'redirect' = reindirizzamento verso pagine malevole

[giuanin]

Ciao
ho letto su internet un articolo riguardante un'infezione informatica denominata 'redirect' = reindirizzamento verso pagine malevole.
se ho ben capito, mi si corregga se sbaglio, è un'infezione che si insedia nel router e ne modifica i DNS -che siano impostati dal provider o liberi come i dns google-, sostituendoli con i dns malevole. da qui tutti i dispositivi collegati al router 'infetto' all'apertura del browser saranno reindirizzati verso i dns-pagina impostata dall'infezione.
ora, vi chiedo:
se lasciassi connettere alla mia rete/al mio router di casa il pc di un amico, che sia in lan o in wi-fi, e questo pc avesse l'infezione in oggetto (perché passa dal pc al router l'infezione!?!) questa andrebbe a infettare anche il mio router-la mia rete?
GRAZIE

[CUB3]

Ciao
penso che tu possa far connettere tranquillamente i tuoi amici alla tua rete (se sono fidati!)

Virus per router ne esistono ma sono molto rari e sono generalmente specifici per una determinata marca o per un determinato modello di una determinata marca. Come sempre per stare tranquilli bisogna aggiornare il firmware del router all'ultima versione disponibile!

Per quanto riguarda il reindirizzamento verso pagine malevole, un pericolo più concreto è la possibilità di effettuarlo NON tramite DNS ma tramite il file hosts (ecco perché molti antivirus bloccano questo file in scrittura... ) o la cache DNS del SO.

[hashcat]

I vettori d'attacco della tipologia d'infezione indicata sono numerosi (ne riporto solo alcuni):

• Compromissione, di un router vulnerabile, da parte di un attaccante remoto (non facente parte della rete locale)
• Compromissione, sfruttando il browser di un utente connesso alla rete locale, di un router vulnerabile ad attacchi di tipo CSRF
• Compromissione, sfruttando il browser di un utente connesso alla rete locale, attraverso attacchi della tipologia DNS Rebinding

Tornando alla tua domanda:

vi chiedo:
se lasciassi connettere alla mia rete/al mio router di casa il pc di un amico, che sia in lan o in wi-fi, e questo pc avesse l'infezione in oggetto (perché passa dal pc al router l'infezione!?!) questa andrebbe a infettare anche il mio router-la mia rete?
GRAZIE

Si, il rischio di compromissione aumenterebbe.
Esistono alcuni accorgimenti e/o contromisure, validi per molteplici piattaforme, che puoi adottare per tutelarti, per quanto possibile, dai suddetti attacchi:

• Proteggere l'interfaccia d'amministrazione del router con credenziali (nome utente, password) sicure
• Verificare che il router utilizzato non sia affetto da vulnerabilità note
• Qualora fosse affetto da vulnerabilità note, sarebbe bene controllare se sono già stati rilasciati aggiornamenti ufficiali del firmware che "tappano" le falle
• In caso negativo è comunque opportuno ricercare in rete se sono disponibili contromisure efficaci da applicare manualmente
• Se tutte queste strade non sono percorribili, considerare la sostituzione del router con un modello non affetto da vulnerabilità note o, meglio ancora, equipaggiato di un firmware sviluppato costantemente (come OpenWrt)
• Specificare i resolver DNS da utilizzare localmente su ogni dispositivo connesso alla rete locale (invece di affidarsi alla medesima funzionalità offerta dal router)
• Disabilitare il supporto al protocollo UPnP (Universal Plug and Play) da parte del router
• Se si sospettano intrusioni di terze parti nella propria rete Wi-Fi (scrocconi o attaccanti), dopo aver sostituito la password compromessa con una più solida, suggerisco di modificare anche le credenziali d'accesso all'interfaccia d'amministrazione del router (in entrambi i casi attraverso una connessione via cavo)
• Disabilitare il server DHCP integrato nel router (quest'ultima la sconsiglio per ragioni d'usabilità)

[CUB3]

• Specificare i resolver DNS da utilizzare localmente su ogni dispositivo connesso alla rete locale (invece di affidarsi alla medesima funzionalità offerta dal router)

Aggiungo:
Meglio se tramite DNSCrypt proxy [ http://dnscrypt.org/ ] perché i router potrebbero comunque intercettare e reindirizzare le chiamate DNS.

