NAS QNAP sotto attacco, dovecat s'intrufola e mina criptovalute. Come proteggersi
di Manolo De Agostini pubblicata il 22 Gennaio 2021, alle 12:21 nel canale SecurityQNAP ha allertato gli utenti dei suoi NAS da una nuova minaccia chiamata dovecat che usa le risorse del dispositivo per minare criptovalute. Colpiti i sistemi protetti da password deboli: ecco come proteggersi.
QNAP ha pubblicato un bollettino di sicurezza in cui avverte i clienti di un nuovo pericolo chiamato "dovecat" che sta prendendo di mira i suoi NAS, in modo da sfruttarne le risorse per minare criptovalute. L'azienda affermato che il malware si sta attualmente diffondendo insinuandosi in NAS QNAP protetti da password deboli. L'avviso dell'azienda taiwanese arriva dopo le segnalazioni da parte dei propri utenti, i quali fin dallo scorso anno si sono accorti di due processi sconosciuti, dovecat e dedpma, che funzionavano costantemente occupando la memoria e le risorse di calcolo del NAS.
Matthew Ruffell, ingegnere di Canonical e fondatore di Dapper Linux, ha analizzato il malware dopo averlo rintracciato su un sistema Ubuntu scoprendo che seppur in grado di infettare qualsiasi sistema Linux, sembrava essere stato progettato per la struttura interna dei NAS di QNAP. Il nome "dovecat", tra l'altro, è un indizio abbastanza chiaro, in quanto il malware prova a spacciarsi per dovecot, un daemon email presente all'interno del firmware QNAP e in molte distribuzioni Linux. Dovecat non è il primo malware diretto ai sistemi QNAP, oggetto anche delle attenzioni dei ransomware Muhstik, ec0raix, AgeLocker e del malware QSnatch.
Come proteggersi da dovecat
Poiché il malware riesce a penetrare i sistemi con password deboli, quindi poco elaborate, QNAP suggerisce le seguenti contromisure:
- Usare password di amministrazione più forti
- Usare password più forti per gli amministratori dei database
- Disabilitare SSH e i servizi Telnet se non utilizzati
- Disabilitare servizi e applicazioni non usate
- Evitare di usare le porte default (80, 443, 8080 e 8081)
- Aggiornare QTS all'ultima versione
- Installare l'ultima versione di Malware Remover
- Installare Security Counselor e avviarlo con Intermediate Security Policy (o superiore).
- Installare un firewall
- Abilitate Network Access Protection (NAP) per proteggere gli account da attacchi brute force (forza bruta)
- Seguite le best practice per migliorare la sicurezza del NAS
Infine, l'azienda taiwanese fa sapere di essere impegnata nello sviluppo di uno strumento per la rimozione di dovecat dai dispositivi già infettati.
Leggi anche: Costruire un NAS fai da te: come scegliere l'hardware
13 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoSsh e telnet le disabiliti... se non ricordo male di default lo sono
Molto interessante... anche se il mio admin ha una password talmente complessa che se riescono a scoprirla, gli permetto di usare il Qnap per minare quanto vogliono.
Potete spiegare a un utente casalingo, quando una password può essere considerata abbastanza forte?
Sono sufficienti 15/20 caratteri (Numeri, lettere, maiuscole, minuscole e caratteri speciali)?
Così tanto per capire quando uno si può sentire un po' più sicuro da attacchi brute force...
Sono sufficienti 15/20 caratteri (Numeri, lettere, maiuscole, minuscole e caratteri speciali)?
Così tanto per capire quando uno si può sentire un po' più sicuro da attacchi brute force...
Il numero di combinazioni da tentare (in linea del tutto teorica) per attacchi a forza bruta è dato dalla formula: {lunghezza alfabeto simboli}^{lunghezza password}.
Ad esempio, per una password composta solo da numeri decimali, ho 10 simboli possibili (da 0 a 9). Se assumiamo ad esempio una lunghezza tipo 6 o 8 caratteri (ad esempio una data di nascita espressa con solo numeri), avremmo un numero di combinazioni possibili pari a 10^6=1 milione nel primo caso, o 10^8=100 milioni nel secondo.
Chiaramente con calcolatori moderni, magari affiancati da GPU craccare simili password a forza bruta è relativamente semplice.
Se invece consideriamo le 26 lettere minuscole dell'alfabeto inglese e password lunghe 12 caratteri, dovremmo tentare 26^12 combinazioni, ovvero circa 95.000 MILIARDI di combinazioni.
In generale la lunghezza della password è più influente della cardinalità dell'alfabeto, ma certamente anche avere un alfabeto ampio dà il suo contributo alla sicurezza di una password.
La complessità degli attacchi si riduce notevolmente usando tecniche *non* a forza bruta, ad esempio nel caso degli attacchi a "dizionario", si possono provare solo le combinazioni di parole note di una certa lingua. L'assunto è che magari l'utente inserisca una certa parola o combinazioni di parole note piuttosto che una sequenza di caratteri qualunque.
A questi bisogna aggiungere anche gli attacchi basati su hash, in cui magari l'hash della password è disponibile all'attaccante e può cercare di craccarlo consultando anche qui dei database che contengono le coppie (hash, password in chiaro).
Questo tipicamente viene fatto quando lo schema di hashing è debole e costante, cioè non si usano particolari accorgimenti nel calcolo e memorizzazione dell'hash.
Poi ci sarebbe tutto un discorso da fare sull'entropia della password, ovvero qual è la probabilità che ogni simbolo appaia nella sequenza, ma questa cosa la rimando ad una prossima puntata
Applicando la formula che ti ho dato al tuo caso, considerando solo lettere maiuscole minuscole e numeri hai un numero di combinazioni da tentare compreso tra 62^15 e 62^20.
Se consideriamo il primo caso 62^15=768.909.704.948.766.668.552.634.368 combinazioni.
A spanne direi che puoi stare tranquillo (sulla forza bruta) .
Se le combinazioni possibili (considerati tutto i numeri e caratteri) è 62^x (dove x é la lunghezza della password), mi sarei potuto fermare anche ad una password più corta.
E meno male che quella che uso per il wifi viene memorizzata perché per esser sicuro ne ho impostata una da quasi 30 caratteri...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".