Cerca nel blog

2006/02/13

Sicurezza: Intrusioni via router, cambiate la password ai router ADSL

Questo articolo vi arriva grazie alle gentili donazioni di "lavinia.fabr****", "rolando" e "biagio.ma****".

Moltissimi utenti ADSL sono esposti alle intrusioni perché non cambiano le password predefinite dei propri router usati per condividere l'accesso a Internet. Peggio ancora, molti utenti ADSL non sanno che il loro router è accessibile e attaccabile dall'esterno se non viene impostato correttamente. Vi racconto un caso pratico di quanto è facile un'intrusione di questo tipo e quali danni si possono causare.

Oggi, durante una ricerca in Google, mi sono imbattuto in un sito Web, gestito tramite Dyndns.com, che avevo aperto tempo addietro e che avevo completamente abbandonato. Non ne indico il nome per ragioni di sicurezza che diverranno chiare tra un attimo. Cliccando sul link in Google mi sono trovato, al posto del mio sito, una bella richiesta di nome utente e password per un "Home Gateway". Si vede che l'indirizzo IP del sito è stato riassegnato a un altro utente.

Riconosco subito la tipica risposta di un router domestico: uno di quegli apparecchi che si attaccano alla linea ADSL al posto del modem e permettono di condividere la connessione fra più computer. Sono un ottimo elemento di difesa, se impostati correttamente, ma spesso vengono installati lasciando l'impostazione predefinita in fabbrica, e questo vuol dire che nome utente e password sono spesso quelli predefiniti. Basta capire marca e modello del router per scoprirle.

Come fare? Semplice: annullo la finestra di richiesta password, come farebbe qualsiasi bravo cittadino della Rete. E il router mi serve su un piatto d'argento un indizio prezioso per capire marca e modello: mi visualizza la schermata di "accesso non consentito", che ha l'intestazione "Hasbani Web Server Error Report".

Immetto in Google "Hasbani" seguito dalle parole "default password" e ottengo un elenco di siti che segnalano le password e i nomi utente predefiniti dei vari modelli di router. Con queste informazioni, mi bastano un paio di tentativi per confermare che l'utente ignaro ha lasciato almeno una password predefinita (che è, guarda caso, password). La digito, e ho immediatamente accesso alle impostazioni del suo router, come vedete qui sotto. Ho oscurato l'indirizzo IP per ovvie ragioni.


Il logo identifica specificamente il modello: un Conexant. Le altre pagine della configurazione lo rivelano come un router con porte Ethernet e USB e mostrano i dati della sua connessione (2 megabit), indicando che c'è un solo PC collegato, e offrendo anche un bel pulsante Disconnect.

Sarebbe banale buttargli giù la connessione, magari dopo avergli cambiato i parametri, così non gli funziona più nulla. Sarebbe altrettanto banale configurare il Virtual Server per esporre a tutta Internet le porte del suo PC che probabilmente sono aperte (se usa Windows, avrà quasi sicuramente la condivisione delle risorse attiva), così poi posso leggere tutto quello che c'è nel suo computer.

Ovviamente non faccio nulla di tutto questo. Ma non posso lasciare questo povero malcapitato (un inglese) esposto al primo vandalo che passa di lì durante una scansione degli indirizzi IP. Il vandalo potrebbe riprogrammargli il router a suo piacimento e penetrargli nel PC.

Ma come faccio ad avvisarlo del pericolo? Non so chi sia (anche se so dal suo indirizzo IP che sta probabilmente a Londra). Per fortuna la mia innocua e quasi involontaria intrusione trova anche il suo nome utente, che sulla rete British Telecom coincide con l'indirizzo di e-mail. Così gli mando un e-mail in cui spiego tutta la faccenda.

Sto aspettando la sua risposta, e nel frattempo mi chiedo quanti altri utenti di computer sono vulnerabili in questo modo. E voi come siete messi?

Per verificare se siete accessibili dall'esterno, visitate uno dei tanti siti che vi indica il vostro indirizzo IP, come WhatismyIP.com, e poi chiedete a un amico (uno fidato) collegato a Internet di digitare l'indirizzo IP nel suo browser. Se il vostro amico ottiene una finestra di dialogo che gli chiede nome utente e password, chiunque può tentare di indovinare via Internet la vostra password.

Se la finestra di dialogo non compare, non siete esposti a questo rischio. Se compare, tirate fuori il manuale del router e scoprite come impostarlo in modo che non risponda alle richieste di contatto provenienti dall'esterno.

