Qualcuno ha imitato il mio WiFi?

Naviga le tue risposte
16

TL; DR : un estensore WiFi sconosciuto si presentava nei miei registri DHCP e il mio telefono si collegava regolarmente attraverso quel punto di accesso. Quanto è stata a rischio la mia rete o il mio traffico?

Questa mattina, mentre stavo lottando con una connessione lenta, ho controllato il mio router e sono rimasto sorpreso nel vedere un nuovo dispositivo sconosciuto collegato tramite DHCP. Il nome host era elencato come "TL-WA850RE" che risulta essere una forma di estensore del segnale WiFi. Dato che non possiedo un dispositivo del genere, ho immediatamente aggiunto l'indirizzo MAC al filtro di esclusione.

Da allora ho tenuto d'occhio la rete e non ho avuto più problemi. Tuttavia, ho notato che il mio telefono ha avuto improvvisamente problemi casuali di connessione al WiFi. Non ho fatto il collegamento tra i due finché non mi sono stufato e ho deciso di cambiare la mia sicurezza wireless per usare WPA2 invece del WEP che stavo usando (per un dispositivo legacy, è stupido, lo so). Subito dopo ho scoperto che il mio telefono ha trovato improvvisamente due reti diverse con lo stesso SSID ma diverse impostazioni di sicurezza. Dopo aver cambiato e nascosto il mio SSID, il vecchio SSID è ancora elencato.

Tutto questo mi porta alla seguente conclusione: qualcuno ha rotto la mia "sicurezza" WiFi e configurato un ripetitore per estendere il suo segnale, impersonando così la mia rete fungendo da secondo punto di accesso in una rete multi-AP. Poiché il mio telefono era più vicino al ripetitore del mio router, stava attraversando quel punto di accesso. Poiché avevo bloccato il MAC dall'accesso alla mia rete attuale, quella connessione non funzionava più.

Quindi ora la mia domanda: questo è effettivamente ciò che è successo? Quanto dovrei essere preoccupato che qualcuno stia ascoltando nel traffico che il mio telefono ha presumibilmente inviato attraverso questo punto di accesso sconosciuto? Devo prendere ulteriori misure?

EDIT: vedrò se posso esportare qualsiasi registro dal router per controllare le attività passate. Ho eseguito una scansione delle porte sul dispositivo che mostrava una porta HTTP aperta, presumibilmente la sua console di gestione. Ho pensato brevemente di tentare di accedervi ma, mentre è moralmente difendibile, probabilmente è anche illegale e improbabile che fornisca informazioni utili.

EDIT 2: Come temevo, si tratta di un router Belkin con tanto di registrazione quanto il deserto del Sahara.

EDIT 3: A quanto pare, un tecnico ha installato questa particolare estensione WiFi come parte di un'installazione di un pannello solare. Non per aumentare il segnale ma perché l'extender ha una porta ethernet che si collega al convertitore di potenza in modo che possa segnalare le statistiche di utilizzo. Ovviamente hanno trascurato di menzionarlo alla persona che è effettivamente responsabile della rete. Tuttavia, ho trovato le risposte qui abbastanza utili e forse questa domanda può essere utile ai futuri lettori che hanno un AP dannoso sulla loro rete.

Nota : ho una buona idea di chi è stato a fare il giro della mia rete, ma volevo assicurarmi di aver capito cosa fosse successo prima di affrontare le persone o le autorità di notifica. Le probabilità sono che non posso fare nulla se posso essere sicuro che si limitano a spegnere il wireless e non hanno ottenuto altro.

    
posta Lilienthal 11.01.2016 - 02:19
fonte

3 risposte

14

L'attaccante non sembrava davvero tentare di nascondere la sua traccia: avrebbe potuto simulare un indirizzo MAC esistente, per esempio, o usare la classica antenna yagi + adattatore WiFi ad alta potenza per intercettare silenziosamente la comunicazione. Sembra invece che abbia appena usato un extender per range WiFi di tipo home classico con quelle che sembrano le impostazioni predefinite.

Quindi mi sembra ancora molto probabile che volesse solo ottenere un accesso Internet gratuito / pseudo-anonimo e che in realtà non fosse interessato ai tuoi dati.

Puoi (e dovresti!) ispezionare ancora:

  • Se è possibile determinare l'uso che l'utente malintenzionato ha fatto del suo accesso (hai i registri che mostrano che i dispositivi degli utenti finali sono collegati per navigare sul Web, ad esempio? O attività elevata causata da servizi di condivisione peer-to-peer?),
  • Se riesci a rilevare attività anomale su uno degli account che stavi utilizzando durante questo periodo (posta, siti Web, ecc.).

In ogni caso, mentre si modificava la sicurezza dell'accesso WiFi e la password era il minimo, come misura precauzionale suggerirei anche di cambiare la password degli account sopra citati.

Nota che l'aggressore diretto del tuo account WiFi potrebbe non essere la tua unica minaccia lì. Se, come suppongo, questo aggressore ha usato il tuo accesso a Internet per andare su siti web dubbi o scaricare liberamente materiale piratato, allora è probabile che il suo stesso computer possa essere stato infettato da alcuni malware quindi, per qualche tempo, hai ospitato una macchina infetta nella tua rete . Questo potrebbe valere alcune misure di sanità mentale.

    
risposta data 11.01.2016 - 12:10
fonte
2

Questo è abbastanza possibile. Ci sono dei registri sul router che puoi controllare per ulteriori informazioni? Inoltre, WPS è abilitato sul tuo router? In tal caso, disabilitalo APPENA POSSIBILE, chiudere tutte le porte tranne 80, cambiare la password del router (renderla lunga e complessa) e aggiornare il firmware del router.

    
risposta data 11.01.2016 - 02:41
fonte
2

Anche se questo potrebbe essere il caso, ti consiglio di scaricare tutti i file dei registri dal servizio DHCP (se il router li ha conservati) dal punto in cui ritieni che la sicurezza del router sia stata compromessa e vedere se sono stati richiesti dispositivi sconosciuti un indirizzo. Ciò mostrerebbe certamente che almeno qualcuno ha compromesso la tua sicurezza e messo a rischio i tuoi dati, qualcosa che è sicuramente un reato legale negli Stati Uniti. Per mitigare il futuro, la cosa migliore da fare è configurare la propria autorità di certificazione e rilasciare il proprio punto di accesso a un certificato, garantendo così la fiducia tra il client e il router.

    
risposta data 11.01.2016 - 03:11
fonte

Leggi altre domande sui tag

Perché è una buona idea che i certificati digitali X.509 abbiano una data di scadenza? L'arrotondamento dei banchieri può essere sfruttato per aumentare malevolmente i saldi?