Pericolo della password del router predefinita

Il router wireless è il gateway per l'intera rete domestica, da un baby monitor wireless, ai computer sicuri su cui fai il tuo banking. Il controllo di questo gateway consente a un utente malintenzionato di accedere ai dispositivi all'interno della rete e ai dati che lo attraversano.

Non sorprende che i router domestici siano una nuova frontiera per il criminale underground e le password predefinite siano uno dei principali vettori di attacco. Nel 2011 e nel 2012 gli aggressori hanno sfruttato una vulnerabilità per modificare le impostazioni DNS di oltre 4,5 milioni di modem DSL in Brasile. In marzo 2014 ha riferito il team Cymru che oltre 300.000 router domestici erano stati compromessi e le loro impostazioni DNS erano cambiate in una campagna di attacco globale. In settembre 2014 , di nuovo c'è stato un attacco su larga scala ai router brasiliani.

La maggior parte di questi attacchi comportava due vulnerabilità, una CSRF (Cross-Site Request Forgery) presente in molte marche di router e password predefinite. Ciò significa che visitare un sito Web dannoso costringerà il tuo browser Web ad accedere al router di casa e ad apportare modifiche alle configurazioni. Questo articolo descrive un attacco simile e le sue gravi conseguenze.

Tutto è iniziato nel 2007 quando questo attacco era pubblicato . La condizione principale per il successo dell'attacco era che l'utente malintenzionato indovinasse la password del router, perché allora anche Cisco aveva 77 router vulnerabili a CSRF.

E il problema delle password predefinite è ancora reale nel 2014:

Tripwire spoke to 653 IT and security professionals, and 1009 remote workers in the US and UK – with alarming results. Thirty percent of IT professionals and 46% of workers polled do not even change the default password on their wireless routers. Even more (55% and 85%, respectively) do not change the default IP address on their routers (making cross-site request forgery – CSRF – attacks much easier). (Source)

I pericoli di avere il pannello di amministrazione di fronte a Internet con password predefinite dovrebbero essere ovvi. Ma una rete aperta con il pannello di amministrazione aperto alla rete locale è vulnerabile agli attacchi locali. Wardriving con buone antenne può coprire vaste aree e individuare molti router vulnerabili.

Una volta che ha accesso, un utente malintenzionato può modificare le impostazioni DNS e intercettare i dati per servire malware, pubblicità o phishing. Oppure può aprire la rete interna e attaccare alcuni vecchi telefoni Android privi di patch, e magari sperare che uno di quei dispositivi viaggerà e sarà un punto di accesso a una rete diversa e di valore superiore.

Inoltre, i router probabilmente memorizzano le credenziali per la connessione al provider di servizi Internet, che può essere riutilizzato o abusato dall'utente malintenzionato. Ho sentito parlare di router wireless con una rete aperta per gli ospiti e una rete protetta da password. La connessione alla rete aperta e l'accesso al pannello di amministrazione con credenziali predefinite consentivano l'accesso al file di configurazione del router con la chiave WPA per la rete protetta da password.

Mentre alcuni utenti ignorano la sicurezza, ci sono produttori di router che non ignorano la sicurezza dei loro utenti e forniscono password di amministratore uniche per ogni router. La maggior parte delle password viene stampata sull'adesivo permanente insieme agli altri dettagli come il modello e l'indirizzo MAC. Questo non è sicuro come il mio router acquistato di recente, che aveva la password stampata su una scheda e che richiedeva di cambiarla al primo utilizzo.

Come menzionato da Malavos nei commenti, ci sono ISP che affittano i router con password di default e persino alcuni che proibiscono di cambiare quelle password di default. Sto aggiungendo che alcuni ISP cambieranno le password predefinite e le useranno per configurare il router da remoto, ma imposteranno la stessa password per tutti i router dei loro clienti. Questo è problematico perché la password può essere ripristinata tramite l'hacking hardware, quindi ogni router con quella password può essere compromesso, anche da remoto.

Regole principali per proteggere i router wireless:

• Aggiorna il firmware del router
• Disattiva i servizi non necessari
• Imposta password di amministrazione complesse

Per i pericoli diretti, hai la possibilità che il pannello di controllo sia esposto a Internet (ho visto solo router che o non avevano questa capacità o avevano impostato su off per impostazione predefinita, ma è all'interno del regno di possibilità che sia attivata per impostazione predefinita o impostata accidentalmente come tale da un utente che non era a conoscenza delle implicazioni). Anche un computer infetto sulla rete potrebbe permettere a qualcuno all'esterno di ottenere il controllo del router.

Detto questo, non dovremmo giudicare uno strato di difesa assumendo che i precedenti non abbiano fallito. Un router correttamente costruito che non espone il suo pannello di controllo a Internet e che ha solo computer legittimi puliti che hanno sempre utenti legittimi può significare che non c'è un pericolo (che io sappia) nel lasciare la password impostata sul valore predefinito . Chiediti, quanto è probabile che quella situazione sia vera e rimanga vera per tutta la vita della tua rete? Il pericolo concreto è che alla fine cadrà qualche altro livello di difesa, quindi vuoi questo altro livello per proteggerti meglio.

"Puoi presumere che chiunque sia legittimamente connesso al router sia autorizzato ad accedere e modificare la sua configurazione."

Non puoi determinare se qualcuno è legittimamente connesso se la password predefinita è qualcosa come "password", però.

Veniamo ora a una questione di terminologia. Se la password è impostata per l'installazione in una sequenza casuale (ad esempio) con un appaltatore dell'ISP, è molto più sicura che se fosse un valore predefinito come "password".