PDA

Visualizza versione completa : Intrusione nel router dall'esterno


Lionsquid
26-04-2009, 18.31.55
Ciao ragazzi,

stamane sono andato a casa di un collega il quale improvvisamente aveva perso la possibilità di connettersi al suo router wifi da una postazione fissa ...

senza perdere troppo tempo in indagini, avendo avuto che la connessione internet era attiva e funzionante ho reinstallato il dongle wifi (TP-LINK)

al riavvio la connessione veniva effettuata ma non la navigazione e pingando non si riusciva a raggiungere alcuna destinazione esterna

resetto winsocks e tcp/ip e nulla cambia

a questo punto la mia attenzione si sposta sull'altro pc e soprattutto sul router

il 2° pc connesso via ethernet sembra ok, ma non ho fatto alcuna indagine approfondita "antimalware" visto che tutto rispondeva perfettamente, attraverso MSCONFIG non c'era nulla di strano e pertanto ho effettuato l'accesso al router quando scopro con orrore che la pwd di admin non era stata cambiata, il fw disattivato e molti parametri di protezione non standard, primo tra tutti i dispositivi wifi non riconosciuti

gironzolando per il menù del router (THOMPSON) scopro che il log riporta delle connessioni TELNET :eek:

capoisco al volo la gravità del problema e stacco immediatamente il doppino telefonico, trascivo gli IP incriminati e RESETTO il router alle condizioni di fabbrica

riconfiguro tutto e prima di rimettere il doppino cambio la pwd di admin con una chilometrica

il reset ha permesso di riconoscere i dispositivi wifi e riabilitare il fw

indagando sugli IP ho trovato che i telnettari sono 3 (o forse sempre lo stesso da 3 "posti" diversi" (il numero maggiore da una zona di catania, 1 connessione dal belgio e 2 dal pakistan)

arrivo al dunque... ( e considerando il tecnico che ha installato il router un farabutto o un'ignorante )

quali mezzi posso usare per capire se i telnettari hanno carpito informazioni dal pc??? (non è un campo in cui sono esperto)

intanto domani il mio collega chiederà il cambio del certificato di autenticazione con la sua banca, per precauzione

altri possibili interventi?? tutte le pwd sono state cambiate (MSN, FORUM, etc.)

leofelix
26-04-2009, 20.56.19
orrore e raccapriccio,
non saprei proprio come scoprire se costoro hanno rubato dati dal PC in questione:

I sistemi in rete cosa condividevano oltre la connessione a internet?

Inoltre mi è venuto un atroce dubbio, sebbene io abbia disabilitato la possibilità di connettersi via WiFi al mio router e il Personal Firewal non mi segnala connessioni anomale, a questo punto farò dei controlli immediati e più approfonditi.

Alfabeto
26-04-2009, 23.48.51
Purtroppo non ho nessuna idea per aiutarti a capire se e come possono aver avuto accesso ai dati sui PC della rete.

Io farei anche un salto sul sito del produttore per vedere se è disponibile un nuovo firmware che magari ha tappato qualche debolezza del router agli attacchi esterni.
Forse sarà scontato dirlo, ma attiva la restrizione sugli IP che possono accedere alla configurazione del router e l'accesso wireless solo ai MAC address consentiti.

Detto questo auguro a chi ha installato il router che tu non riesca mai a trovarlo per fargli i complimenti....

Lionsquid
27-04-2009, 00.13.18
allora, come condivisione c'era (anzi c'è) solo la stampante, niente cartelle o unità

non ho pensato al firmware del router :mm: vedrò se ci sono upgrade

quanto alle restrizioni l'ho ripristinate ma non gli ip, solo il mac address dei pc wifi ( 1 fisso e 1 portatile non presente di cui siamo riusciti a risalire al mac address via MSN col figlio (studia a padova).. non è il massimo, ma è quello che si può fare... soprattutto perchè il problema non è la presunta vulnerabilità del wifi, ma l'accesso al router sfruttando la bestialità di un tecnico pagato per esserlo...

