SCOPERTA VULNERABILITÀ IN ALCUNI ROUTER KRAUN
Nei giorni scorsi (Domenica 14 Aprile) ho notato che diversi clienti lamentavano problemi con la la Linea ADSL, alcuni con connessione Telecom Alice altri con connessione Tiscali.
Casualmente ho notato che alcuni di questi clienti avevano due particolari modelli di Router KRAUN:
- KR.YL
- KR.KQ
(il problema si potrebbe verificare anche con altri modelli Kraun e/o con Router di marca differente).
In questi Router, oltre a non poter accedere ad internet (a causa di un disservizio dei provider o ad un blocco di DNS "insicuri "da parte dei provider) ho rilevato l'impossibilità di accedere alla configurazione del Router. In realtà impostando dei DNS alternativi (es. quelli di Google 8.8.8.8 e 8.8.4.4) direttamente nel PC, il problema di navigazione si risolveva, ma rimaneva quello dell'accesso alla configurazione del Router.
Inizialmente ho pensato che il cliente l'avesse cambiata di sua iniziativa, senza salvarsi la password o peggio senza accorgersene. Al terzo cliente con lo stesso problema di accesso al Router, ho capito che la cosa era più grave.
In pratica la Password di accesso alla configurazione dei Router è stata cambiata dall'esterno, da parte di terze persone (non Hacker ma Cracker), semplicemente accedendo all'indirizzo IP che il router aveva in quel momento (certamente preso a caso in un range di indirizzi), usando la password predefinita, che anche se è opportuno cambiare sempre, spesso non viene fatto.
Occorre precisare che Normalmente l'accesso alla configurazione del Router è possibile SOLO dalla Rete Locale, mentre se voglio poter accedere dall'esterno, cioè dall'interfaccia WAN, devo abilitare una specifica funzione. Però in questi particolari modelli di Router Kraun (e forse anche in altri), l'accesso alla configurazione è possibile ANCHE dall'esterno, NONOSTANTE la funzione di accesso dall'esterno sia disabilitata. Una volta che il Cracker avuto accesso alla configurazione del router, poteva cambiare diversi parametri. Oltre al cambio della Password di Amministrazione, presumo che siano stati cambiati i DNS, cioè i Domain Name Server, ovvero due indirizzi IP che permettono ai programmi del Computer (tipicamente i Browser, ma anche i Clienti di Posta, Antivirus e altri software) di sapere l'indirizzo IP di un determinato URL.
E' opportuno spiegare bene cosa sono e a cosa servono i DNS.
Per capirci quando aprite il Browser, es. Mozilla Firefox o Google Chrome (be si, tecnicamente anche Internet Explorer è un Browser) e digitate un URL, es. www.google.it, il Browser interroga i server DNS che gli rispondono, ad con un questi numeri: 173.194.35.31 (ovvero l'indirizzo IP di un server di Google).
Penso sia facilmente intuibile da tutti che i Server DNS siano molto importanti per il buon funzionamento di Internet e di tutte le possibilità che offre, ad esempio il sito di una banca per gestire il conto online o anche semplicemente la Webmail della nostra posta elettronica.
Ammettiamo però che qualcuno ci cambi, a nostra insaputa, questi server DNS, come presumo sia successo nei Router che sono stati attaccati (ma esistono dei virus che fanno la stessa cosa sui PC, si chiamano DNS-Changer). Digitando determinati URL, ad esempio quello della nostra banca online, invece di visualizzare il sito web della Banca, ci porterebbe in un altro sito, magari del tutto identico, che però non è quello reale (nonostante l'URL visualizzato nel Browser sia quello corretto). Risultato ci hanno rubato user e password. Stessa cosa per Webmail, Forum, Negozi online etc.
Il disservizio dei Provider riscontrato da alcune persone, presumo sia dovuto ad un blocco da parte dei provider stessi, di questi DNS alterati, infatti in un caso ho rilevato un messaggio da parte del Provider (Tiscali) che avvisava di un probabile problema con il Virus DNS-Changer (non presente però su quel Computer).
A questo punto, per chi possiede questi modelli di Router, in attesa di aggiornamento del firmware che corregge il problema, l'unica difesa è il cambio della Password di Accesso, possibilmente non banale, di almeno 10 caratteri e con aggiunta l'uso di Numeri e Lettere, magari maiuscole e minuscole, e per un grado di sicurezza in più, anche caratteri speciali.
Di seguito una Tabella dove raccolgo l'elenco dei Router, anche di marca differente, con questa Vulnerabilità, man mano che mi viene segnalata/confermata.
Marca |
Modello |
Revisione |
Firmware |
Segnalazione |
Kraun |
KR.YL |
1 |
? |
Daniele Pinna |
Kraun |
KR.YQ |
1 |
? |
Daniele Pinna |
TP-LINK |
TD-W8901G |
V3 |
? |
Andromeda (utente NG it.comp.reti.locali) |
TD-W8901G v3