In ogni caso, cambiate la password predefinita del vostro router!


Nota: a qualcuno potrà sembrare criticabile (o addirittura illegale) il mio comportamento. Per fare un paragone nel mondo reale, io stavo passeggiando per strada quando ho visto una casa con la porta spalancata. Potevo farmi i fatti miei e lasciare la casa alla mercé dei ladri, oppure fare due passi in ingresso sperando di trovare un Post-it con su il numero di cellulare del padrone di casa. L'ho trovato, l'ho chiamato, e me ne sono andato. Voi cosa avreste fatto?

27 commenti:

Anonimo ha detto...

Utilizzando Angry IP Scanner ad esempio, si possono scoprire molte informazioni utili sulla sicurezza propria e... altrui

Anonimo ha detto...

Ho fatto una provetta giusto x sicurezza, ma l'opzione per non accettare login dall'esterno è una delle prime che ho controllato quando ho installato il mio router, infatti dall'esterno non si riceve risposta! :)

Anonimo ha detto...

io posso consigliare: http://www.grc.com/default.htm selezionare shieldsup! e provare a fare dei test sulle porte del vostro pc o router. un altro è http://www.pcflank.com/scanner1.htm?from=menu oppure http://security.symantec.com/sscv6/home.asp?langid=it

Anonimo ha detto...

Che vi devo dire, a casa tutto ok, router impostato correttamente e ulteriore sicurezza dal fatto che i pc in rete sono solo macchine linux...
In ufficio il sysadmin(pirla come pochi) iscritto alla mailing list legge la mail e mi chiama per chiedere qual'è la pass del router.
Telnet da remoto e che ti scopro?
La password di default (epicrouter) ancora da cambiare dopo 9 mesi dall'installazione del router.
Non essendo mia diretta competenza(io sono solo il sostituto) ho mandato mail di spiegazioni a lui e al nostro capoccia ben conscio che tanto domattina toccherà a me cambiare la pass.

Anonimo ha detto...

Utilizzando http://security.symantec.com/sscv6/home.asp?langid=it

"Symantec Security Check non è compatibile con le impostazioni del computer utilizzato in quanto:

Errore 001

La scansione "Security Risk" e la Scansione dei virus non funzionano sul sistema operativo in uso. Per eseguire la Scansione "Security Risk" e la Scansione dei virus, è necessario utilizzare Windows 98/ME, NT 4.0 Workstation/2000 Pro/XP oppure Mac OS 8.1 o successivo."

Ahhhh, che bella la vita... :-)

Anonimo ha detto...

Io ho lo stesso router e la pass è stata la prima cosa che ho cambiato, come anche l' accesso dal web e ho disabilitato il DHCP.
Ma in generale le password di default vanno cambiate per qualunque cosa!!!Il problema è che molte persone attaccano fisicamente questi apparecchi e finita la storia....Basta vedere tutte le reti Wi-FI prive di qualsiasi protezione in giro..
>se usa Windows, avrà quasi >sicuramente la condivisione delle >risorse attiva), così poi posso >leggere tutto quello che c'è nel >suo computer.
Probabilmente mi starò perdendo in un bicchier d'acqua, ma toglimi una curiosità, come si vedono le cartelle condivise dall'esterno della lan in questo caso?
In fondo con il router "aperto" è come essere direttamente connessi con un semplice modem,sbaglio?

Paolo Attivissimo ha detto...

dici al router di fare il forwarding delle porte sulle quali Windows offre le cartelle condivise (se ce ne sono -- e quasi sempre ci sono), cosi' diventano visibili da fuori a tutto il mondo.

Non e' come essere connessi via modem; il modem non ha le funzioni di firewall o di limitazione degli accessi che offre un router (se ben configurato).

Anonimo ha detto...

Paolo: consigli agli utenti ADSL di provare ad entrare nella configurazione dei propri router da fuori.... Magari proveranno anche quelli che non hanno router ma semplici "modem adsl" e... scopriranno delle cose strane...


I modem forniti da telecom sono spesso dei router, con la funzione router disabilitata (così la gente non condivide la propria ADSL con i vicini di casa, e se desidera lavorere con + di un computer per volta deve avere un amico "tecnico" che gli dice che si può, che è legale, ... poi, in ogni caso, si deve acquistare un router ex-novo; alle aziende poi la telecom fa strani discorsi del tipo: "se lei vuole navigare con + di un computer in rete deve acquistare la ADSL-SMART3, per 3 pc, o la ADSL-SMART5, ecc..., perchè, dicono, la SMART semplice funziona solo su un pc (sic!)...

