Ciao
ho letto su internet un articolo riguardante un'infezione informatica denominata 'redirect' = reindirizzamento verso pagine malevole.
se ho ben capito, mi si corregga se sbaglio, è un'infezione che si insedia nel router e ne modifica i DNS -che siano impostati dal provider o liberi come i dns google-, sostituendoli con i dns malevole. da qui tutti i dispositivi collegati al router 'infetto' all'apertura del browser saranno reindirizzati verso i dns-pagina impostata dall'infezione.
ora, vi chiedo:
se lasciassi connettere alla mia rete/al mio router di casa il pc di un amico, che sia in lan o in wi-fi, e questo pc avesse l'infezione in oggetto (perché passa dal pc al router l'infezione!?!) questa andrebbe a infettare anche il mio router-la mia rete?
GRAZIE
Ciao
penso che tu possa far connettere tranquillamente i tuoi amici alla tua rete (se sono fidati!)
Virus per router ne esistono ma sono molto rari e sono generalmente specifici per una determinata marca o per un determinato modello di una determinata marca. Come sempre per stare tranquilli bisogna aggiornare il firmware del router all'ultima versione disponibile!
Per quanto riguarda il reindirizzamento verso pagine malevole, un pericolo più concreto è la possibilità di effettuarlo NON tramite DNS ma tramite il file hosts (ecco perché molti antivirus bloccano questo file in scrittura... ) o la cache DNS del SO.
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
I vettori d'attacco della tipologia d'infezione indicata sono numerosi (ne riporto solo alcuni):
Compromissione, di un router vulnerabile, da parte di un attaccante remoto (non facente parte della rete locale)
Compromissione, sfruttando il browser di un utente connesso alla rete locale, di un router vulnerabile ad attacchi di tipo CSRF
Compromissione, sfruttando il browser di un utente connesso alla rete locale, attraverso attacchi della tipologia DNS Rebinding
Tornando alla tua domanda:
giuanin ha scritto:vi chiedo:
se lasciassi connettere alla mia rete/al mio router di casa il pc di un amico, che sia in lan o in wi-fi, e questo pc avesse l'infezione in oggetto (perché passa dal pc al router l'infezione!?!) questa andrebbe a infettare anche il mio router-la mia rete?
GRAZIE
Si, il rischio di compromissione aumenterebbe.
Esistono alcuni accorgimenti e/o contromisure, validi per molteplici piattaforme, che puoi adottare per tutelarti, per quanto possibile, dai suddetti attacchi:
Proteggere l'interfaccia d'amministrazione del router con credenziali (nome utente, password) sicure
Verificare che il router utilizzato non sia affetto da vulnerabilità note
Qualora fosse affetto da vulnerabilità note, sarebbe bene controllare se sono già stati rilasciati aggiornamenti ufficiali del firmware che "tappano" le falle
In caso negativo è comunque opportuno ricercare in rete se sono disponibili contromisure efficaci da applicare manualmente
Se tutte queste strade non sono percorribili, considerare la sostituzione del router con un modello non affetto da vulnerabilità note o, meglio ancora, equipaggiato di un firmware sviluppato costantemente (come OpenWrt)
Specificare i resolver DNS da utilizzare localmente su ogni dispositivo connesso alla rete locale (invece di affidarsi alla medesima funzionalità offerta dal router)
Disabilitare il supporto al protocollo UPnP (Universal Plug and Play) da parte del router
Se si sospettano intrusioni di terze parti nella propria rete Wi-Fi (scrocconi o attaccanti), dopo aver sostituito la password compromessa con una più solida, suggerisco di modificare anche le credenziali d'accesso all'interfaccia d'amministrazione del router (in entrambi i casi attraverso una connessione via cavo)
Disabilitare il server DHCP integrato nel router (quest'ultima la sconsiglio per ragioni d'usabilità)
Specificare i resolver DNS da utilizzare localmente su ogni dispositivo connesso alla rete locale (invece di affidarsi alla medesima funzionalità offerta dal router)
Aggiungo:
Meglio se tramite DNSCrypt proxy [ http://dnscrypt.org/ ] perché i router potrebbero comunque intercettare e reindirizzare le chiamate DNS.
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
scusate il ritardo..., non ho avuto modo di guardare prima le vostre risposte.
dunque, vista la complessità della risposta proverò di capire... e poi tornerò a chiedere lumi.
intanto, GRAZIE
Ciao
non mi è stato possibile farlo prima per una serie di contrattempi che ho continuato ad avere..., ma ho grossomodo eseguito le verifiche e i passaggi elencati.
effettivamente, ho potuto apportare poche modifiche, password - disabilitare upnp, dal momento che ho un apparato technicolor TG788vn v2 in comodato dalla fastweb.
altre operazioni come aggiornare il firmaware e cambiare il nome utente non sono stato in grado di effettuarle
ho anche eseguito il test rom-0, e l'esito è stato: Indirizzo probabilmente non è vulnerabile.
per ciò che riguarda i dns già da tempo avevo impostato sui pc quelli google.
potrebbe bastare per essere un pochino al riparo??
visto che ci sono, vi chiedo:
al di là di questo genere di infezione 'redirect', ci sono altre infezioni che possono infettare la nostra rete domestica nel momento in cui si lasciano collegare gli amici con pc - tablet- smartphone che potrebbero avere un'infezione-?
se sì, quali precauzioni si devono adottare in tali circostanze per evitare il rischio di restare infettati?
Ciao
dal momento che siete sempre puntali nel rispondere alle domande che vi vengono poste, non avendo ricevuto risposta al mio precedente post (non che siate obbligati), vi chiedo se ciò è dato da una ragione specifica?!!?
giuanin ha scritto:Ciao
dal momento che siete sempre puntali nel rispondere alle domande che vi vengono poste, non avendo ricevuto risposta al mio precedente post (non che siate obbligati), vi chiedo se ciò è dato da una ragione specifica?!!?
Mancanza di tempo, l'argomento sarebbe estremamente vasto: rispondere in maniera esausita è difficoltoso.
Effettuare attacchi di tipo "Network reconnaissance" (attivi o passivi) ed enumerare i dispositivi connessi alla rete (creando una topologia approssimativa della stessa)
Instaurare connessioni dirette con i dispositivi connessi alla stessa rete locale (è possibile attaccarli sfruttando eventuali vulnerabilità che affliggono i servizi di rete in esecuzione su di essi, sferrare attacchi bruteforce, abusare di essi {ad esempio in caso di stampanti di rete o dischi condivisi})
Abusare della connessione di rete offerta localmente per generare traffico malevolo in uscita (intenzionalmente o "accidentalmente" {ad opera di malware})
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.