Cerca nel blog

2006/02/13

Sicurezza: Intrusioni via router, cambiate la password ai router ADSL

Questo articolo vi arriva grazie alle gentili donazioni di "lavinia.fabr****", "rolando" e "biagio.ma****".

Moltissimi utenti ADSL sono esposti alle intrusioni perché non cambiano le password predefinite dei propri router usati per condividere l'accesso a Internet. Peggio ancora, molti utenti ADSL non sanno che il loro router è accessibile e attaccabile dall'esterno se non viene impostato correttamente. Vi racconto un caso pratico di quanto è facile un'intrusione di questo tipo e quali danni si possono causare.

Oggi, durante una ricerca in Google, mi sono imbattuto in un sito Web, gestito tramite Dyndns.com, che avevo aperto tempo addietro e che avevo completamente abbandonato. Non ne indico il nome per ragioni di sicurezza che diverranno chiare tra un attimo. Cliccando sul link in Google mi sono trovato, al posto del mio sito, una bella richiesta di nome utente e password per un "Home Gateway". Si vede che l'indirizzo IP del sito è stato riassegnato a un altro utente.

Riconosco subito la tipica risposta di un router domestico: uno di quegli apparecchi che si attaccano alla linea ADSL al posto del modem e permettono di condividere la connessione fra più computer. Sono un ottimo elemento di difesa, se impostati correttamente, ma spesso vengono installati lasciando l'impostazione predefinita in fabbrica, e questo vuol dire che nome utente e password sono spesso quelli predefiniti. Basta capire marca e modello del router per scoprirle.

Come fare? Semplice: annullo la finestra di richiesta password, come farebbe qualsiasi bravo cittadino della Rete. E il router mi serve su un piatto d'argento un indizio prezioso per capire marca e modello: mi visualizza la schermata di "accesso non consentito", che ha l'intestazione "Hasbani Web Server Error Report".

Immetto in Google "Hasbani" seguito dalle parole "default password" e ottengo un elenco di siti che segnalano le password e i nomi utente predefiniti dei vari modelli di router. Con queste informazioni, mi bastano un paio di tentativi per confermare che l'utente ignaro ha lasciato almeno una password predefinita (che è, guarda caso, password). La digito, e ho immediatamente accesso alle impostazioni del suo router, come vedete qui sotto. Ho oscurato l'indirizzo IP per ovvie ragioni.


Il logo identifica specificamente il modello: un Conexant. Le altre pagine della configurazione lo rivelano come un router con porte Ethernet e USB e mostrano i dati della sua connessione (2 megabit), indicando che c'è un solo PC collegato, e offrendo anche un bel pulsante Disconnect.

Sarebbe banale buttargli giù la connessione, magari dopo avergli cambiato i parametri, così non gli funziona più nulla. Sarebbe altrettanto banale configurare il Virtual Server per esporre a tutta Internet le porte del suo PC che probabilmente sono aperte (se usa Windows, avrà quasi sicuramente la condivisione delle risorse attiva), così poi posso leggere tutto quello che c'è nel suo computer.

Ovviamente non faccio nulla di tutto questo. Ma non posso lasciare questo povero malcapitato (un inglese) esposto al primo vandalo che passa di lì durante una scansione degli indirizzi IP. Il vandalo potrebbe riprogrammargli il router a suo piacimento e penetrargli nel PC.

Ma come faccio ad avvisarlo del pericolo? Non so chi sia (anche se so dal suo indirizzo IP che sta probabilmente a Londra). Per fortuna la mia innocua e quasi involontaria intrusione trova anche il suo nome utente, che sulla rete British Telecom coincide con l'indirizzo di e-mail. Così gli mando un e-mail in cui spiego tutta la faccenda.

Sto aspettando la sua risposta, e nel frattempo mi chiedo quanti altri utenti di computer sono vulnerabili in questo modo. E voi come siete messi?

Per verificare se siete accessibili dall'esterno, visitate uno dei tanti siti che vi indica il vostro indirizzo IP, come WhatismyIP.com, e poi chiedete a un amico (uno fidato) collegato a Internet di digitare l'indirizzo IP nel suo browser. Se il vostro amico ottiene una finestra di dialogo che gli chiede nome utente e password, chiunque può tentare di indovinare via Internet la vostra password.

Se la finestra di dialogo non compare, non siete esposti a questo rischio. Se compare, tirate fuori il manuale del router e scoprite come impostarlo in modo che non risponda alle richieste di contatto provenienti dall'esterno.

In ogni caso, cambiate la password predefinita del vostro router!


Nota: a qualcuno potrà sembrare criticabile (o addirittura illegale) il mio comportamento. Per fare un paragone nel mondo reale, io stavo passeggiando per strada quando ho visto una casa con la porta spalancata. Potevo farmi i fatti miei e lasciare la casa alla mercé dei ladri, oppure fare due passi in ingresso sperando di trovare un Post-it con su il numero di cellulare del padrone di casa. L'ho trovato, l'ho chiamato, e me ne sono andato. Voi cosa avreste fatto?

Nessun commento: