Da un po' di tempo ai gia' numerosi problemi di sicurezza per chi usa internet, se ne e' aggiunto un 'altro.
Il problema chiamato anche Drive-By Pharming ( www.symantec.com ) consiste nello scaricamento involontario visitando un sito web, di un java script creato appositamente per modificare le impostazioni del router che si sta utilizzando
Lo script, creato per specifico modello di router, esegue il login alla pagina di configurazione e va a modificare la tabella degli indirizzi DNS. (per chi non lo sapesse i DNS sono gli indirizzi dei server che convertono la url che noi scriviamo sul browser nel corrispondente indirizzo IP del sito da visitare)
Al seguente riavvio della macchina il router usera' di default dei DNS che puntano a un server controllato dall'aggressore per reindirizzare la navigazione su pagine contenenti malware ...ecc....
Purtroppo pero' il problema di una modifica delle impostazioni del router, (dns, password ecc...) puo' presentarsi anche se non si e' stati colpiti dallo script java.
Quando si attiva un router, specialmente in una rete domestica, chi lo installa segue una procedura che ormai e' stata resa abbastanza facile anche per persone non esperte di reti e sicurezza in rete. Succede cosi' che si presentano 2 gravi problemi:
Il primo consiste nel non modificare la password di accesso alla pagina web di configurazione del router lasciando quella di default, password di default che chiunque puo conoscere ad esempio cercando in rete il manuale di installazione per lo specifico modello usato.
Il secondo problema, forse ancora piu' grave, e' il mantenimento attivo dell accesso remoto alla pagina di configurazione del router attraverso la rete esterna (internet)
Come esempio qui potete vedere la scansione di un range IP riferito ad un noto provider internet italiano fatta con un programma freeware di scanner:
Molti dei router presenti consentono l accesso alla pagina di configurazione attraverso la porta 80 web con l uso di un qualsiasi browser.
Una volta entrato, se la pasword non e' stata cambiata, e succede molto spesso, l aggressore potra' a suo piacimento modificare tutte le impostazioni del router.
Si arriva a casi estremi, come questo che vedete qui sotto, dove non solo la password non e' cambiata, ma viene persino proposta, a chi si connette (l intento voluto da chi ha programmato il firmware del router, era quello di rendere disponibile il primo accesso di configurazione al router senza dover cercare sul manuale la password di default) ma se poi non si cambia !!!!!
La regola de seguire e' quindi quella di verificare sempre che la password di accesso di default sul router sia modificata; inoltre e' importante disabilitare l accesso di amministrazione remota del router attraverso un collegamento internet e lasciare attiva solo la possibilita' di accesso alla configurazione dalla la rete interna.
Edgar
Il problema chiamato anche Drive-By Pharming ( www.symantec.com ) consiste nello scaricamento involontario visitando un sito web, di un java script creato appositamente per modificare le impostazioni del router che si sta utilizzando
Lo script, creato per specifico modello di router, esegue il login alla pagina di configurazione e va a modificare la tabella degli indirizzi DNS. (per chi non lo sapesse i DNS sono gli indirizzi dei server che convertono la url che noi scriviamo sul browser nel corrispondente indirizzo IP del sito da visitare)
Al seguente riavvio della macchina il router usera' di default dei DNS che puntano a un server controllato dall'aggressore per reindirizzare la navigazione su pagine contenenti malware ...ecc....
Purtroppo pero' il problema di una modifica delle impostazioni del router, (dns, password ecc...) puo' presentarsi anche se non si e' stati colpiti dallo script java.
Quando si attiva un router, specialmente in una rete domestica, chi lo installa segue una procedura che ormai e' stata resa abbastanza facile anche per persone non esperte di reti e sicurezza in rete. Succede cosi' che si presentano 2 gravi problemi:
Il primo consiste nel non modificare la password di accesso alla pagina web di configurazione del router lasciando quella di default, password di default che chiunque puo conoscere ad esempio cercando in rete il manuale di installazione per lo specifico modello usato.
Il secondo problema, forse ancora piu' grave, e' il mantenimento attivo dell accesso remoto alla pagina di configurazione del router attraverso la rete esterna (internet)
Come esempio qui potete vedere la scansione di un range IP riferito ad un noto provider internet italiano fatta con un programma freeware di scanner:
Molti dei router presenti consentono l accesso alla pagina di configurazione attraverso la porta 80 web con l uso di un qualsiasi browser.
Una volta entrato, se la pasword non e' stata cambiata, e succede molto spesso, l aggressore potra' a suo piacimento modificare tutte le impostazioni del router.
Si arriva a casi estremi, come questo che vedete qui sotto, dove non solo la password non e' cambiata, ma viene persino proposta, a chi si connette (l intento voluto da chi ha programmato il firmware del router, era quello di rendere disponibile il primo accesso di configurazione al router senza dover cercare sul manuale la password di default) ma se poi non si cambia !!!!!
La regola de seguire e' quindi quella di verificare sempre che la password di accesso di default sul router sia modificata; inoltre e' importante disabilitare l accesso di amministrazione remota del router attraverso un collegamento internet e lasciare attiva solo la possibilita' di accesso alla configurazione dalla la rete interna.
Edgar
1 commento:
Ottimo edgar!
Non sapevo questa cosa.
Ovviamente che bisogna cambiare la pass del router si :-)
Posta un commento