Tecniche d'intrusione da sapere: modem router insicuri
Questo articolo vi arriva grazie alle gentili donazioni di "filippo.tron****" e "ponioggi".
Ho già parlato in passato di rischi di sicurezza poco conosciuti e da evitare a proposito delle reti wifi. Ma c'è un altro canale d'attacco non molto noto che va per la maggiore in questo periodo: prendere di mira i modem router, ossia gli aggeggi che collegano a Internet il vostro computer e/o altri dispositivi. I modem router sono attaccabili via Internet, senza neppure prendersi la briga di piazzarsi fisicamente nelle vicinanze della vittima.
Una tecnica classica è riprogrammare il DNS del router, in modo che quando la vittima cerca di visitare un sito che muove denaro reale (un negozio, un sito di aste, eccetera) oppure la sua banca, il router redirige la visita verso un sito-trappola apparentemente identico, nel quale la vittima, fidandosi, immette i suoi codici segreti e li regala così al truffatore. A nulla valgono antivirus, antispyware, barre di sicurezza e buone prassi come la digitazione manuale degli indirizzi.
Questa tecnica è usata, per esempio, da un attacco molto particolare che ha preso di mira gli utenti di una banca in Messico e sembra essere il primo del suo genere, come racconta Symantec. In questo caso specifico, il router era progettato talmente male (Symantec non dice marca e modello) che bastava che l'utente ricevesse un e-mail appositamente confezionato, o visitasse una pagina Web trappola, per riprogrammare l'apparecchio.
Normalmente, però, le cose non sono così gravi, ed è sufficiente attivare le funzioni di sicurezza del router. Infatti, come gli apparati wifi, anche i modem router di norma vengono dati all'acquirente con la sicurezza disattivata.
Per esempio, la maggior parte dei modem router ha una funzione di manutenzione da remoto che, salvo intervento dell'utente, è attiva e accessibile da chiunque su Internet. Questo significa che chi conosce la password predefinita di questa funzione può, con poca fatica e appositi strumenti, entrare nel vostro modem router via Internet e manipolarne il funzionamento. Per esempio, può bloccarlo completamente oppure, più perniciosamente, alterarne il funzionamento in modo da deviare invisibilmente il vostro traffico, come accennavo prima, secondo una tecnica chiamata drive-by pharming (sì, con il ph).
Disabilitate dunque l'accesso al router dall'esterno: tanto è altamente improbabile che vi servirà mai una funzione del genere (anche se alcuni provider la richiedono). Cambiate anche la password predefinita del router, così eviterete non solo gli attacchi perpetrati tramite e-mail o pagine Web infettanti, ma anche tentativi di attacco locali, fatti magari da qualcuno che accede al router non via Internet ma tramite un vostro ripetitore wifi lasciato aperto. Ricordate che per scoprire la password predefinita di un modello specifico di router basta una rapida ricerca in Google. E' facile per voi, ma è facile anche per gli intrusi.
Se temete di dimenticare la password del router, ricordatevi che potete sempre fare un azzeramento del router tramite il pulsante di reset, che lo riporta alle condizioni iniziali: cosa utile se sospettate di essere già stati infettati da questo genere di attacco. Come sempre, leggete il manuale del vostro specifico modello di router per sapere come fare; oppure fatevi aiutare da un amico o collega esperto.
Un'altra funzione del router che va preferibilmente disabilitata, se presente, è l'uPnP, che come descritto da Gnucitizen è vulnerabile in alcuni modelli. Non otterrete la sicurezza assoluta, ma vi renderete meno appetibili, per cui gli aggressori vi lasceranno in pace e andranno a cercare vittime più facili.
Infine, ricordate di scaricare dal sito del fabbricante gli aggiornamenti del software che comanda il modem router (il cosiddetto firmware): non solo migliorano il funzionamento del router, ma rattoppano le falle di sicurezza man mano che vengono scoperte.
Nessun commento:
Posta un commento