Galaxy, Nexus, Xperia, Optimus o altri dispositivi "robotici"? Che si tratti di configurare il telefono o tablet, installare una ROM "cucinata" o scambiare quattro chiacchiere sui migliori dispositivi, la community Android si incontra qui.
Ganondolf ha scritto:Ho applicati le soluzioni 2 e 3 e ora il test per la vulnerabilità rom-0 mi da il risultato "probabilmente non vulnerabile". Grazie
Se hai applicato la seconda (telnet), la terza non serve e lascia una porta aperta nel router quindi ti suggerisco di rimuovere la regola di forwarding.
P.S.: Sperando di aver effettivamente messo in sicurezza il router, ti suggerirei di cambiare, per un'ultima volta, tutte le credenziali del router (Wi-Fi + interfaccia d'amministrazione) collegandoti via ethernet utilizzando un dispositivo fidato.
[Claudio] ha scritto:
Allora ..... Alex NON sarà contento di scoprire di essere finito .....
.....
manco per niente
in tutto questo tempo ho mantenuto la password di default del TP-Link e non ho più avuto redirect di alcun tipo. Visitando le medesime pagine il giorno del fattaccio, non ho avuto problemi di alcun tipo (lo scritto nel primo post). Il mio modem/router è un prodotto AVM e dubito abbia a bordo ZyNOS (Zyxel), con il test Rom-0 sembra tutto a posto.
In questi casi le contromisure lato client fanno poco o nulla poiché chi ordisce il meccanismo, accede direttamente al cuore della rete manipolando il traffico ad insaputa degli utenti.
Al3x ha scritto:Il mio timore è che tale attacco possa fare uso anche di altre tecniche tipo quella descritta in questa recente notizia: http://www.slate.com/articles/technolog ... coins.html
In questi casi le contromisure lato client fanno poco o nulla poiché chi ordisce il meccanismo, accede direttamente al cuore della rete manipolando il traffico ad insaputa degli utenti.
Questo è interessante, anche se ritengo sia un problema "contenuto" nel numero di utenti colpiti.
In realtà sono più interessato a questo:
hashcat ha scritto:Modificare via telnet i parametri che regolano le sorgenti autorizzate per l'accesso remoto al router (esempio QUI)
fermo restando la questione posta, suggerisci la modifica in via preventiva, anche in caso di router non afflitti da vulnerabilità? (perché se cosi fosse, provvedo subito).
Sulla questione browser, da evidenziare questo (prima che sfugga ai più):
hashcat ha scritto:Se utilizzi Mozilla Firefox puoi installare il componente aggiuntivo NoScript che, fra le altre cose (anche disabilitando la protezione JavaScript), permette di filtrare le richieste malevole verso la rete locale (funzionalità ABE)
Per informazione, navigando sul forum della D-Link (produttore del mio router) ho trovato una discussione del problema, a partire da questo post.
A questo indirizzo maggiori informazioni sull'attacco e soluzione per i possessori di router D-Link e TP-Link.
In particolare, viene segnalata la pagina di configurazione nascostahttp://192.168.1.1/scsrvcntr.html, da cui si può impostare l'accesso remoto su deny all, che corrisponde ai comandi telnet per limitare l'accesso all'interfaccia di configurazione solo alla LAN.
In ogni caso, trovo vergognoso che su questo genere di router basti semplicemente collegarsi all'ip per scaricare il file di configurazione, decriptabile in due secondi, senza nemmeno chiedere la password.
Ganondolf ha scritto:Per informazione, navigando sul forum della D-Link (produttore del mio router) ho trovato una discussione del problema, a partire da questo post.
A questo indirizzo maggiori informazioni sull'attacco e soluzione per i possessori di router D-Link e TP-Link.
Molto interessante, altre info utili che si aggiungono a quelle precedenti e danno un quadro più ampio (ma a mio avviso non completo) della manovra sferrata ai danni di migliaia di utenti.
In particolare la possibilità che abbiano "posseduto" un server DNS (non vorrei sbagliarmi ma credo sia un root server)
Da alcune analisi condotte dalla Team Cymru, i DNS sostituiti sono in molti casi il: 5.45.75.11 e 5.45.75.36 che risultano assegnati all’ISP 3NT Solutions (Londra), una strana scelta considerando la localizzazione in europa. E’ probabile che i server della 3NT siano a loro volta stati bucati.
