Chiudi la portaaa! O cambia la serratura almeno!

No, non sto urlando dietro a mia mamma che passa l’aspirapolvere alle 8 di domenica mattina con la porta della mia camera aperta 😛

Mi riferisco ad un’altra porta, quella che forse tiene aperta il vostro router e che permette ad una persona collegata ad internet di farvi dei begli scherzetti, se non peggio.

Avete un router, avete presente la sua interfaccia web amministrativa, ossia quella sorta di “sito” dove si impostano tutti i parametri per navigare? Se non vi sembra che stia parlando di oggetti alieni, allora continuate a leggere; e se non avete capito nulla fin qui, leggete lo stesso: informarsi ed imparare a gestire i propri strumenti è un’ottima pratica quando c’è di mezzo la sicurezza informatica.

Per impostare il router di solito si apre firefox piuttosto che internet explorer, o un qualsiasi altro browser, e si digita nella barra degli indirizzi l’indirizzo ip assegnato al router (nella maggior parte dei casi 192.168.0.1 oppure 192.168.1.1).

In questo modo il vostro browser va “a bussare alla porta 80” del vostro router tramite la vostra rete locale (che in genere in casa è costituita, oltre che da uno o più pc, da un semplice cavo di rete, oppure da qualche cavo ed uno switch, oppure ancora è senza cavi, wireless).

Il bravo router (o più tecnicamente, il web server che gira sul router in ascolto sulla porta 80) risponde a questa richiesta fornendo una pagina da cui si può accedere alle impostazioni del router. In genere questa prima pagina è un form, un modulo, dove vengono richiesti username e password. Dopo averli digitati si accede effettivamente a tutte le impostazioni.

Ma il router cosa fa? Qual’è il suo compito e in che punto della nostra rete è installato?

Il router ci permette sostanzialmente di navigare, di usare le e-mail, in generale permette di accedere ad internet, ed è posizionato al confine fra la vostra rete locale di casa (rete LAN, local area network, ossia rete locale di dimensioni ridotte) e la rete internet (rete WAN wide area netowork, ossia rete estesa).

Le sue interfacce quindi sono due, e non una sola:

  1. Interfaccia LAN che assume un indirizzo ip privato (quello usato come scritto prima per accedere all’impostazione)
  2. Interfaccia WAN che assume un indirizzo ip che gli viene assegnato dal vostro ISP (internet service provider, traducete pure in operatore, ossia wind infostrada, telecom, tele2, fastweb, ecc…)

Il problema qual’è?

Il problema è che alcuni router hanno attiva l’interfaccia amministrativa anche sull’interfaccia WAN.

In pratica questo significa che chiunque digiti il vostro indirizzo ip pubblico nella barra indirizzi del proprio browser è in grado di accedere alla schermata di login per le impostazioni del vostro router.

In genere questa opzione si chiama amministrazione remota (remota proprio perchè accessibile da un indirizzo ip pubblico, quindi raggiungibile anche dall’altra parte del mondo) ed è impostabile, ossia si può decidere se abilitarla o meno.

E’ da tenere abilitata soltanto se vi serve, altrimenti vale la pena chiudere questo possibile varco verso il vostro router.

Se è abilitata, il problema diventa quello di non farvi accedere chiunque. Questo si traduce nella scelta di username e password complesse, di sicuro almeno DIVERSE DA QUELLE PREIMPOSTATE nel vostro router! Infatti su sito come questo o quest’altro si trovano lunghe liste di password preimpostate divise per produttore.

Che scherzetti vi possono fare?

A me viene in mente che si può:

  • riavviare la vostra connessione ad internet
  • cambiare le impostazioni a casaccio facendovi perdere la possibilità di connettervi e costringendovi alla riconfigurazione del router
  • cambiare username e/o password, così per riuscire ad accedere alle impostazioni dovreste resettare il router perdendo le impostazioni e riportando username e password a quelle di default, preimpostate
  • fare un misto degli ultimi due punti
  • fare moltissime altre cose frutto di menti perverse 😛

Che danni seri vi possono causare?

