Se non avete mai cambiato la password predefinita del vostro modem/router casalingo questo sarebbe il momento di farlo.
Alcuni ricercatori cechi hanno scoperto una nuova botnet che si intrufola in questi apparati, anche con Linux, a causa di configurazioni non molto sicure e password mai modificate. Particolarmente colpiti i router D-Link perché viene sfrutta una vulnerabilità già nota.
Il nome assegnato deriva da un commento, scritto in italiano, presente all’interno del codice sorgente: “in nome di Chuck Norris”. Dopo aver preso possesso dell’apparato può iniziare ad attaccare altre macchine.
Il controllo sulle operazioni viene fornito attraverso IRC. Chuck Norris resta residente solo in memoria e quindi si può eliminare facilmente con un riavvio. Per evitare di essere colpiti nuovamente è opportuno utilizzare password più “forti” ed aggiornare il firmware del proprio router disabilitando anche inutili servizi di accesso remoto.
Via | GoogGearGuide
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
jena-plisskin
23 feb 2010 - 13:34 - #1..e sicuramente di infettati ce ne saranno tanti, ma tanti. La pessima consuetudine di non cambiare password ai sistemi prosegue :-(
Maurs
23 feb 2010 - 15:37 - #2Tempo fa sul mio blog avevo parlato di un attacco simile, parlando anche delle tecniche e dei programmi usati (vedi Hydra).
http://maurs.wordpress.com/2008/07/14/analisi-di-un-attacco-informatico-parte-1/
http://maurs.wordpress.com/2008/09/21/analisi-di-un-attacco-informatico-parte-2/
::: ghost :::
23 feb 2010 - 17:54 - #3“Chuck Norris non si connette ad internet, è Internet che si connette con lui dopo avergli chiesto il permesso di farlo!”… :)
Andrea R
23 feb 2010 - 18:05 - #4beh obbiettivamente basterebbe configurare i modem in modo che la password iniziale vada cambiata obbligatoriamente, prima che questo si connetta.
Sapete se ci sono liste di modelli vulnerabili, anche avendo cambiato la pass?
dntz
23 feb 2010 - 18:55 - #5@maurs ho scoperto un blog davvero interessante grazie
Cornolio
23 feb 2010 - 19:24 - #6Come si fa a capire se siamo stati colpiti?
Nel caso fossimo stati colpiti come si risolve il problema?
Cornolio
23 feb 2010 - 19:38 - #7Ho letto i link postati da Maurs ed ho trovato le risposte alle mie domande!
Grazie Maurs ;)
Andrea R
23 feb 2010 - 20:26 - #8@Cornolio
basta che riavvii il router
machescherziamo
24 feb 2010 - 09:58 - #9Ma scusate, pensiamo al mondo reale. Tutti i tipi che abitano in un certo posto lasciano le chiavi di casa in piazza con il cartellino dell’indirizzo. Giorni dopo si legge una notizia sui giornali: abile ladro si intrufola nelle case di tutta la citta’ …
Nooo, la notizia non e’ questa, la notizia e’: gli abitanti di X si sono tutti bevuti il cervello.
Dove sarebbe la vulnerabilita’, addirittura anche di sistemi linux, entrare con una password, cioe’ aprire una porta con la sua chiave? Poter caricare del codice su un sistema operativo quale e’ in fondo il firmware di un router?
Per il bene dell’informatica forse i titoli similscandalistici sarebbero da evitare e raccontare meglio le cose, io proporrei: “La brutta abitudine delle password sciocche”. Certo che Chuck Norris e’ invitante come titolo ma non fa buon servizio all’informazione, allo spettacolo dell’informazione forse ma non all’informazione.
Maurs
24 feb 2010 - 13:33 - #10Non è solo questione di password. Si sfruttano anche vulnerabilità dei firmware. Basti pensare a quanti linksys si trovano con firmware risalenti alla guerra del ‘15/’18!
Naturalmente le aziende che danno in comodato questi router non informano l’utente comune dei rischi di tenere firmware vecchi… ne tantomeno si occupano loro stessi di aggiornarli… alla fine che sarà qualche BOT?
Evviva la sicurezza!
@Cornolio e Dntz: grazie per i complimenti. Peccato che ho poco tempo per aggiornarlo.
mascherziamo
24 feb 2010 - 18:25 - #11Il buco nel firmware serve per mettere su il bot, ma per l’accesso ti serve la password. Se ho capito bene.
Poi firmware bucati che permettono l’accesso anche senza password ce ne sono non c’e’ dubbio. Ma se ho ben capito non e’ il caso di Chuck, per l’esattezza
“It installs itself on routers and modems by guessing default administrative passwords and taking advantage of the fact that many devices are configured to allow remote access. It also exploits a known vulnerability in D-Link Systems devices”
Non e’ ben chiara la storia della known vulnerability, se hai bisogno di una password facile non deve essere un granche’. E’ per questo che suppongo che la vulnerabilita’ non sia relativa all’accesso e considero “normale” poter entrare in un router con una password di default. A meno che sia una combinazione, certi produttori per config di default permettono accesso all’interfaccia amministrativa solo da lan e non da wan e quindi la vulnerability potrebbe essere fondamentale. Oppure puo’ forse trattarsi di altro metodo di accesso. Non ho dettagli.
Io contesto soprattutto quel “anche con linux”, se ti serve una password di default non e’ tanto il linux da rimarcare che anzi ha poco senso.
Sposo comunque la tesi di dispositivi meno che perfetti. Pero’ piano con i produttori. Se io ti stampo un manuale e ci scrivo per prima cosa “cambiati la password” e tu te ne freghi io non posso fare i miracoli. I prodotti alle volte escono indecenti, alle volte sono decenti, solo che passa il tempo e a forza di studiare qualcuno una via la trova. Alla competenza dell’utente, anche solo limitata al fatto di portare le sue apparecchiature a fare il “tagliando” magari per legge da qualcuno che ci capisce, non si puo’ sostituire in tutto il produttore. O meglio potrebbe farlo, ma non con dispositivi da 50 euro. Dovrebbe chiedertene due o trecento al minimo piu’ canone di manutenzione. Li volete spendere??? Altro discorso i router chiusi e forniti dall’ISP, li’ dovrebbero essere cavolacci loro e dovrebbero avere una gestione piu’ seria.