Discussione:
[enkey utile] mi hanno modificato il DNS nel router...
(troppo vecchio per rispondere)
qu
2014-05-03 14:52:50 UTC
Permalink
Allora, dato che non riuscivo a sradicare, a casa, una fastidiosa pagina
"upgrade flash player" e dopo aver installato un po' di antivermi vari, ed
avendo (epperfortuna) NOD32 a mio servizio, che continuava a segnalarmi che
google.it o .com era nella blacklist dei siti non sicuri... per eliminazione
scopro che uno dei DNS del mio routerino, anno 2008, un Edimax pur
funzionante benino, era stato modificato con questo qui:

128.199.225.64

che reindirizza verso un fottuto server dns malicious nella fottuta
Singapore.

Oh, ve ne sono a iosa, eh. Centomila. Cambiati nei modi più diversi verso
server e siti a loro volta ancora più diversi. Tutti con la "simpatica"
funzione di reindirizzare a siti e pagine che con google, ovvio, nulla
c'azzeccano.

Attacco "man in the middle" siori. Controllatevi il DNS del router che pure
quelli di alcuni gestori (300.000 casi a marzo, figuriamoci ad oggi...) son
stati colpiti. E levate le carte di credito da Paypal e da qualsiasi altro
sito. Internet, non è più un luogo sicuro per spender quattrini in qualsiasi
modo, ricaricabili escluse.

Il punto è che, e si sarà capito, bazzicando la Rete dal lontano 1986, BBS,
e internet da inizio anni '90, non sono "propriamente" l'utonto medio: non
sarò un fulmine di guerra, ma, cavolo, la linea di comando la conosco e un
dnslookup lo so digitare nel prompt dei comandi.

Vi invito, tutti, a controllarvi il DNS usato. E, semmai, a cambiarlo con
quello di Google o OpenDNS. Ma non basterà.
Perchè non ho trovato alcuna lista di router sicuri (secondo me, neppure i
produttori sanno quali e quanti lo sono).

Magari, se ne conoscete uno che lo sia davvero, e il cui firmware sia più
recente e prestante, zero magagne, OpenWRT magari, fatemelo sapere.

E controllatevi i DNS ad ogni connessione.

Tutto, nel mio caso, è partito con quello che pensavo essere uno stupido
bestiario di trojan. Con questa immagine qui.
Loading Image...
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote:

Daniele Pinna
2014-05-03 16:09:22 UTC
Permalink
Post by qu
E controllatevi i DNS ad ogni connessione.
Tutto, nel mio caso, è partito con quello che pensavo essere uno stupido
bestiario di trojan. Con questa immagine qui.
http://www.spywareremove.com/images/2013/flashplayerpro_img1.png
Purtroppo sono usciti una serie di router (in genere dei rimarchiati)
dove era possibile entrare nelle impostazioni di configurazione anche
dalla WAN e non solo dalla LAN.

http://www.dapinna.com/notizie/30-avvisi-di-sicurezza/85-scoperta-vulnerabilita-in-alcunu-router-kraun.html

Se in questi router lasci la password predefinita ti vengono cambiati i
DNS e la password principale di accesso alla configurazione.

Esistono poi dei router con delle vulnerabilità e allora in quel caso,
se non esiste un aggiornamento, meglio cambiare router.
--
Daniele Pinna (leva oops. per rispondere)
Utente Skype: dapinna
Sito Web: http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it
DAPINNA.COM su Facebook: https://www.facebook.com/dapinnadotcom
Blog - Storie di un Laboratorio di Informatica:
http://storielaboratorioinformatica.wordpress.com
-----
*** And Now Powered by Linux KUbuntu 12.04 "Precise Pangolin" ***
qu
2014-05-03 23:51:05 UTC
Permalink
Post by Daniele Pinna
Post by qu
E controllatevi i DNS ad ogni connessione.
Tutto, nel mio caso, è partito con quello che pensavo essere uno
stupido bestiario di trojan. Con questa immagine qui.
http://www.spywareremove.com/images/2013/flashplayerpro_img1.png
Purtroppo sono usciti una serie di router (in genere dei rimarchiati)
dove era possibile entrare nelle impostazioni di configurazione anche
dalla WAN e non solo dalla LAN.
http://www.dapinna.com/notizie/30-avvisi-di-sicurezza/85-scoperta-vulnerabilita-in-alcunu-router-kraun.html
Se in questi router lasci la password predefinita ti vengono cambiati
i DNS e la password principale di accesso alla configurazione.
Esistono poi dei router con delle vulnerabilità e allora in quel caso,
se non esiste un aggiornamento, meglio cambiare router.
La mia situazione l'ho ritrovata, pressocchè identica, in questa pagina:
http://www.felicebalsamo.it/dns-modificati-300-mila-router-italia-dlink-tplink

