Per l’attacco hacker a Sony e Microsoft potrebbe essere stato usato anche il router di casa vostra. È questo lo scenario che si prospetto. l’uso di migliaia di router domestici “zombiezzati” all’insaputa di utenti in tutto il mondo, per portare una sfida alle due multinazionali. Lo riferisce KrebsOnSecurity.com, sito specializzato in sicurezza guidato dal ricercatore e giornalista Brian Krebs.
Il gruppo di “cyberteppisti” noto come Lizard Squad sarebbe riuscito a portare a termine le operazioni di hacking sfruttando un”booter” o “stresser”: un servizio a pagamento ideato per interrogare e bloccare per ore o giorni i siti “target”. Il gruppo affitta a pagamento la sua botnet, assorbendo in pratica la larghezza di banda del sito da attaccare usando allo scopo alcuni router domestici o commerciali vulnerabili, hackerati ad hoc e sparsi ovunque; questi ultimi sono individuati scandagliando indirizzi IP alla ricerca di debolezze come lasciare il nome utente e le password di default dei vari produttori. Il meccanismo è lo stesso già visto con “Linux.BackDoor.Fgt.1”, un trojan capace di infettare vari dispositivi che usano Linux scansionando risorse remote in modo in modo arbitrario connettendosi a esse attraverso il protocollo Telnet.
Nei primi giorni del 2015, il sito di KrebsOnSecurity è stato messo offline da una serie di grandi attacchi tipo denial-of-service orchestrati, a quanto sembra, dai membri di Lizard Squad. Brian Krebs riferisce che il meccanismo usato non è per niente ricercato e gli ideatori hanno lasciato tracce che hanno consentito di localizzare da dove è partito lo “stresser” (Bosnia), alcuni nomi degli amministratori, gli indirizzi che controllano la botnet (sempre in Bosnia).
Krebs suggerisce a tutti gli utenti di cambiare username e password di default usate nei router. Per farlo, basta solitamente aprire un browser, digitare nella barra degli indirizzi l’indirizzo della pagina di configurazione del router (tipicamente un numero del tipo 192.168.1.1 o 192.168.0.1), inserire nome utente e password (cambiano in base al produttore e al router, verificate sul manuale), spostarsi nella sezione che consente di settare i parametri di sicurezza della propria rete casalinga interna e cambiare la password predefinita.
Per mettere al sicuro la propria rete domestica, Krebs consiglia non solo di cambiare le credenziali di default per accedere all’area amministrativa del router ma anche di disabilitare la funzionalità WPS (Wi-Fi Protected Setup) supportata da alcuni modelli. Il WPS è uno standard per la configurazione semplice e protetta delle reti e delle connessioni wireless che consente di utilizzare pulsanti o PIN invece di immettere manualmente un nome della rete (SSID) e una protezione wireless. I prodotti che supportano questo standard possono configurare in modo automatico un nome di rete casuale (SSID) e una protezione wireless WPA per i router wireless, gli access point, i computer, gli adattatori, i telefoni Wi-Fi e altri dispositivi elettronici. Molti router che supportano la tecnologia WPS sono vulnerabili; Krebs indica il link a un elenco di nomi e i modelli dei router vulnerabili e consiglia a chi ha un modello che non offre aggiornamenti firmware di disabilitare il WPS o installare firmware alternativi quali DD-WRT o Tomato.
Ultimo consiglio è di cambiare i DNS di default sfruttati dal router, il servizio di risoluzione di nomi in indirizzi Internet, una sorta di “elenco telefonico” che associa a ogni sito web il rispettivo indirizzo IP. Tra i servizi che offrono liberamente i propri DNS, quelli di OpenDNS sono utilizzabili semplicemente indicando specifici server pubblici (ne parliamo in dettaglio qui).
