Come proteggere il router di casa. Parte Seconda.

Come ci conettiamo al router ?

Come proteggere il nostro router di casa .

Molti router consentono agli utenti di esporre l’interfaccia di amministrazione ad internet per l’amministrazione remota. Alcuni dispositivi, di solito i più vecchi, l’hanno addirittura configurata in questo modo per impostazione predefinita. Questa è una pessima idea anche se la password dell’amministratore viene cambiata, perché molte delle vulnerabilità che si trovano nei router si trovano nelle loro interfacce di gestione basate sul web.

Se avete la necessità di gestire il vostro router da remoto, potreste configurarlo  come server VPN (Virtual Private Network) per connettervi in modo sicuro alla vostra rete locale da Internet e quindi eseguire attività di gestione attraverso tale connessione. Quasi la totalità dei router di fascia media hanno questa caratteristica. Se non sapete configurare una VPN non attivate questa funzione dato che potrebbe essere rischiosa e potrebbe esporre la rete a ulteriori tipologie di  attacco.

Non avete l’interfaccia amministrativa esposta su internet e ritenete che il vostro router sia al sicuro ? Sbagliate.



CSRF

Esiste un tipo di attacco che utilizza tecniche di cross-site request forgery (CSRF). Questi attacchi dirottano i browser degli utenti quando visitano siti web malevoli o compromessi e li costringono a inviare richieste non autorizzate ai router attraverso connessioni di rete locale.

Kafeine, un noto ricercatore,  nel 2015 rilevò un attacco CSRF su larga scala lanciato attraverso annunci pubblicitari malevoli collocati su siti web legittimi. Il codice, utilizzato in questo attacco,  era in grado di colpire oltre 40 diversi modelli di router di vari produttori tentando di modificare le impostazioni del Domain Name System (DNS) .

Sostituendo i server DNS configurati sui router con server controllati dagli attaccanti, questi, possono indirizzare gli utenti verso versioni fake dei siti web che temtano di visitare. Si tratta di un attacco molto potente perché non ci sono indicazioni nella barra degli indirizzi del browser che qualcosa non va a meno che il sito web non utilizzi il protocollo sicuro HTTPS.

Anche in questo caso, gli aggressori possono utilizzare tecniche come lo stripping TLS/SSL e molti utenti potrebbero non notare che manca il lucchetto verde. Nel 2014, gli attacchi di dirottamento DNS tramite router domestici compromessi sono stati utilizzati per eliminare le credenziali di banking online degli utenti in Polonia e Brasile.

Insomma, se credete che esista qualcosa di sicuro, state sbagliando. E’ questa l’unica cosa certa !

Come funziona CSRF

Gli attacchi CSRF di solito cercano di localizzare i router sulla rete locale con indirizzi IP comuni come 192.168.0.1 o 192.168.1.1 che i produttori configurano di default. Tuttavia, gli utenti possono cambiare l’indirizzo IP locale dei loro router in qualcos’altro, ad esempio 192.168.44.1 o addirittura 192.168.128.100. Non c’è alcuna ragione tecnica per cui il router dovrebbe avere il primo indirizzo in un netblock IP e questa semplice modifica può fermare molti attacchi CSRF automatici !

Ci sono altre tecniche che gli aggressori potrebbero combinare con CSRF per scoprire l’indirizzo IP LAN di un router, anche quando non è quello predefinito. Tuttavia, alcuni router consentono di limitare l’accesso alle loro interfacce amministrative tramite indirizzo IP specifico.

Se questa opzione è disponibile, è possibile configurare l’indirizzo IP consentito in modo che sia diverso da quelli assegnati automaticamente dal router ai dispositivi tramite il Dynamic Host Configuration Protocol (DHCP). Ad esempio, configurare il pool di indirizzi DHCP da 192.168.100.10 a 192.168.100.55, ma specificare 192.168.100.101 come indirizzo IP per accedere all’interfaccia amministrativa del router.

Questo indirizzo non verrà mai assegnato automaticamente a un dispositivo, ma è possibile configurare manualmente il computer per utilizzarlo temporaneamente ogni volta che è necessario apportare modifiche alle impostazioni del router.Dopo, cambiate immediatamente indirizzo ip al PC !

Inoltre, se possibile, bisogna configurare l’interfaccia del router per utilizzare HTTPS e accedervi sempre da una finestra del browser privato/incognito, in modo che nessuna sessione autenticata che potrebbe essere utilizzata tramite CSRF rimanga attiva nel browser. Non permettere al browser di salvare il nome utente e la password.



Telnet e SSH

Servizi come Telnet e SSH (Secure Shell) che forniscono l’accesso a linea di comando ai dispositivi non dovrebbero mai essere esposti a Internet e dovrebbero essere disabilitati sulla rete locale a meno che non siano effettivamente necessari. In generale, qualsiasi servizio non utilizzato dovrebbe essere disabilitato per ridurre la superficie di attacco.

Nel corso degli anni, i ricercatori sulla sicurezza hanno trovato molti account “backdoor” non documentati che fornivano il pieno controllo su dispositivi di tipo attivo come switch e router. Poiché non c’è modo per un utente “domestico”  di determinare se tali account esistono in un router o meno, disattivare questi servizi è la migliore linea d’azione.

Universal Plug and Play (UPnP)

Un altro servizio che può dare problemi  è Universal Plug and Play (UPnP), che permette ai dispositivi di “trovarsi” reciprocamente sulle reti e condividere le loro configurazioni in modo da poter impostare automaticamente servizi come la condivisione dei dati e lo streaming multimediale.

Molte delle vulnerabilità UPnP sono state trovate nei router domestici nel corso degli anni, consentendo attacchi che vanno dall’esposizione di informazioni sensibili all’esecuzione di codici remoti che portano a compromissione totale del router e della retei.

Il servizio UPnP di un router non dovrebbe mai essere esposto su Internet e, a meno che non sia assolutamente necessario, non dovrebbe essere attivato neanche sulla rete locale. Non c’è un modo semplice per sapere se l’implementazione UPnP di un router è vulnerabile .

Considerazioni

Una cosa è certa: Gli aggressori attaccano sempre più spesso i router dall’interno delle reti locali, utilizzando computer o dispositivi mobili infetti come launchpad. Si ritrovano in maniera sistematica malware sia per Windows che per Android  progettati specificamente per penetrare i router sulle reti locali. Questo è utile per gli aggressori perché i computer portatili e i telefoni infetti saranno collegati dai loro proprietari a reti diverse, raggiungendo router che altrimenti non sarebbero esposti ad attacchi su Internet.

Sfortunatamente, quando si costruiscono dispositivi, molti produttori non includono gli attacchi alle reti locali nel loro “modello” di minaccia e lasciano le varie porte di amministrazione e debug esposte all’interfaccia LAN. Quindi spesso spetta agli utenti determinare quali servizi sono in esecuzione e chiuderli, ove possibile.

Gli utenti possono scansionare i loro router dall’interno delle loro reti locali per identificare porte aperte e protocolli utilizzando vari strumenti, uno dei quali è Nmap con la sua interfaccia grafica utente chiamata Zenmap. La scansione di un router dall’esterno della LAN è più problematica perché la scansione delle porte su internet potrebbe avere implicazioni legali. Non è consigliabile farlo dal proprio computer, ma è possibile utilizzare un servizio online di terze parti come ShieldsUP o Pentest-Tools.com.

Alla prossima  ……… Come proteggere il nostro router di casa

Come proteggere il router di casa  Parte Prima    Parte Seconda   Parte Terza