Pagina 3 di 3
Re: Redirect sospetto con Flipboard
Inviato: mar ago 12, 2014 2:00 pm
da hashcat
Ganondolf ha scritto:Ho applicati le soluzioni 2 e 3 e ora il test per la vulnerabilità rom-0 mi da il risultato "probabilmente non vulnerabile". Grazie
Se hai applicato la seconda (telnet), la terza non serve e lascia una porta aperta nel router quindi ti suggerisco di rimuovere la regola di forwarding.
P.S.: Sperando di aver effettivamente messo in sicurezza il router, ti suggerirei di cambiare, per un'ultima volta, tutte le credenziali del router (Wi-Fi + interfaccia d'amministrazione) collegandoti via ethernet utilizzando un dispositivo fidato.
Re: Redirect sospetto con Flipboard
Inviato: mer ago 13, 2014 5:12 pm
da Al3x
manco per niente 
in tutto questo tempo ho mantenuto la password di default del TP-Link e non ho più avuto redirect di alcun tipo. Visitando le medesime pagine il giorno del fattaccio, non ho avuto problemi di alcun tipo (lo scritto nel primo post). Il mio modem/router è un prodotto AVM e dubito abbia a bordo ZyNOS (Zyxel), con il test Rom-0 sembra tutto a posto.
Il mio timore è che tale attacco possa fare uso anche di altre tecniche tipo quella descritta in questa recente notizia:
http://www.slate.com/articles/technolog ... coins.html
In questi casi le contromisure lato client fanno poco o nulla poiché chi ordisce il meccanismo, accede direttamente al cuore della rete manipolando il traffico ad insaputa degli utenti.
Re: Redirect sospetto con Flipboard
Inviato: gio ago 14, 2014 8:37 am
da [Claudio]
Al3x ha scritto:Il mio timore è che tale attacco possa fare uso anche di altre tecniche tipo quella descritta in questa recente notizia:
http://www.slate.com/articles/technolog ... coins.html
In questi casi le contromisure lato client fanno poco o nulla poiché chi ordisce il meccanismo, accede direttamente al cuore della rete manipolando il traffico ad insaputa degli utenti.
Questo è interessante, anche se ritengo sia un problema "contenuto" nel numero di utenti colpiti.
In realtà sono più interessato a questo:
hashcat ha scritto:Modificare via telnet i parametri che regolano le sorgenti autorizzate per l'accesso remoto al router (esempio
QUI)
fermo restando la questione posta, suggerisci la modifica in via preventiva, anche in caso di router non afflitti da vulnerabilità? (perché se cosi fosse, provvedo subito).
Sulla questione browser, da evidenziare questo (prima che sfugga ai più):
hashcat ha scritto:Se utilizzi Mozilla Firefox puoi installare il componente aggiuntivo NoScript che, fra le altre cose (anche disabilitando la protezione JavaScript), permette di filtrare le richieste malevole verso la rete locale (funzionalità ABE)
Re: Redirect sospetto con Flipboard
Inviato: ven ago 15, 2014 1:27 am
da Ganondolf
Per informazione, navigando sul forum della D-Link (produttore del mio router) ho trovato una discussione del problema, a partire da questo post.
A questo indirizzo maggiori informazioni sull'attacco e soluzione per i possessori di router D-Link e TP-Link.
In particolare, viene segnalata la pagina di configurazione nascosta 
http://192.168.1.1/scsrvcntr.html, da cui si può impostare l'accesso remoto su deny all, che corrisponde ai comandi telnet per limitare l'accesso all'interfaccia di configurazione solo alla LAN.
In ogni caso, trovo vergognoso che su questo genere di router basti semplicemente collegarsi all'ip per scaricare il file di configurazione, decriptabile in due secondi, senza nemmeno chiedere la password.
Re: Redirect sospetto con Flipboard
Inviato: ven ago 15, 2014 11:38 am
da Al3x
Ganondolf ha scritto:Per informazione, navigando sul forum della D-Link (produttore del mio router) ho trovato una discussione del problema, a partire da
questo post.
A
questo indirizzo maggiori informazioni sull'attacco e soluzione per i possessori di router
D-Link e
TP-Link.
Molto interessante, altre info utili che si aggiungono a quelle precedenti e danno un quadro più ampio (ma a mio avviso non completo) della manovra sferrata ai danni di migliaia di utenti.
In particolare la possibilità che abbiano "posseduto" un server DNS (non vorrei sbagliarmi ma credo sia un root server)
Da alcune analisi condotte dalla Team Cymru, i DNS sostituiti sono in molti casi il: 5.45.75.11 e 5.45.75.36 che risultano assegnati all’ISP 3NT Solutions (Londra), una strana scelta considerando la localizzazione in europa. E’ probabile che i server della 3NT siano a loro volta stati bucati.
