Els “routers” dom

Compartir

Primer foren els servidors corporatius, després els ordinadors domèstics i, ara, els "routers" ADSL presents en cada cop més llars. Els creadors de codi maliciós han descobert en aquests aparells un nou objectiu a atacar. El fet que siguin petits ordinadors, que estiguin sempre encesos i poc protegits els converteix en peces fàcils i atractives.

Mercè Molist – Les passades dates nadalenques, a Mèxic, es va viure el que alguns experts en seguretat temien: el primer cas real de modificació massiva de la configuració de "routers" domèstics, per a usar-los en estafes de "phishing". Malgrat que no hi ha dades del seu abast, es creu que fou molt rendible per als criminals, que ho han repetit en diverses onades. L’empresa Symantec afirma en el seu bloc corporatiu: "Ara que s’ha realitzat per primera vegada aquest atac, n’hi haurà d’altres".

Symantec ho havia predit un any abans: un codi maliciós podria, via web o correu electrònic, agafar el control d’un "router" domèstic. En el cas mexicà, es va fer per correu. No calia punxar en cap adjunt, només amb visualitzar el missatge, en HTML, n’hi havia prou. Aquest contenia diverses comandes que, en ser interpretades pel programa de correu, "cobraven vida" i canviaven la configuració del "router".

L’atac anava dirigit als "routers" 2wire, molt populars a Mèxic perquè l’operadora Telmex els regala als seus clients, sense clau d’accés. Així, el codi tenia pas franc per injectar noves instruccions a l’aparell, de manera que quan la víctima teclegés en el seu navegador l’adreça del banc mexicà més important, Banamex, el "router" la duria a un altre lloc amb la mateixa aparença. Totes les dades que allà s’introduïssin anirien directes als criminals.

En ser un nou tipus d’atac, cap antivirus el detecta. Alguns afectats expliquen el seu cas en el bloc de VirusTotal, com Ileana: "He estat una de les ingènues que va obrir el missatge amb el cuc, en un dia em van robar 3 vegades. La meva pregunta és: què faig ara, què he de buscar al meu ordinador per tal d’eliminar les adreces falses, el meu antivirus no em registra cap virus i també, com reconfiguro el meu 2wire??". Segons el centre de seguretat mexicà UNAM-CERT, l’empresa responsable no ha donat encara una solució.

Els programes maliciosos que assalten "routers" no són una novetat, explica Bernardo Quintero, d’Hispasec Sistemas, però fins ara no s’havien usat per a fraus massius: "Un atacant pot, realitzant un escaneig massiu per Internet, buscar una vulnerabilitat concreta en un "router" que li permeti accedir a la xarxa o xarxes que hi ha al seu darrere, previsiblement corporatives. Això sempre ha existit, però mai s’havia fet un atac massiu dirigit al client final, amb un "router" domèstic".

El que fa atractius a aquests aparells és que són petits ordinadors amb un sistema operatiu propi que, explica Quintero, "permet configuracions d’alt nivell com redirigir el trànsit per a què arribi a l’atacant, obrir una porta en el "router" per accedir als ordinadors que connecten a través d’ell, fer atacs de denegació de servei, allotjar continguts, etc". En estar sempre encesos i tenir contrasenyes febles o per defecte són de fàcil accés.

Els experts coincideixen en imaginar el proper pas: un cuc que s’autopropagui de "router" a "router", sense intervenció humana. Només necessitaria estar programat per atacar una marca molt popular i usar un ordinador com a passarel·la a través del que entraria en el primer "router", com s’ha fet a Mèxic. Un cop presa aquesta posició, escanejaria milions d’adreces IP a la recerca d’altres aparells vulnerables, en els quals s’introduiria automàticament a través d’Internet o per les seves connexions sense fils.

Un recent estudi de la Universitat d’Indiana avisa contra aquest possible escenari, destacant l’especial vulnerabilitat de les connexions sense fils, més insegures perquè o no estan protegides o empren el sistema de xifrat WEP (Privacitat Equivalent a Cablejat), fàcilment atacable de manera automatitzada. Així, el cuc saltaria d’un "router" a l’altre a través de les ones encara que, segons Quintero, "la seva vida de propagació seria molt limitada, tret que hi hagi una concentració de "routers" d’un mateix model en una àrea geogràfica".

A ningú se li escapa que les xarxes d’ordinador "zombis" o "botnets", la pitjor plaga de l’actualitat, van néixer també primer en la imaginació dels investigadors, per fer-se fatalment reals mesos després. L’única defensa de moment contra els atacs a "routers" domèstics és canviar les contrasenyes que vénen per defecte i protegir les seves connexions sense fils amb el sistema segur WPA (Accés Protegit Wi-Fi).

Per a això, cal accedir al router des de l’ordinador, teclejant en el navegador l’adreça facilitada pel fabricant, per exemple 192.168.1.100, o instal·lant els programes del CD que acompanya l’aparell. Després d’introduir el nom d’usuari i contrasenya que indiqui el fabricant, apareix una interfície amb diferents opcions, entre elles canviar la contrasenya del router i accedir a les opcions "Wireless" (Sense fils).

Dins del menú "Wireless" hi ha un submenú "WPA". S’indica al router que activi aquesta autenticació, amb protocol WPA-PSK i privacitat TKIP, i s’introdueix la contrasenya desitjada per a WPA, si pot ser de més de sis caràcters, barrejant majúscules, minúscules i nombres. Aquesta recomanació és extensible a totes les contrasenyes, també la del router. La Wi-Fi Alliance va crear la protecció WPA per corregir les múltiples deficiències del sistema anterior, WEP, a l’espera de la implantació de l’estàndard 802.11i.

Ataques Phishing/Pharming Explotando Vulnerabilidades en Ruteadores 2Wire
http://www.seguridad.unam.mx/vulnerabilidadesDB/?vulne=5534

Nuevo método de fraude bancario
http://blog.hispasec.com/laboratorio/25

Pharming y phishing aprovecha vulnerabilidad de routers ADSL
http://www.hispasec.com/unaaldia/3312

Drive-by Pharming in the Wild
http://www.symantec.com/enterprise/security_response/weblog/2008/01/driveby_pharming_in_the_wild.html

WiFi flu: viral router attack could hit whole cities
http://arstechnica.com/news.ars/post/20080102-wireless-router-security-flaws-could-fuel-viral-outbreak.html

Wi-Fi Protected Access
http://es.wikipedia.org/wiki/Wi-Fi_Protected_Access

Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

Guillem Alsina