Questo pomeriggio mi sono imbattuto in un Router Infostrada (non ho segnato il modello) che probabilmente è stato attaccato e a cui sono stati alterati i DNS; un problema simile a quanto accaduto ad altri router, come indicato in altri articoli presente in questo sito:
Scoperta Vulnerabilità in alcunu Router KRAUN
Gravissima vulnerabilità di Router varie marche
Vulnerabilità Router: una possibile soluzione
Il Cliente lamentava la segnalazione dell'Antivirus in ogni pagina web che visitava. Poiché il cliente usa come Antivirus ESET NOD32, ho trovato strano che si fosse infettato.
Articolo Aggiornato in data 26/02/2015
Controllo e in effetti ogni pagina che navigava compariva un avviso di NOD32, ad ogni pagina. Ma ancora più strano era che lo script che veniva bloccato era quello che quasi ogni sito scarica da Google Analytics ovvero: http://www.google-analytics.com/analytics.js.
Analizzato lo script di Google Analytics che viene scaricato (e in fondo un semplice file di testo) risulta non essere il file originale, anche perché contiene dei riferimenti a siti palesemente pornografici.
Dopo varie verifiche, senza rilevare vere infezioni (ma solo qualcosa nella cache dei Browser), decido di portare il Computer il laboratorio, dove però non compare più nessuna segnalazione. L'infezione sembra sparita... anzi non c'è mai stata.
A questo punto l'unica possibilità è che il problema sta nel Router al quale probabilmente sono stati alterati i DNS, sfruttando qualche vulnerabilità. Infatti se vengono alterati i DNS, quando la pagina web visitata cerca di scaricare il file analytics.js dal sito www.google-analytics.com, si viene reindirizzati su un altro server, che contiene lo script fasullo.
Il fatto è molto grave e non va sottovalutato. Infatti se invece di alterare il dominio delle statistiche di google, viene alterato il dominio della nostra banca, paypal o facebook etc, ci ritroveremo in un sito web identico in tutto e per tutto, con il dominio corretto nella barra degli indirizzi, ma essendo i DNS alterati, ci viene mostrato qualcosa che si trova su un altro server, che non ha niente a che fare con il server originale.
Ci si può accorgere del problema solo se un sito che dovrebbe essere un https (come la banca, paypal, facebook etc), in realtà non lo è oppure segnala un errore nel certificato.
Aggiornamento del 26/02/2015
Questa mattina ho verificato la mia tesi... il Router fornito da Infostrada è Vulnerabile.
Il Router è un HUAWEI Modello HG520c, non so se recente o meno (il Cliente dice che lo ha dal 2000, ma probabilmente ricorda male). Non ho pensato di segnarmi la versione del firmware (probabilmente una versione più recente potrebbe essere immune da questo problema).
In ogni caso è possibile verificare se avete o meno un router vulnerabile, indipendentemente dalla marca, modello o fornitore di servizi. Per la verifica occorre uno Smartphone o Tablet con connessione 3G attiva( dovete disattivare temporanemente la WiFi); si procede in questo modo:
- Sullo Smartphone o Tablet disattivate temporaneamente la connessione WiFi
- Sul Computer accedete al Browser e nelle barra degli indirizzi digitate questa URL: www.mioip.it
- Compare una pagine che mostra il Vostro indirizzo IP, sotto forma di 4 numero separati da 3 punti xxx.xxx.xxx.xxx
- Sullo Smartphone o Tablet aprite il Browser e nella barra degli indirizzi digitate esattamente il vostro indirizzo IP e confermate
- Se compare la schermata di accesso alla configurazione del Vostro router, allora è vulnerabile. Se poi la password è quella predefinita (normalmente "admin"), allora siete nei guai.
La prima cosa da fare è quella di cambiare la password di accesso alla configurazione del router.
E' opportuno poi istruire il router per permettere l'accesso alla configurazione del router solo dalla LAN (cioè la rete locale) e non dalla WAN (cioè da internet). Per fare questo, ogni router ha le sue opzioni, ma fondamentalmente si tratta di cercare il menu ACL (Access Control List), dove si andrà ad impostare che, per tutte le interfacce (giusto per sicurezza) l'accesso sia consentito solo dalla LAN.