A me viene in mente che si può:

  • cambiare gli indirizzi dei server DNS: sono i domain name server, cioè quei server che il vostro router contatta per trasformare gli indirizzi testuali che voi digitate nella barra degli indirizzi (leggi http://www.google.it) nei corrispettivi indirizzi ip del server che ospita il sito che volete vedere. Ora, un server DNS legittimo vi reindirizzerà all’indirizzo ip corretto, ma un server DNS fasullo vi può reindirizzare ovunque. Potete venire così “costretti” alla visita di siti contenenti malware nonostante voi vogliate navigare su siti affidabili, oppure potrebbero subdolamente reindirizzare solo le connessioni ai siti dei maggiori istituti bancari, per realizzare attacchi di phishing. In altre parole, a voi sembrerà di navigare normalmente, ma quando andrete nel sito della vostra banca non starete visionando il vero sito, ma una copia appositamente creata da malfattori per rubarvi i dati di accesso e svuotarvi il conto in banca
  • leggere lo username con cui vi collegate ad internet, scovare la password in genere “coperta” da asterischi o pallini, farsi un’idea del vostro fornitore d’accesso ad internet e provare a leggere le vostre e-mail tramite l’eventuale portale del fornitore d’accesso
  • rendere possibile l’accesso ad internet anche da parte di pc a cui l’accesso era negato, e mi riferisco principalmente ai router wireless
  • anche in questo caso, fare moltissime altre cose frutto di menti perverse (ma non metto la faccina perchè ora si tratta di danni ben più gravi)

La diffusione di questo fenomeno.

Per darvi un’idea di quante interfacce amministrative siano abilitate anche all’accesso remoto, mi sono fatto un giretto alla ricerca di porte numero 80 aperte sulle subnet attorno a quella dove mi piazza il mio ISP quando mi connetto. In altre parole, sono andato a vedere quanti “vicini di casa”, “vicini di paese” e “vicini di regione” hanno la porta 80 aperta sul loro indirizzo ip pubblico e a quante di queste corrisponda l’interfaccia amministrativa di un router (per non parlare degli utenti che hanno attivi veri e propri web server che forniscono accesso ad alcuni dei loro file, video streaming server per webcam, ecc…).

Non vi fornisco dei numeri, anche perchè non vorrei essere classificato come un potenziale hacker o utente fastidioso dal mio ISP a furia di fare scan sulle porte della mia subnet e quelle “vicine”, ma inserisco alcune immagini delle interfacce che mi sono visto comparire sul monitor… e poi mica si dice che un’immagine vale più di 1000 parole 😛

Come fare per capire se siete immuni o affetti da questo problema?

Si tratta di tentare di accedere alla gestione del vostro router tramite il vostro indirizzo ip pubblico.

Per scoprire qual’è (tenete conto che è molto probabile che ad ogni connessione il vostro ISP ve ne assegni uno nuovo) collegatevi al sito http://www.whatismyipaddress.com e copiatelo.

Dopodichè potete provare ad inserire questo numero nella vostra barra degli indirizzi, ma non è detto che funzioni: può darsi che il collegamento non “esca” su internet per poi ritornare verso il vostro router “dall’esterno”, ma avvenga direttamente come se foste in lan, come se usaste l’indirizzo ip privato anzichè quello pubblico. La soluzione migliore è quello di passare il vostro indirizzo ip (magari tramite chat) ad un amico fidato e connesso contemporaneamente a voi per far provare lui a connettersi. Dopo questa prova sarà in grado di dirvi se gli compare o meno la richiesta di username e password.

Questa è “la prova del 9”, ma potete subito andare a cercare l’impostazione per la gestione remota nelle opzioni del vostro router e disabilitarla.

Annunci

Tag: , , , , , , , , , , , , , , , , , , , , ,

2 Risposte to “Chiudi la portaaa! O cambia la serratura almeno!”

  1. carlo Says:

    ho fatto una prova con un mio amico (spero 😛 ) e lui mi ha detto che non gli è apparsa la pagina di log in. sono a sicuro quindi?

  2. Dani Says:

    @carlo: sì, dovresti essere al sicuro da QUESTO specifico problema.
    Non è invece detto che tu sia al sicuro da tutte le altre problematiche di sicurezza; ad esempio potresti avere il router che redirige la connessione ad alcune porte su dei computer in lan (si chiama port forwarding), e su quei pc puoi avere windows non aggiornato, e quindi ci potrebbe essere comunque una falla di sicurezza.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...


%d blogger hanno fatto clic su Mi Piace per questo: