Quale pericolo può causare un breve accesso LAN al mio router?

Difficile dire senza sapere esattamente cosa è stato fatto, ma se si tratta di un router di access point wireless con un pulsante WPS, sarei preoccupato che l'intruso usasse il pulsante WPS per autorizzare il suo dispositivo a connettersi al wireless, quindi seduto nella sua auto sulla strada successiva fuori dalla tua linea di vista con un dispositivo collegato alla tua rete. Ora l'intruso può richiedere molto tempo a cercare tutti i tuoi dispositivi per le vulnerabilità, ecc.

Inoltre, la condivisione dei file di Windows e di solito è completamente abilitata sulla rete interna, e di solito non si pensa troppo alle autorizzazioni di condivisione e file perché non è accessibile a nessuno tranne te e i tuoi familiari ... .. se l'attaccante ha un dispositivo sulla rete interna, può prendere i tuoi file se non sono protetti bene.

Forse è entrato anche nella pagina di amministrazione del router (la maggior parte delle persone lo lascia con le password predefinite - ancora una volta basandosi sul fatto che solo le persone fidate all'interno della famiglia potrebbero persino arrivare alla pagina). Una volta nelle impostazioni di amministrazione del router, è probabile che riconfiguri il server DHCP per distribuire l'indirizzo del server DNS ai dispositivi che punta a un server DNS che l'attaccante si è alzato per reindirizzare l'accesso a siti reali come Gmail, Facebook, ecc. che ti mandano a siti fasulli che sembrano come la pagina di login di quei siti ma le credenziali che inserisci vengono catturate e inviate all'attaccante.

Potrebbe anche riconfigurare il firewall per permettersi di entrare dall'Internet pubblica nella rete interna.

Questi sono solo alcuni dei pensieri su ciò che questa persona avrebbe potuto fare. Guarderei da vicino tutti i dispositivi collegati alla rete e ne verifichi ogni singolo, e lo controllerei molto spesso per vedere se compare qualcos'altro. Controlla tutte le tue impostazioni per vedere se qualcosa è cambiato, prestando particolare attenzione agli indirizzi DNS e alle regole del tuo firewall. Modificherei la password del router e il SSID e i segreti WIFI.

forse la casella lampeggiante era solo una distrazione.

Forse no. Forse la casella era pre-programmata per fare qualcosa di malvagio.

3 s è davvero un sacco di tempo per un computer.

In quel periodo, ha sicuramente ottenuto un'impressione degli indirizzi IP usati (sia tramite DHCP o semplicemente annusando una richiesta ARP o una dozzina di questi), è molto probabile che sia stato in grado di determinare l'indirizzo IP privato e pubblico di il tuo router e ottieni una panoramica delle macchine attive di tipo PC nella tua rete (sempre che siano ancora così rumorose). Sarà stato abbastanza tempo per aprire una porta usando UPnP all'interno e per telefonare verso un server per far sapere al server "dove sei stato".

Non hai risposto chiaramente alla domanda se il tuo router avesse password predefinite quando la persona ha inserito la sua casella. Se così fosse, sì, potresti essere stato compromesso. Ignorerei le persone che dicono che devono attendere qualche secondo per caricare le pagine di amministrazione del loro router - non conosco il tuo router, quindi potrebbe a) non essere così lento, in primo luogo, b) avere una gestione interfaccia protetta con la stessa password che è molto più veloce da interagire ec) fare qualcosa con l'interfaccia, non devi in realtà aspettare che tutte le pagine di login siano completamente caricate se sai quali URL devi caricare con quali parametri .

Ora, le password predefinite non sono così utili se l'attaccante non conosce il tipo di dispositivo che hai. Ma, ancora una volta, 3s è piuttosto lungo, e questo sarebbe sufficiente per capire quale dispositivo si utilizza, quindi provare le credenziali predefinite. Inoltre, potrebbero esserci state conoscenze precedenti: la maggior parte delle persone ha solo il router che il proprio ISP fornisce loro, ed è abbastanza facile indovinare l'ISP delle persone (o è possibile leggerle dal proprio indirizzo IP pubblico, e ancora, 3s è un tempo lungo se si sono ben preparati)

Ciò che si può dire sulle credenziali di default si applica anche ai problemi di sicurezza senza patch con i router. Personalmente, ho collegato personalmente le LAN di più di un router in cui l'interfaccia web era effettivamente così problematica, trasmettendo informazioni di configurazione che potevano essere utilizzate per accedere alla LAN, anche se non disponevi delle credenziali.

