Pagine

Visualizzazioni totali

martedì 23 febbraio 2010

Attacco ai router, nel nome di Chuck Norris



Lo si potrà chiamare ironicamente "Walker Texas Router" e si tratta di un malware, probabilmente scritto da un cracker italiano, in grado di prendere il controllo di router protetti da password troppo semplici. Il rischio è forte, ma proteggersi è facile

Potrebbe provenire dall'Italia un curioso attacco informatico che, prendendo forma con modalità particolari, rappresenta una minaccia da tenere immediatamente in stretta considerazione. L'attacco, infatti, prende forma sfruttando soprattutto l'ingenuità di quanti utilizzano password eccessivamente semplici (se non di default) sui propri router o modem. Il tocco di colore che accompagna l'attacco sembra essere marcatamente di impronta tricolore: il codice sorgente dell'exploit, infatti, riporta una firma inequivocabile riscontrabile nella stringa "nel nome di Chuck Norris". Ed è quindi nel nome di "Walker Texas Ranger" che lo sviluppatore ha partorito il proprio attacco, installando il tutto sui modem vulnerabili e permettendo quindi pieno accesso alle impostazioni dei device colpiti. Le possibilità per i malintenzionati sono importanti, poiché l'accesso avviene con privilegi di amministrazione. Un attacco potrebbe essere pertanto portato avanti sostituendo ad esempio i DNS del navigatore, portando pertanto ad una errata interpretazione dei nomi a dominio e redirezionando la navigazione con finalità truffaldine. Nulla di nuovo sotto il sole, peraltro: nel Marzo del 2009 aveva fatto parlare di sé già il malware "psyb0t", la "pillola blu della rete" in grado di colpire 30 differenti modem e router Linksys.
La scoperta della botnet così formatasi è opera di un gruppo di ricercatori della Repubblica Ceca operanti nel contesto dell'Institute of Computer Science della Masaryk University di Brno. Impossibile al momento quantificare l'estensione della botnet, ma le segnalazioni proverrebbero ormai da tutto il mondo indicando il successo dell'attacco perpetrato. Non solo: l'attacco sarebbe anche in grado di colpire una vulnerabilità nota dei sistemi D-Link. L'azienda non commenta, non conferma le notizie relative alla botnet ed al momento si tiene pertanto fuori dalla vicenda.
L'attacco, una volta installatosi sul router, è in grado di chiudere ogni comunicazione con l'esterno prima di mettersi in cerca di ulteriori macchine vulnerabili per propagare la rete. L'attacco è potenzialmente grave, ma viziato da due fattori che rimettono il potere nelle mani degli utenti. Innanzitutto è sufficiente usare una password complessa per evitare ogni rischio; inoltre, essendo il codice installato nella RAM dei router, è sufficiente un riavvio per cancellare ogni traccia dell'attacco ripristinando la situazione antecedente. Anche Chuck Norris, insomma, può essere sconfitto. Non nei film, forse, ma sui router MIPS/Linux sicuramente sì.
Consiglio: modificate la password del router di collegamento ad internet, i criminali informatici conoscono le password di default fornite dai vari produttori (dlink,linksys,cisco,3com etc). E' dunque importante già in fase di installazione dello stesso che la password sia cambiata e sia sufficentemente complessa (12 caratteri, alfanumerica e con caratteri speciali). Nel caso in cui un cracker prenda possesso del proprio router potrebbe fare atti illegali con il vostro indirizzo IP di uscita (ad esempio scarico software coperto da diritto d'autore) e sarete voi a dover dimostrare di non aver commesso tali atti.....