la passphrase è abbastanza incasinata dato che è un proverbio... un casino di caratteri :D

infatti, mi sono tenuto sul leggero, ma chi installa quei dispositivi e non cambia la password admin standard è davvero un'irresponsabile

cmq, tornando al problema, domani pomeriggio ritorno sul luogo del delitto e vado a monitorare il log del router e l'event viewer del pc in cerca di qualcosa di sospetto

e tanto per non passare per fesso, lancio il combofix, così, tanto per...

boh, vi terrò aggiornati

notte

Sbavi
27-04-2009, 09.23.56
Opera cancella i cookie quando viene chiuso.
I documenti stanno su pendrive.
Non uso antivirus.
La password del mio router è una parola di 6 caratteri.

Entrassero nel mio pc potrebbero fregarsi Cicciolina e Moana ai mondiali: beati loro.
Mi viene in mente la signature di Neddi: col pc risolvo problemi che prima non avevo :D

Non è per fare filosofia, ma basterebbe un minimo di accortezza per:
a) stare tranquilli
b) non rompere le palle al prossimo con richieste di aiuto (vedi caso di Leo)

se poi si è interdetti col PC allora sarebbe il caso di mollare e amen.


Vi racconto questa di sabato scorso.

Vado da un amico che ha comprato un pc su ebay. Accendo per vedere caratteristiche, scartabellare. Apro Firefox. Pagina iniziale, Mio Ebay, loggato e mi faccio un giretto. Account di posta, loggato. Username della banca, presente: per fortuna non c'era la pwd.
Poi presi dai rimorsi, abbiamo cancellato l'intero account utente di Vista.
Lasciatemi dire che se ad un tipo del genere gli fregano i soldi in banca se lo stramerita.


Vabbe, fine OT :p

Lionsquid
27-04-2009, 15.17.09
sia FF sia IE possono essere configurati per cancellare i temp a chiusura sessione

i documenti su pendrive sono quanto di più inaffidabile si possa fare, non tanto per la probabilità di essere carpiti ma per la elevata possibilità di smarrire la pen drive (io stesso ne ho trovato ben 2 fino a oggi, una vuota e l'altra con mp3 e foto), infine aggiungi che la "solidità" ai guasti delle pen drive non è certamente il massimo

strategie a parte, i router vanno protetti al massimo, non fosse altro per diminuire le probabilità che qualcuno "catturi" il pc nella "propria" botnet da cui sferrare attacchi di qualsiasi tipo, o peggio, faccia propria la rete (wifi) collegandosi col portatile posteggiato sotto casa del malcapitato!!

come dire ..più sicuro io, più sicuri tutti :D:D

per concludere, se chi vende il pc si dimentica di rimuovere i dati personali,... beh, non ci sono parole, :wall:

stay tuned, .... vedremo cosa trovo di anomalo sul pc

RNicoletto
27-04-2009, 16.17.41
infatti, mi sono tenuto sul leggero, ma chi installa quei dispositivi e non cambia la password admin standard è davvero un'irresponsabile
Fino a qualche tempo fa il 90% dei tecnici che installano le ADSL nelle case/uffici degli italiani non modificavano la password di fabbrica del router. A tutt'oggi se un utente domestico si compra un router, magari per sostituire il vecchio modem ADSL che gli era arrivato con l'attivazione dell'ADSL, tenderà a lasciare inalterata la password pre-impostata dal costruttore (che sono di pubblico dominio (http://www.routerpasswords.com/) da un pezzo). :timid:

leofelix
27-04-2009, 18.57.27
Fantastico, mi mancavano le uscite di Sbavi:-)
Mi viene il sospetto che venda Router principalmente

Bentornato Trinacre moderator

/end OT

Lionsquid
27-04-2009, 20.59.14
alla voce...

"visita" sfumata per mancanza di tempo, tutto rimandato a domani pomeriggio :anger:


@ leofelix

si, sbavi commercia in router taroccati con firmware fallato e con una backdoor che vende all'asta su ebay :D