Leggendo la serie di articoli di Balsamo sull'argomento, salta agli occhi che tutta l'operazione è iniziata da tempo e mi stupisco come chi ha orchestrato il tutto si sia fatto "beccare" sfruttando il baco per una operazione di rastrellamento di denaro che è di gran lunga meno interessante dell'avere per mesi il controllo del traffico di qualche milione di utenti. I 300.000 router in Italia stanno a significare in media una famiglia o un ufficio per ogni utenza. Tra computer, smartphone e altri dispositivi, la mole di dati che è possibile intercettare è spaventosa e se portata avanti nel tempo in maniera silente, offre agli ideatori possibilità sconfinate.
Sembra quasi che qualche "parassita" (quelle che in medicina vengono chiamate infezioni opportunistiche) abbia scoperto la magagna e ne abbia approfittato per fare cassa, portando però alla luce il fenomeno e consentendo ad alcune delle vittime di prendere contromisure.
Ganondolf ha scritto:
In ogni caso, trovo vergognoso che su questo genere di router basti semplicemente collegarsi all'ip per scaricare il file di configurazione, decriptabile in due secondi, senza nemmeno chiedere la password.
era questo che intendevo sottolineare, è un problema di portata enorme e se non intervengono i produttori, gli ISP e i gestori dei siti, potrebbero esserci altre falle che al momento non sono evidenti. Vedi il mio caso specifico, ho un router Fritz!Box che risponde negativamente ai test proposti, ciononostante il problema l'ho avuto anch'io... spero proprio non ci siano sorprese future.
Vorrei ricordarvi che in molti modelli di router (per i TP-Link lo dice anche la casa madre) è possibile modificare il firmware con versioni open (DD-WRT, Open-WRT) che forse non sono affette da questa vulnerabilità.
Some official firmware of TP-LINK products can be replaced by the third party firmware such as DD-WRT. TP-LINK does not provide technical support and does not guarantee the performance and stability of third party firmware. Damage to the product as a result of using third party firmware will void the product's warranty.
Grazie per aver citato i miei studi e le soluzioni che ho proposto. Purtroppo ricevo ancora moltissime visite da google ed email sul problema dei DNS dei router vulnerabili. Questo mi fa capire come era prevedibile che il problema è solo all'inizio e che moltissimi router saranno vulnerabili per ancora mesi se non anni.
Al momento comunque sembra che i tp-link e suoi cloni e i dlink (alcuni modelli), abbiano una soluzione. Resta da vedere se ci sono anche altre "sviste" presenti su altri router, al momento non mi vengono segnalati casi su hardware diverso.
La soluzione comunque in futuro è sui controlli successivi al router, nel mio caso non ho mai corso rischi perchè il NOD32 mi ha subito segnalato il cambio IP di facebook e google e mi ha subito bloccato le pagine. Da li poi sono risalito al problema. Ecco un normale utente sarebbe stato bloccato dal NOD32 e chiamato un tecnico. Avere la garanzia che tutti i router non siano mai più attaccabile è utopia.
felicebalsamo ha scritto:Resta da vedere se ci sono anche altre "sviste" presenti su altri router
quella è la cosa che, se venisse fuori, dovrebbe farci ulteriormente innalzare il livello di attenzione.
aggiungo altra info a correzione della mia dotazione hardware: quello che ho definito come access point della TP-Link è in realtà un router (no modem) del quale non uso la porta WAN con DHCP e altre menate disattivati. Visto che si trova in un posto scomodo, è un oggetto che controllo di rado e del quale dimentico anche l'esistenza.
Per quel modello e versione hardware, la TP-Link non ha rilasciato alcun aggiornamento e l'ultimo firmware è del 2012. Trovo discutibile che l'azienda, vista la diffusione dei suoi prodotti, non fornisca una patch per un problema così grave costringendo i consumatori a sostituire addirittura l'hardware per un difetto software risolvibile dai loro sviluppatori.
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.
..... 
Sasha
