troll under bridge
adv

Il router è il dispositivo che gestisce traffico di rete locale, banalmente, è il ponte che instrada le comunicazioni di tutti i dispositivi domestici verso altre reti e verso il modem, quindi, internet. Cosa succederebbe se un’entità malefica s’insediasse sul ponte e pretendesse un pedaggio?

 

Nelle favole la figura del troll è da sempre legata ai ponti, li custodiscono e richiedono un pedaggio, non necessariamente in denaro, per consentire il passaggio. Analogamente esistono malware che s’insediano nei router e, dunque, prelevano la loro gabella in informazioni, dal momento che tutti i dati scambiati dai dispositivi passano per il router.

Il ponte

A volte modem/router, a volte solo router, questo dispositivo è quello che leggiamo come gateway quando acquisiamo la configurazione di rete. Eseguendo da shell il comando ipconfig apparirà quanto segue:

I vari computer, tablet, smartphone, connessi al WiFi o alla rete di casa nostra, possono dialogare soltanto nei limiti del loro piccolo mondo, costituito dalla così detta subnet. Essi sono, tuttavia, in grado di navigare su internet e spaziare virtualmente per il globo, ciò accade grazie ad un dispositivo che, ricevuto un messaggio destinato ad un indirizzo che non sia locale, sa come instradarlo. Tale dispositivo è, appunto, il router. Se anche modem, il router potrà comunicare direttamente con l’esterno, altrimenti avrà bisogno di un modem esterno.

Per fare ciò il router deve, comunque, ascoltare i messaggi che viaggiano per la rete locale, inviati in broadcast (cioè a tutti i dispositivi della subnet), sarà, quindi, il punto di transito di tutte le informazioni.

Come spesso accade, la sicurezza dei dispositivi si concentra molto su quelli soggetti ad un’interazione quotidiana con l’utente, tralasciando quelli fondamentali ma meno in vista. Sebbene dotati di firewall ed altre eventuali protezioni, i router sono tendenzialmente più scoperti dei computer e degli smartphone ed in più, come per gli smartphone Android, pur avendo una base comune, ogni vendor sviluppa il suo sistema, rendendo difficile la creazione e diffusione di patch, una volta riconosciuta una vulnerabilità.

Il troll

Esistono diversi malware che attaccano componenti come router e NAS (hard disk di rete), tra questi VPNFilter di recente ha suscitato notevole scalpore. Secondo l’FBI, infatti, esso avrebbe infettato oltre 500mila dispostivi in tutto il mondo rubando dati e monitorando il traffico di rete. Gli autori sembrerebbero essere riconducibili al collettivo hacker Fancy Bear (alias ATP20, alias Sofacy).

Il malware funziona con un sistema a 3 livelli:

  1. Installazione e persistenza: anche dopo un reboot (riavvio) VPNFilter resta attivo

  2. Abilitazione: gli hacker possono connettersi, rubare dati ed eseguire comandi da remoto. Tra questi possono esserci anche comandi per compromettere l’integrità fisica del router, inibendo così l’intera rete.

  3. Plugin: installazione di componenti aggiuntive per lo sniffing del traffico e l’esecuzione di tool di comunicazione come TOR.

Il riavvio, secondo l’FBI, consentirebbe di disabilitare i livelli 2 e 3 ma non il primo che potrebbe riattivare gli altri in seguito.

Per rimuovere definitivamente il malware si dovrebbe re-installare il firmware (sistema operativo) del router, scaricandolo dal sito della casa madre, ond’evitare di fare il download di versioni contraffatte. Bisognerebbe, comunque, sempre tenerlo aggiornato, al fine di ridurre la possibilità di attacchi futuri.

Di contro, questo comporta la perdita delle configurazioni di rete che dovranno essere impostate ex-novo.

I router identificati come a rischio sono i seguenti:

  • Linksys: E1200, E2500, WRVS4400N

  • Mikrotik RouterOS per Cloud Core: 1016, 1036, 1072

  • Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000

  • QNAP: TS251, TS439Pro, altre NAS con software QTS

  • TP-Link: R600VPN

A questo punto ci si potrebbe domandare come fare per sapere se il proprio router è infetto, che sia o meno nella lista. Purtroppo non c’è un modo, se lo si sospetta, converrebbe eseguire la procedura sopra citata. Sebbene laboriosa essa porterà, almeno, il beneficio di un firmware aggiornato e di un reboot del router.

