Cerca nel blog

2008/01/29

Sicurezza: non lasciate aperto il vostro modem/router!

Tecniche d'intrusione da sapere: modem router insicuri


Questo articolo vi arriva grazie alle gentili donazioni di "filippo.tron****" e "ponioggi".

Ho già parlato in passato di rischi di sicurezza poco conosciuti e da evitare a proposito delle reti wifi. Ma c'è un altro canale d'attacco non molto noto che va per la maggiore in questo periodo: prendere di mira i modem router, ossia gli aggeggi che collegano a Internet il vostro computer e/o altri dispositivi. I modem router sono attaccabili via Internet, senza neppure prendersi la briga di piazzarsi fisicamente nelle vicinanze della vittima.

Una tecnica classica è riprogrammare il DNS del router, in modo che quando la vittima cerca di visitare un sito che muove denaro reale (un negozio, un sito di aste, eccetera) oppure la sua banca, il router redirige la visita verso un sito-trappola apparentemente identico, nel quale la vittima, fidandosi, immette i suoi codici segreti e li regala così al truffatore. A nulla valgono antivirus, antispyware, barre di sicurezza e buone prassi come la digitazione manuale degli indirizzi.

Questa tecnica è usata, per esempio, da un attacco molto particolare che ha preso di mira gli utenti di una banca in Messico e sembra essere il primo del suo genere, come racconta Symantec. In questo caso specifico, il router era progettato talmente male (Symantec non dice marca e modello) che bastava che l'utente ricevesse un e-mail appositamente confezionato, o visitasse una pagina Web trappola, per riprogrammare l'apparecchio.

Normalmente, però, le cose non sono così gravi, ed è sufficiente attivare le funzioni di sicurezza del router. Infatti, come gli apparati wifi, anche i modem router di norma vengono dati all'acquirente con la sicurezza disattivata.

Per esempio, la maggior parte dei modem router ha una funzione di manutenzione da remoto che, salvo intervento dell'utente, è attiva e accessibile da chiunque su Internet. Questo significa che chi conosce la password predefinita di questa funzione può, con poca fatica e appositi strumenti, entrare nel vostro modem router via Internet e manipolarne il funzionamento. Per esempio, può bloccarlo completamente oppure, più perniciosamente, alterarne il funzionamento in modo da deviare invisibilmente il vostro traffico, come accennavo prima, secondo una tecnica chiamata drive-by pharming (sì, con il ph).

Disabilitate dunque l'accesso al router dall'esterno: tanto è altamente improbabile che vi servirà mai una funzione del genere (anche se alcuni provider la richiedono). Cambiate anche la password predefinita del router, così eviterete non solo gli attacchi perpetrati tramite e-mail o pagine Web infettanti, ma anche tentativi di attacco locali, fatti magari da qualcuno che accede al router non via Internet ma tramite un vostro ripetitore wifi lasciato aperto. Ricordate che per scoprire la password predefinita di un modello specifico di router basta una rapida ricerca in Google. E' facile per voi, ma è facile anche per gli intrusi.

Se temete di dimenticare la password del router, ricordatevi che potete sempre fare un azzeramento del router tramite il pulsante di reset, che lo riporta alle condizioni iniziali: cosa utile se sospettate di essere già stati infettati da questo genere di attacco. Come sempre, leggete il manuale del vostro specifico modello di router per sapere come fare; oppure fatevi aiutare da un amico o collega esperto.

Un'altra funzione del router che va preferibilmente disabilitata, se presente, è l'uPnP, che come descritto da Gnucitizen è vulnerabile in alcuni modelli. Non otterrete la sicurezza assoluta, ma vi renderete meno appetibili, per cui gli aggressori vi lasceranno in pace e andranno a cercare vittime più facili.

Infine, ricordate di scaricare dal sito del fabbricante gli aggiornamenti del software che comanda il modem router (il cosiddetto firmware): non solo migliorano il funzionamento del router, ma rattoppano le falle di sicurezza man mano che vengono scoperte.

4 commenti:

FridayChild ha detto...

Ci sono anche utilizzi utili della funzione di gestione remota del router via http. Ad esempio, se il firmware lo consente, si puo' inviare dal router un magic packet per fare il wake on LAN di un PC della propria rete domestica. In questo caso si puo' mettere una password extra-strong per la modalita' remota http e magari restringere l'indirizzo IP della stazione remota abilitata. Invece vedo poco utile, e molto rischioso, abilitare la gestione remota via telnet.

Darione ha detto...

La modifica del DNS sul router ha effetto solo se si utilizza il DHCP.
Consiglio: se avete meno di 50 macchine sulla LAN impostare SEMPRE gli IP manualmente.

mmss ha detto...

Ho qualche dozzina di clienti che utilizzano ADSL con IP statico, quindi conosco i loro indirizzi IP. 2 anni fa ho provato a collegarmi su ogni singolo di questi router con una di 3 password di default (non conoscevo i modelli dei router usati), e nel 50% dei casi sono riuscito ad accedere alla configurazione dei router!

Ovviamente gli ho avvisati del problema.

I router accessibili erano tutti stati installati da Telecom o di una marca mooolto diffusa.

Emilio ha detto...

Mi chiedo perchè non si possano indicare i modelli o le marche dei router che non sono affidabili:
1) si farebbe informazione utile a tutti anche ai meno esperti
2) una persona può avere un punto di riferimento quando sceglie un router anche se non è un esperto
3) le società costruttrici sarebbero invogliate a modificare il firmware più spesso e a progettare meglio la sicurezza
4) i prodotti migliori verrebbero premiati a scapito delle campagne marketing