L'HM210 e suoi derivati, ad esempio, è un potentissimo router (è un Ericsson HM210dp ). E' tra i modem + diffusi dati in noleggio da telecom.

Un immagine in:
http://help.virgilio.it/guide/index.jsp?id=5061&id_figlio=5182&step=5603

La funzione router è stata disabilitata da telecom e non è possibile entrare nella configurazione perchè proprio telecom ha cambiato utente e password. Penso proprio che utente e password siano gli stessi per tutti i router dati dalla telecom, no?.
(a proposito...per farlo funzionare da router si può azzerarlo tramite il minuscolo forellino di reset sul retro, e poi si entra con la pass di default: root, root... ma attenzione che poi bisogna programmare il router... e saperlo fare: quindi occhio a "smanettare").
Se sommiamo questo a quanto dici tu se ne deduce che: tutti gli utenti adsl che hanno un modem-rounter con login e pass impostati da telecom hanno di fatto la porta di casa spalancata senza saperlo (scommettiamo, infatti, che navigando si trova la login e pass inserita da telecom?, e se anche non la si trovasse..... quelli della telecom in ogni caso la sanno, no?, e noi sappiamo che loro lo sanno?)

Anonimo ha detto...

Paolo: consigli agli utenti ADSL di provare ad entrare nella configurazione dei propri router da fuori.... Magari proveranno anche quelli che non hanno router ma semplici "modem adsl" e... scopriranno delle cose strane...


I modem forniti da telecom sono spesso dei router, con la funzione router disabilitata (così la gente non condivide la propria ADSL con i vicini di casa, e se desidera lavorere con + di un computer per volta deve avere un amico "tecnico" che gli dice che si può, che è legale, ... poi, in ogni caso, si deve acquistare un router ex-novo; alle aziende poi la telecom fa strani discorsi del tipo: "se lei vuole navigare con + di un computer in rete deve acquistare la ADSL-SMART3, per 3 pc, o la ADSL-SMART5, ecc..., perchè, dicono, la SMART semplice funziona solo su un pc (sic!)...

L'HM210 e suoi derivati, ad esempio, è un potentissimo router (è un Ericsson HM210dp ). E' tra i modem + diffusi dati in noleggio da telecom.

Un immagine in:
http://help.virgilio.it/guide/index.jsp?id=5061&id_figlio=5182&step=5603

La funzione router è stata disabilitata da telecom e non è possibile entrare nella configurazione perchè proprio telecom ha cambiato utente e password. Penso proprio che utente e password siano gli stessi per tutti i router dati dalla telecom, no?.
(a proposito...per farlo funzionare da router si può azzerarlo tramite il minuscolo forellino di reset sul retro, e poi si entra con la pass di default: root, root... ma attenzione che poi bisogna programmare il router... e saperlo fare: quindi occhio a "smanettare").
Se sommiamo questo a quanto dici tu se ne deduce che: tutti gli utenti adsl che hanno un modem-rounter con login e pass impostati da telecom hanno di fatto la porta di casa spalancata senza saperlo (scommettiamo, infatti, che navigando si trova la login e pass inserita da telecom?, e se anche non la si trovasse..... quelli della telecom in ogni caso la sanno, no?, e noi sappiamo che loro lo sanno?)

Doc ha detto...

Eh la peppa, magari quello naviga da anni tranquillo e non sa di essere al centro di un problema di sicurezza nazionale ;-)

Anonimo ha detto...

La prima cosa che ho cambiato nel 2001 al mio alcatel speed touch è stata la password, che di default nn c'era proprio (ha solo la psw, il nome utente nn serve). poi lo modificai con il firmware del pro, e diventò un router a tutti gli effetti, solo che la telecom conscia della modificia, invio da remoto un nuovo firmware che lo blocco inserobilmente, nn so se qlc. si ricorda la vicenda. Fatto sta che me l'hanno cambiato un annetto e mezzo fa il primo era la serie K, il secondo G, e guarda casa con l'etichetta telecom sotto, e con firmware blindato, qlc. firmware gli uppi dice "filo too short" ho contattato anche l'assistenza alcatel e loro mi hanno detto che per il mio modem nn esistono aggiornamenti, bella fregatura.
Ciaoooo

Anonimo ha detto...

chiedo scusa, ma io in locale digito 192. ...
Com'è che da remoto posso digitare il mio IP ?
Oltretutto il mio IP non cambia ad ogni connessione ?