Un troll luminoso

Un’idea di come si evolvano le minacce ai router viene da un team di ricercatori dell’università israeliana di Ben Gurion. Gli studiosi hanno realizzato una proof of concept (realizzazione a fini dimostrativi) di un sistema di estrazione dati da una rete non connessa ad internet. L’attacco, detto xLED, si basa sul blinking (lampeggiamento) dei led del router. Per capire l’entità delle informazioni cui punta una simile intrusione basti pensare che sistemi con tali livelli di isolamento, detti air gapped, sono tipicamente usati in ambito militare, finanziario, di infrastrutture critiche, etc.

xLED si focalizza sul blink dei led del router in quanto, a differenza ad esempio di quelli di stato della tastiera, sono soliti lampeggiare e possono raggiungere i 1000 bit/s per led, contro i 150 del dispositivo di input. L’associazione del valore 1 al led acceso e del valore 0 al led spento consente la formulazione del dato in binario. Considerato anche il numero di led presenti in media sul dispositivo identificato come vittima, generalmente 5 o 6, si calcola una notevole ampiezza di banda per la trasmissione delle informazioni. Già nel 2017 fu pubblicato uno studio che illustrava un metodo, chiamato LED-it-GO, per controllare l’hard drive LED, presente praticamente in tutti i dispositivi, per lavorare ad una frequenza di 5800Hz, non visibile, quindi, all’occhio umano.

Il malware xLED può sfruttare due metodologie di attacco:

  1. Firmware: si infetta il sistema operativo del router inserendo del codice addizionale per la gestione dei led. L’infezione può avvenire con tecniche d’ingegneria sociale, intrusioni nella catena di produzione del router, etc. In un articolo del 2014, The Guardian riporta dei casi di router infettati prima della consegna all’utente finale.

  2. Comando remoto: si accede al router da remoto sfruttando delle vulnerabilità, come nel caso dell’attacco precedentemente visto, e si carica il codice malevolo nel router

Per la ricezione dei segnali l’attacco ipotizza telecamere nascoste, camere ad alta risoluzione che dall’esterno siano in grado di vedere il router e sensori ottici, in grado di captare e campionare la luce a frequenze più elevate.

Una breve panoramica sulle minacce non convenzionali

Le metodologie di attacco che sfruttano “canali nascosti” come luce, onde elettromagnetiche, onde acustiche, etc. non sono così teoriche e lontane quanto pensiamo. Alcuni esempi sono:

  • AirHopped: malware del 2014 che sfrutta i segnali radio FM emessi dalla scheda video del PC

  • GSMem: malware del 2015 che sfrutta i bus di memoria del PC per generare emissioni elettromagnetiche alla frequenza dei cellulari

  • BitWhisper: malware del 2015 che sfrutta le emissioni termiche del PC

  • Fansmitter e DiskFiltration: malware del 2016 che sfruttano le onde sonore emesse da ventole e hard disk, così da sfruttare il canale anche quando non ci sono altoparlanti o microfoni. Altre metodologie che includono questi ultimi possono addirittura emettere suoni a frequenze non udibili.

La modulazione di tali grandezze secondo alcune regole costituirà un segnale e fornirà, a stazioni d’ascolto in grado di decodificarla, il dato ambito, passando praticamente inosservata.

Conclusioni

Il router è, dunque, un componente chiave di una network, attraverso di esso passano tutte le informazioni, pertanto può costituire, a tutti i livelli, un’ambita preda da parte di hacker e affini.

Contro certi attacchi poco si può fare, per i più comuni valgono le classiche raccomandazioni:

  • Cambiare frequentemente le password, specie di amministrazione

  • Eseguire upgrade a firmware più recenti che compensino le vulnerabilità, tali firmware dovranno essere certificati e scaricati solo dal sito del produttore

  • Eventualmente, laddove possibile, è buona pratica disabilitare l’accesso remoto alla gestione del router (via interfaccia e/o via terminale). In tal modo si dovrà essere fisicamente presenti per configurarlo e modificarlo.