Leggendo la serie di articoli di Balsamo sull'argomento, salta agli occhi che tutta l'operazione è iniziata da tempo e mi stupisco come chi ha orchestrato il tutto si sia fatto "beccare" sfruttando il baco per una operazione di rastrellamento di denaro che è di gran lunga meno interessante dell'avere per mesi il controllo del traffico di qualche milione di utenti. I 300.000 router in Italia stanno a significare in media una famiglia o un ufficio per ogni utenza. Tra computer, smartphone e altri dispositivi, la mole di dati che è possibile intercettare è spaventosa e se portata avanti nel tempo in maniera silente, offre agli ideatori possibilità sconfinate.
Sembra quasi che qualche "parassita" (quelle che in medicina vengono chiamate infezioni opportunistiche) abbia scoperto la magagna e ne abbia approfittato per fare cassa, portando però alla luce il fenomeno e consentendo ad alcune delle vittime di prendere contromisure.
Ganondolf ha scritto:
In ogni caso, trovo vergognoso che su questo genere di router basti semplicemente collegarsi all'ip per scaricare il file di configurazione, decriptabile in due secondi,
senza nemmeno chiedere la password.
era questo che intendevo sottolineare, è un problema di portata enorme e se non intervengono i produttori, gli ISP e i gestori dei siti, potrebbero esserci altre falle che al momento non sono evidenti. Vedi il mio caso specifico, ho un router Fritz!Box che risponde negativamente ai test proposti, ciononostante il problema l'ho avuto anch'io... spero proprio non ci siano sorprese future.
Vorrei ricordarvi che in molti modelli di router (per i TP-Link lo dice anche la casa madre) è possibile modificare il firmware con versioni open (DD-WRT, Open-WRT) che forse non sono affette da questa vulnerabilità.
Some official firmware of TP-LINK products can be replaced by the third party firmware such as DD-WRT. TP-LINK does not provide technical support and does not guarantee the performance and stability of third party firmware. Damage to the product as a result of using third party firmware will void the product's warranty.
Re: Redirect sospetto con Flipboard
Inviato: sab ago 16, 2014 8:23 pm
da felicebalsamo
Grazie per aver citato i miei studi e le soluzioni che ho proposto. Purtroppo ricevo ancora moltissime visite da google ed email sul problema dei DNS dei router vulnerabili. Questo mi fa capire come era prevedibile che il problema è solo all'inizio e che moltissimi router saranno vulnerabili per ancora mesi se non anni.
Al momento comunque sembra che i tp-link e suoi cloni e i dlink (alcuni modelli), abbiano una soluzione. Resta da vedere se ci sono anche altre "sviste" presenti su altri router, al momento non mi vengono segnalati casi su hardware diverso.
La soluzione comunque in futuro è sui controlli successivi al router, nel mio caso non ho mai corso rischi perchè il NOD32 mi ha subito segnalato il cambio IP di facebook e google e mi ha subito bloccato le pagine. Da li poi sono risalito al problema. Ecco un normale utente sarebbe stato bloccato dal NOD32 e chiamato un tecnico. Avere la garanzia che tutti i router non siano mai più attaccabile è utopia.
Cosa ne pensate?
Re: Redirect sospetto con Flipboard
Inviato: sab ago 16, 2014 8:34 pm
da [Claudio]
felicebalsamo ha scritto:Cosa ne pensate?
Due cose: a) che, fortunatamente non ho dovuto affrontare questa rogna; b) ho messo il tuo blog tra i miei Preferiti
Re: Redirect sospetto con Flipboard
Inviato: sab ago 16, 2014 8:57 pm
da hashcat
felicebalsamo ha scritto:Cosa ne pensate?
Ho esposto alcune veloci riflessioni in QUESTO messaggio.
P.S.: Benvenuto su TurboLab.it !
Re: Redirect sospetto con Flipboard
Inviato: lun ago 18, 2014 10:50 am
da Al3x
Benvenuto Felice
felicebalsamo ha scritto:Resta da vedere se ci sono anche altre "sviste" presenti su altri router
quella è la cosa che, se venisse fuori, dovrebbe farci ulteriormente innalzare il livello di attenzione.
aggiungo altra info a correzione della mia dotazione hardware: quello che ho definito come access point della TP-Link è in realtà un router (no modem) del quale non uso la porta WAN con DHCP e altre menate disattivati. Visto che si trova in un posto scomodo, è un oggetto che controllo di rado e del quale dimentico anche l'esistenza.
Per quel modello e versione hardware, la TP-Link non ha rilasciato alcun aggiornamento e l'ultimo firmware è del 2012. Trovo discutibile che l'azienda, vista la diffusione dei suoi prodotti, non fornisca una patch per un problema così grave costringendo i consumatori a sostituire addirittura l'hardware per un difetto software risolvibile dai loro sviluppatori.
..... 