Anonimo ha detto...

l'articolo è utile e condivido questo tipo di comportamento.

ma rispetto alla tua visione (e quella di altri "white hat hackers", se non erro si dice così) tu non hai cercato il cellulare, bensì hai trovato un antifurto a codice, hai digitato "1234" (il codice di default) sei ENTRATO e quindi hai lasciato un biglietto in entrata.

Per molti questo è illegale.

Ovviamente si sa che sei entrato e poi uscito, e basta.

Molti nella vita reale avrebbero magari chiamato un vigile urbano se avessero visto una porta aperta, ma non un antifurto chiuso con un codice di default *da non provare*

;-)

Ripeto che comunque io condivido e preferisco questo tipo di avvertimento piuttosto che il darkside hacker che arriva e fa fuori tutto dell'appartamento :)

--
PS: quando si inserisce il codice per postare i commenti in forma anonima, se non si hanno i cookies abilitati, anche se lo inserisci corretto per 25 volte non passi... giusto? Ora l'ho capito ma... forse è carino avvertire gli altri svampiti come me ;) Boh... forse non è nemmeno questo. Non mi fa postare.

Gacattos ha detto...

Minchia! Questo sito mi sembra un covo di hackers, di quelli buoni s'intende!

Anonimo ha detto...

E'possibile che Telecom castri il firmware dei suoi router in modo che non accettino collegamenti esterni al modulo web di configurazione piuttosto che essere in possesso di pwd con la quale accedere a tutti i pc dei suoi clienti ?
In questo caso forse dovrebbe almeno dichiararlo così da evitare inutili sospetti.

Anonimo ha detto...

La stessa cosa si puo' fare facendo un po' di wardriving...
Si va in giro in auto col laptop, ci si connette alle reti wireless non protette (la maggioranza) e si entra nel router/access point. In questo modo non c'e' neanche il problema di accedere dalla rete esterna, perche' ci si trova gia' sulla WLAN.

Ciao a tutti.

Anonimo ha detto...

Questo è un messaggio per tutti gli utenti di Libero che usano un router Prestige.
Se fate le prove con i siti indicati in altri commenti, troverete la porta 80 (HTTP) aperta; in effetti, se accedete alla vostra rete da un computer esterno ad essa, vi apparirà la pagina di login. Questo però non è un problema (no panic, in breve) se avete configurato il router in modo da accettare solo visite dalla sua rete: infatti, in questo caso, anche se digitate la password corretta da un computer esterno alla rete, il router risponderà con una pagina di errore. (Ho fatto le prove grazie ad una rete wireless non criptata di qualcuno del mio condominio )-:).
I problemi nascono solo se lo utilizzate come router wireless, perché l'aggressore potrebbe entrare nel campo della rete e penetrare attraverso di essa; per difendervi da questi attacchi vi rimando all'articolo di Paolo.

Sergio Chiappino

Anonimo ha detto...

>a proposito...per farlo >funzionare da router si può >azzerarlo tramite il minuscolo >forellino di reset sul retro, e >poi si entra con la pass di >default: root, root... ma >attenzione che poi bisogna >programmare il router... e >saperlo fare: quindi occhio >a "smanettare").

Magari fosse cosi semplice!!!Il forellino di reset serve per cancellare le impostazioni e ripristinare quelle di default, non cancella mica il Firmware!!
Per quanto riguarda i Firmware Telecom, la cosa è piu complessa perche dipende dal modello.Su quelli vecchi potrebbe funzionare, ma su quelli nuovi, la telecom sta migliorando la "blindatura".Lo so perche sto cercando di sbloccare il nuovo "pirellone" (Alice smartgate) che ha un firmware talmente schifoso e limitato che non è possibile nemmeno cambiare la password WPA (ha anche il modulo wi-fi) senza parlare delle porte!Cmq sia se dovete prendervi un router, prendetene uno non brandizzato, costa di piu ma se lo configurate come volete e state tranquilli.

Per quanto riguarda cio che ha fatto Paolo, probabilmente non è legale, però l'ha fatto a fin di bene e dalla pagina di conf del router non è che hai a disposizioni chissa che informazioni private importanti....
Cmq sia io sono del parere che per ste cose conviene farsi i fatti propri, va a finire che per fare del bene poi ti ritrovi con una bella denuncia...


