comodamente.

NAS Synology non ti chiede di fare l'account, sei tu che devi andare a creartelo e vale lo stesso per Qnap: io vi accedo tranquillamente attraverso la VPN come al resto della rete.

L'unica cosa per cui penso resterò sul server del produttore l'app dell'auto (nel mio caso BMW connected) che non mi permette alternative, ma che per quello che fa/vede va bene così.

Quote:

Originariamente inviato da SpyroTSK

Per 1 dispostivo devo mettere in piedi un server (o installare un'app su un server pre-esistente) per gestire un singolo apparato "stupido" come un'access point?

No, assolutamente, il controller non deve restare in esecuzione: lo apri, configuri e lo chiudi, anche sul tuo portatile.

Deve restare in esecuzione se ti servono servizi speciali che un AP tipicamente non fa e non può fare (es. IPS, autenticazione avanzata, statistiche e analisi, guest portal) e per le quali servirebbe comunque un server.

Se usi il loro UDM/UDM-Pro non ti serve nulla di aggiuntivo anche per avere il controller sempre attivo.

Il vero problema è che mentre noi ci facciamo il problema la gran parte delle persone se ne frega, e da questo stanno nascendo soluzioni (come il 95% della domotica) che devono passare per forza dal server che il provider decide, comunicando al mondo intero quando accendo la luce del bagno, quando vado a dormire e qualsiasi mia altra abitudine compreso quando non sono a casa e quando rientererò, così il ladri possono fare con calma...

[demonsmaycryit]

io avevo un collega che era un campione a segare il ramo su cui si sedeva e li aveva voluti comprare.....veramente terribile se perdi il collegamento con il controller sei f******to se lo metti in cloud e non hai internet sei f****** dopo giorni di litigi sono riuscito a cambiarlo con quelli pro che almeno sono switch normali.

[!fazz]

Quote:

Originariamente inviato da demonsmaycryit

io avevo un collega che era un campione a segare il ramo su cui si sedeva e li aveva voluti comprare.....veramente terribile se perdi il collegamento con il controller sei f******to se lo metti in cloud e non hai internet sei f****** dopo giorni di litigi sono riuscito a cambiarlo con quelli pro che almeno sono switch normali.

ma anche no, come detto prima il controller serve solo per la configurazione se non vuoi funzionalità avanzate, io l'ho sempre in esecuzione per il guest portal ma se non mi interessa posso spegnere la vm e tutto il sistema sta in piedi mesh incluso

[Tasslehoff]

Quote:

Originariamente inviato da SpyroTSK

Sì, tutto bello, lo conosco unifi controller, io ho dovuto mettere in piedi un server appositamente per questo scopo, per un solo dispostivo.
Ne vale la pena?
Più tosto fammi scegliere se gestirlo tramite unifi controller o se gestirlo direttamente dalla sua interfaccia, come si faceva una volta.

Come ha già fatto notare !fazz non è necessario tenere sempre attivo lo unifi controller.
Puoi benissimo installarlo sul tuo pc e tenerlo anche spento, all'occorrenza lo attivi.

Tenerlo sempre attivo (cosa per cui ripeto basta un Raspberry PI, se poi uno non vuole nemmeno sbattersi a installare i requisiti c'è persino un'immagine docker pronta all'uso) è utile per logging, notifiche e aggiornamenti tempestivi, ma sono tutte cose che il tipico access point di fascia consumer non fa.
Qualcuno poi potrà considerarla una inutile complicazione però teniamo presente che questo approccio garantisce sw sempre fresco e aggiornato, idem per gli update di firmware dei dispositivi; su questo credo di poter dire con una discreta sicurezza che non esiste un produttore che faccia prodotti di questa fascia di prezzo con un supporto così lungo e degli aggiornamenti così costanti e puntuali, per vedere qualcosa di simile bisogna salire a ben altra fascia di mercato con ben altri prezzi.

Tanto per fare un esempio io ho appena acquistato uno Unifi 6 Lite che va a sostituire un vecchio Unifi AP LR del 2014, quest'ultimo fino all'inizio di quest'anno ha avuto firmware aggiornati costantemente, e parliamo di un AP che credo di aver pagato qualcosa come 60-70 €.
Un AP di questa fascia di prezzo se va bene normalmente vede aggiornamenti per il primo anno di vita, poi quando viene sostituito da nuovi modelli finisce nel dimenticatoio molto presto.