Questa è una rete domestica: un router Linksys wireless che serve circa 5 dispositivi wireless e 3 cablati, due PC e una PS4.
Il router è configurato per servire DHCP ai dispositivi client. Ha un'impostazione per cambiare il dominio DNS della rete, ma viene impostato di default su "domain.name" dalla fabbrica. Questo non è mai stato modificato.
Da qualche giorno, uno dei PC cablati (con Windows 10 in esecuzione) mostrava problemi di internet: connessione lenta, buffering nei video e talvolta addirittura 404 in ogni pagina. Internet Explorer per qualche motivo è stato configurato per rilevare automaticamente le impostazioni del proxy (non so se questa è la configurazione predefinita, ma spero seriamente che non lo sia). La disabilitazione ha risolto il problema.
Tuttavia, durante l'inchiesta, il browser mostrava una pagina "Il proxy non rispondeva", il che mi ha sorpreso. Ha affermato che il proxy, a un indirizzo IP specifico, non rispondeva. Ho quindi proseguito con il collegamento con il browser e, in effetti, è stato scaricato un file DAT, che sembrava fornire due server proxy: uno a Madrid e un altro negli Stati Uniti.
Ricorda che il router fornisce "domain.name" come dominio DNS? Si scopre che qualcuno deve aver impostato qualcosa che serva quel file DAT per WPAD in quel dominio (probabilmente puoi ottenere quel file in questo momento, non fornirò un collegamento nel caso in cui tu possa probabilmente capire l'URL). La mia ipotesi è che quei proxy hanno smesso di funzionare, e quindi il PC ha iniziato a mostrare quei problemi.
Inutile dire che ho cambiato immediatamente il nome del dominio nel router.
La mia preoccupazione principale in questo momento è multiforme:
- C'è un alto rischio di perdita di dati sensibili? Sto parlando di materiale bancario (che avrebbe dovuto passare attraverso HTTPS quindi penso che non ne risentirà). Non so per quanto tempo il PC in questione è stato compromesso.
- Dovrei prendere in considerazione la formattazione dei PC o il nuking dell'intera rete?
- I computer non Windows (la PS4, i dispositivi Android, un Macbook Pro) potrebbero essere stati compromessi?