Per quanto riguarda il discorso sulle condivisioni, io intendevo che se forwardo le porte (quelle per la condivisione es. 137 tcp e udp) o meglio ancora metto il pc nella DMZ, ho la stessa esposizione che ha un pc che è solamente connesso con il modem.Ora in questa situazione come faccio a vedere le cartelle condivise (usando il netbios)?

Anonimo ha detto...

In risposta a danielaNA:
Tu nella tua rete locale hai un indirizzo locale in base 192.168.xxx.xxx oppure 10.0.xxx.xxx, che sono gli indirizzi riservati alle reti. Tutti gli altri sono x internet.
Nel momento in cui tu ti connetti ad internet, il server DHCP ti assegna un indirizzo ip univoco, es. 85.xxx.xxx.xxx che nn centra nulla con l'indirizzo locale. Sulle connessioni residenziali come hai giustamente notato l'ip pubblico cambia ad ogni sessione web/connessione che fai. Quello è l'indirizzo da cui se nn sei protetta saresti raggiungibile dall'esterno, da qlc. pc in internet da telnet o dal browser.
Per questo le aziende ad. es. usano un ip fisso in internet, in modo da poter essere riconosciute in modo univoco, e poter accettare connessioni esterne solo da un dato indirizzo ip. Ciò sarebbe impossibile con un Ip dinamico.
Ciaoooooo

Anonimo ha detto...

Molto interessante l'articolo, caro Paolo. Ma detto questo, ti sei dimenticato di suggerire o spiegare (sarebbe meglio) il corretto processo per cambiare la password e settare opportunamente il router!!! Sai, per i meno esperti non è una cosa facile, si rischia di far saltare tutto!!! Già ci ho messo un intero pomeriggio a cercare di capire come collegare i due computer e ci sono riuscita per miracolo.... Ora dovrei cambiare qualcosa? E come? Non so nemmeno io per quale cavolo di motivo sta funzionando tutto.... Comunque ho un firewall software... serve a qualcosa?

Anonimo ha detto...

Per noi con Alice ed Ericsson HM220dp, questa pagina può essere utile:

http://3hm220dp4all.cjb.net/

io però sono un completo ignorante in materia e non ho mai potuto usufruire dei consigli, la giro volentieri a chi ne sa più di me...

saluti
Vicio

Anonimo ha detto...

Purtroppo tale comportamento e' tenuto anche da Telecom!
Se uno prova a vedere quanti Pirelli microage hanno la password cambiata, ci si accorgera' che si possono contare sulla punta delle dita.
A 2 miei clienti, subito dopo che Telecom aveva installato i router, ho provveduto a cambiare immediatamente la password con una a 10 caratteri e ho disabilitato il modulo wireless (tanto non veniva usato...)
Non vi dico i risultati facendo una rapida scansione nella subnet assegnata.... da rabbrividire.
Comunque anche io ho fatto come Paolo.Ho inviato un'e-mail agli admin invitandoli a cambiare il almeno la password.
Prevenire e' meglio che curare!!!!

Saluti a Tutti

Anonimo ha detto...

Io ho provato con PeerGuardian un semplice programma che blocca gli indirizzi ip indisiderati e dall'esterno non me lo apre, provatelo forse funziona ciao e grazie a tutti qulli che danno informazioni utili sul mondo dell'informatica.....

Anonimo ha detto...

grazie, FABIUZ.

icaro ha detto...

Ericsson HM210dp

Ho effetuato come indicato sotto per entrare sul modem fornito dalla telecom ma non si entra.
mi risponde la maschera di logon sll'indirizzo 192.168.10.1
che chiave e psw utilizza telecom
>a proposito...per farlo >funzionare da router si può >azzerarlo tramite il minuscolo >forellino di reset sul retro, e >poi si entra con la pass di >default: root, root... ma >attenzione che poi bisogna >programmare il router... e >saperlo fare: quindi occhio >a "smanettare").

Anonimo ha detto...

Ciao...io volevo sapere se esistevano qualche programma per vedere magari se qualcuno oltre al mio ip si era connesso al mio router...ogni tanto non so per quale motivo alla connessione ad internet mi cambia l'indirizzo ip...volevo avere informazioni e magari qualche programmino interessante per scovare inquilini poco desiderati!

Geqq3q ha detto...

Ottimo articolo,
A mio parere, sei meritevole di encomi.
Ciao Giuseppe