[giuanin]

scusate il ritardo..., non ho avuto modo di guardare prima le vostre risposte.
dunque, vista la complessità della risposta proverò di capire... e poi tornerò a chiedere lumi.
intanto, GRAZIE

[giuanin]

Ciao
non mi è stato possibile farlo prima per una serie di contrattempi che ho continuato ad avere..., ma ho grossomodo eseguito le verifiche e i passaggi elencati.
effettivamente, ho potuto apportare poche modifiche, password - disabilitare upnp, dal momento che ho un apparato technicolor TG788vn v2 in comodato dalla fastweb.
altre operazioni come aggiornare il firmaware e cambiare il nome utente non sono stato in grado di effettuarle
ho anche eseguito il test rom-0, e l'esito è stato: Indirizzo probabilmente non è vulnerabile.
per ciò che riguarda i dns già da tempo avevo impostato sui pc quelli google.
potrebbe bastare per essere un pochino al riparo??
visto che ci sono, vi chiedo:
al di là di questo genere di infezione 'redirect', ci sono altre infezioni che possono infettare la nostra rete domestica nel momento in cui si lasciano collegare gli amici con pc - tablet- smartphone che potrebbero avere un'infezione-?
se sì, quali precauzioni si devono adottare in tali circostanze per evitare il rischio di restare infettati?

[giuanin]

ho anche eseguito il test rom-0, e l'esito è stato: Indirizzo probabilmente non è vulnerabile.

edit
test rom-0

[giuanin]

Ciao
dal momento che siete sempre puntali nel rispondere alle domande che vi vengono poste, non avendo ricevuto risposta al mio precedente post (non che siate obbligati), vi chiedo se ciò è dato da una ragione specifica?!!?

[hashcat]

Ciao
dal momento che siete sempre puntali nel rispondere alle domande che vi vengono poste, non avendo ricevuto risposta al mio precedente post (non che siate obbligati), vi chiedo se ciò è dato da una ragione specifica?!!?

Mancanza di tempo, l'argomento sarebbe estremamente vasto: rispondere in maniera esausita è difficoltoso.

[giuanin]

ok

[hashcat]

EDIT: Messaggio aggiornato!

ok

Scrivo una risposta compatta e di riepilogo:

Comunque... è possibile:

• Intraprendere attacchi DoS (nei confronti della stessa rete)
• Effettuare attacchi MitM (attivi o passivi)
• Effettuare attacchi di tipo "Network reconnaissance" (attivi o passivi) ed enumerare i dispositivi connessi alla rete (creando una topologia approssimativa della stessa)
• Instaurare connessioni dirette con i dispositivi connessi alla stessa rete locale (è possibile attaccarli sfruttando eventuali vulnerabilità che affliggono i servizi di rete in esecuzione su di essi, sferrare attacchi bruteforce, abusare di essi {ad esempio in caso di stampanti di rete o dischi condivisi})
• Abusare della connessione di rete offerta localmente per generare traffico malevolo in uscita (intenzionalmente o "accidentalmente" {ad opera di malware})

[giuanin]

praticamente, non si possono dormire sonni tranquilli...

[hashcat]

praticamente, non si possono dormire sonni tranquilli...

Ottima sintesi.

[gianpietro]

Ciao ragazzi.

Notizia che potrebbe interessarvi, riguardo falle nei router, vedi qui:

http://www.ictbusiness.it/cont/news/net ... 770/1.html

[hashcat]

Ciao ragazzi.

Notizia che potrebbe interessarvi, riguardo falle nei router

Hai fatto bene a segnalarla ma se ne era già parlato in QUESTA discussione.



P.S.: Ho spostato la discussione nella sezione idonea.