E, tutto quello che sto dicendo qui vale anche per gli altri dispositivi nella rete. Forse l'attaccante non era affatto dietro il router, ma dopo che le macchine Windows avevano dei buchi di sicurezza - il che poteva essere molto utile, ad es. come server per contenuti illegali.

Al giorno d'oggi, le persone sembrano preferire ottenere macchine / reti di vittime con molto meno rischio, semplicemente mandando in giro malware, sperando che una email su diecimila (milioni?) porti a un'infezione, costruendo una botnet.

Quindi, considererei personalmente la tua rete attaccata, ma è un po 'dubbio quale sarebbe stata la superficie di attacco. Cercherò quindi di non essere eccessivamente paranoico al riguardo. Cioè, a meno che tu non abbia una ragionevole preoccupazione (non una teoria della cospirazione!) Che qualcuno abbia un interesse politico / finanziario / intelligenza sufficiente ad accedere ai tuoi computer - ad esempio, per svelare segreti al tuo datore di lavoro, che si fida di te e del tuo laptop - per mandare effettivamente qualcuno a correre il rischio di presentarsi di persona! Ora, qualcuno che è stato assunto per farlo probabilmente non avrebbe bisogno di chiedere quanto reddito hai, quante persone vivono nella tua famiglia ecc.

Tuttavia, ripristinando le impostazioni di fabbrica sul router, facendo lampeggiare un'immagine del firmware pulita (o semplicemente acquistando una nuova, se ne hai una poco costosa), impostando nuove password separate e non guidabili per l'accesso al router e WiFi, eseguendo la scansione di tutte le reti macchine per i virus e due volte più attenti di quando qualcuno cerca di convincerti a consegnare denaro o qualcosa di simile sulla base di "segreti" che ad es. solo l'ufficio delle imposte o il tuo datore di lavoro dovrebbero avere (ma un utente malintenzionato potrebbe avere accesso al tuo computer) sicuramente non sarebbe troppo prudente. Buona fortuna!

È strano che tu permetta a qualcuno di entrare nella tua casa e collegare qualcosa alla rete lan.
In genere l'ISP non ha bisogno di entrare nella tua LAN per scoprire problemi di connettività. Vedono abbastanza dall'esterno: DNS, MAC, regole nat. E può correggerlo sul loro confine - non c'è bisogno di controllare nulla. In alcuni casi, ISP dichiara di utilizzare le proprie apparecchiature DSL o PON, ma in questo caso è possibile visualizzare le impostazioni dall'esterno.
Quindi la tua situazione è sospetta

1. Ottieni rete LAN, resetta il router e modifica le impostazioni - controlla la sezione di port forwarding, manutenzione (deve essere solo accesso LAN), impostazioni nat e, cosa più importante - indirizzo del server DNS (in pratica, l'ISP imposta l'indirizzo DNS tramite DHCP).
2. In caso di default o nessuna password su macchine locali, box potrebbe essere una sorta di spia che inietta i computer lan per farli agire come parte di alcune botnet.

Che cosa fare?

1. Accedi al tuo router e ripristinalo in fabbrica. Il reset è comunque necessario per assicurarsi che la tabella ARP sia corretta.
2. Controlla il record DNS e impostalo come suggerisce l'ISP.
3. Modifica la password dell'amministratore del router per essere più complicata.
4. Disabilita i permessi di accesso root ssh sui tuoi host linux e sudo nopasswd su tutti gli utenti.
5. Compra un router semplice e posizionalo tra la porta WAN e l'ISP eventualmente compromessi. Isolare la tua rete. La registrazione può mostrare se ci sono attacchi.