NAS QNAP sotto attacco, dovecat s'intrufola e mina criptovalute. Come proteggersi

[Redazione di Hardware Upg]

Link alla notizia: https://edge9.hwupgrade.it/news/secu...rsi_94974.html

QNAP ha allertato gli utenti dei suoi NAS da una nuova minaccia chiamata dovecat che usa le risorse del dispositivo per minare criptovalute. Colpiti i sistemi protetti da password deboli: ecco come proteggersi.

Click sul link per visualizzare la notizia.

[Magic73]

- attivare la doppia autenticazione tramite token (App Authenticator)

[Zurlo]

Che serve solo se ti colleghi via interfaccia web, per ssh e telnet non c'e'.

[canislupus]

Quote:

Originariamente inviato da Zurlo

Che serve solo se ti colleghi via interfaccia web, per ssh e telnet non c'e'.

Ssh e telnet le disabiliti... se non ricordo male di default lo sono

[giuvahhh]

come si fa a escludere delle cartelle dalla scansione di malware remover?

[supertigrotto]

Uno dei motivi per boicottare le criptomonete,pur di minare ti tolgono il possesso del tuo hardware,o meglio,una parte del tuo hardware,mi era successo pure sul mio PC,maledetti soldi facili....

[redpepper]

Se non si usano SSH e Telnet si può disabilitare l'utente default "admin" https://www.qnap.com/it-it/how-to/tu...t-utenteadmin/

[canislupus]

Quote:

Originariamente inviato da redpepper

Se non si usano SSH e Telnet si può disabilitare l'utente default "admin" https://www.qnap.com/it-it/how-to/tu...t-utenteadmin/

Molto interessante... anche se il mio admin ha una password talmente complessa che se riescono a scoprirla, gli permetto di usare il Qnap per minare quanto vogliono.

[leoben]

Quote:

Usare password di amministrazione più forti

Potete spiegare a un utente casalingo, quando una password può essere considerata abbastanza forte?
Sono sufficienti 15/20 caratteri (Numeri, lettere, maiuscole, minuscole e caratteri speciali)?
Così tanto per capire quando uno si può sentire un po' più sicuro da attacchi brute force...

[WarDuck]

Quote:

Originariamente inviato da leoben

Potete spiegare a un utente casalingo, quando una password può essere considerata abbastanza forte?
Sono sufficienti 15/20 caratteri (Numeri, lettere, maiuscole, minuscole e caratteri speciali)?
Così tanto per capire quando uno si può sentire un po' più sicuro da attacchi brute force...

Il numero di combinazioni da tentare (in linea del tutto teorica) per attacchi a forza bruta è dato dalla formula: {lunghezza alfabeto simboli}^{lunghezza password}.

Ad esempio, per una password composta solo da numeri decimali, ho 10 simboli possibili (da 0 a 9). Se assumiamo ad esempio una lunghezza tipo 6 o 8 caratteri (ad esempio una data di nascita espressa con solo numeri), avremmo un numero di combinazioni possibili pari a 10^6=1 milione nel primo caso, o 10^8=100 milioni nel secondo.

Chiaramente con calcolatori moderni, magari affiancati da GPU craccare simili password a forza bruta è relativamente semplice.

Se invece consideriamo le 26 lettere minuscole dell'alfabeto inglese e password lunghe 12 caratteri, dovremmo tentare 26^12 combinazioni, ovvero circa 95.000 MILIARDI di combinazioni.

In generale la lunghezza della password è più influente della cardinalità dell'alfabeto, ma certamente anche avere un alfabeto ampio dà il suo contributo alla sicurezza di una password.

La complessità degli attacchi si riduce notevolmente usando tecniche *non* a forza bruta, ad esempio nel caso degli attacchi a "dizionario", si possono provare solo le combinazioni di parole note di una certa lingua. L'assunto è che magari l'utente inserisca una certa parola o combinazioni di parole note piuttosto che una sequenza di caratteri qualunque.

A questi bisogna aggiungere anche gli attacchi basati su hash, in cui magari l'hash della password è disponibile all'attaccante e può cercare di craccarlo consultando anche qui dei database che contengono le coppie (hash, password in chiaro).

Questo tipicamente viene fatto quando lo schema di hashing è debole e costante, cioè non si usano particolari accorgimenti nel calcolo e memorizzazione dell'hash.

Poi ci sarebbe tutto un discorso da fare sull'entropia della password, ovvero qual è la probabilità che ogni simbolo appaia nella sequenza, ma questa cosa la rimando ad una prossima puntata

Applicando la formula che ti ho dato al tuo caso, considerando solo lettere maiuscole minuscole e numeri hai un numero di combinazioni da tentare compreso tra 62^15 e 62^20.

Se consideriamo il primo caso 62^15=768.909.704.948.766.668.552.634.368 combinazioni.

A spanne direi che puoi stare tranquillo (sulla forza bruta) .

[leoben]

Grazie per la chiarissima spiegazione.
Se le combinazioni possibili (considerati tutto i numeri e caratteri) è 62^x (dove x é la lunghezza della password), mi sarei potuto fermare anche ad una password più corta.
E meno male che quella che uso per il wifi viene memorizzata perché per esser sicuro ne ho impostata una da quasi 30 caratteri...

[canislupus]

Quote:

Originariamente inviato da leoben

Grazie per la chiarissima spiegazione.
Se le combinazioni possibili (considerati tutto i numeri e caratteri) è 62^x (dove x é la lunghezza della password), mi sarei potuto fermare anche ad una password più corta.
E meno male che quella che uso per il wifi viene memorizzata perché per esser sicuro ne ho impostata una da quasi 30 caratteri...

Io sul Wifi sono a 64 caratteri alfanumeri con simboli speciali, maiuscole e minuscole... talmente complessa che sono stato costretto a memorizzarla in un gestore di password (quest'ultimo ha una password di oltre 20 caratteri alfanumeri con maiuscole/minuscole e caratteri speciali... abbastanza complessa direi).

[WarDuck]

Quote:

Originariamente inviato da canislupus

Io sul Wifi sono a 64 caratteri alfanumeri con simboli speciali, maiuscole e minuscole... talmente complessa che sono stato costretto a memorizzarla in un gestore di password (quest'ultimo ha una password di oltre 20 caratteri alfanumeri con maiuscole/minuscole e caratteri speciali... abbastanza complessa direi).

Io ho lasciato quella di default del router, ma solo perché abito in campagna e sono abbastanza isolato dai vicini

Comunque una alternativa potrebbe essere usare l'hash (tipo SHA 256 o 512) di una passphrase .

Almeno hai sempre modo di generarlo al volo, e hai garanzie anche di una certa randomicità

[canislupus]

Quote:

Originariamente inviato da WarDuck

Io ho lasciato quella di default del router, ma solo perché abito in campagna e sono abbastanza isolato dai vicini

Comunque una alternativa potrebbe essere usare l'hash (tipo SHA 256 o 512) di una passphrase .

Almeno hai sempre modo di generarlo al volo, e hai garanzie anche di una certa randomicità

Per niente male come idea... anche se più random di premere lettere a caso...