Mi è capitata la stessa cosa dell'autore di questo articolo.

Che router dovrei acquistare per star tranquillo? Questa la domanda che mi
assilla... andrei di Cisco, ma alcuni sono proprio dei rimarchiati di marche
vulnerabili, pare.
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtu.be/kCscWlOiXd0
Daniele Pinna
2014-05-04 00:09:24 UTC
Permalink
Post by qu
Mi è capitata la stessa cosa dell'autore di questo articolo.
Che router dovrei acquistare per star tranquillo? Questa la domanda che
mi assilla... andrei di Cisco, ma alcuni sono proprio dei rimarchiati di
marche vulnerabili, pare.
Avevo letto quell'articolo anche io.
Non penso però che la totalità dei router di quelle marche soffrano di
quel problema e per le marche migliori c'è sicuramente un aggiornamento.
--
Daniele Pinna (leva oops. per rispondere)
Utente Skype: dapinna
Sito Web: http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it
DAPINNA.COM su Facebook: https://www.facebook.com/dapinnadotcom
Blog - Storie di un Laboratorio di Informatica:
http://storielaboratorioinformatica.wordpress.com
-----
*** And Now Powered by Linux KUbuntu 12.04 "Precise Pangolin" ***
qu
2014-05-04 00:13:37 UTC
Permalink
Post by Daniele Pinna
Post by qu
Mi è capitata la stessa cosa dell'autore di questo articolo.
Che router dovrei acquistare per star tranquillo? Questa la domanda
che mi assilla... andrei di Cisco, ma alcuni sono proprio dei
rimarchiati di marche vulnerabili, pare.
Avevo letto quell'articolo anche io.
Non penso però che la totalità dei router di quelle marche soffrano di
quel problema e per le marche migliori c'è sicuramente un
aggiornamento.
E può andar bene, certo. Ma, comunque, il rischio è di spendere soldi
inutilmente, purtroppo.
E, a proposito: a casa ho la WiFi disabilitata da un paio di anni, in realtà
per mie mere convinzioni sulle conseguenza alla salute, preferendo il
cablaggio via cavo Lan.

Quindi, che siano passati dal wifi, è escluso.
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtu.be/kCscWlOiXd0
Daniele Pinna
2014-05-04 01:00:17 UTC
Permalink
Post by qu
E può andar bene, certo. Ma, comunque, il rischio è di spendere soldi
inutilmente, purtroppo.
E, a proposito: a casa ho la WiFi disabilitata da un paio di anni, in
realtà per mie mere convinzioni sulle conseguenza alla salute,
preferendo il cablaggio via cavo Lan.
Quindi, che siano passati dal wifi, è escluso.
La password di accesso al router era quella predefinita?
Se si, hai provato, dopo aver stabilito l'IP, se digitando quell'IP nel
Browser accedi alla configurazione del router?

Se hai dubbi che possa riconoscerlo ugualmente prova da un cellulare che
si connette tramite 3G o cmq da un altra ADSL.
--
Daniele Pinna (leva oops. per rispondere)
Utente Skype: dapinna
Sito Web: http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it
DAPINNA.COM su Facebook: https://www.facebook.com/dapinnadotcom
Blog - Storie di un Laboratorio di Informatica:
http://storielaboratorioinformatica.wordpress.com
-----
*** And Now Powered by Linux KUbuntu 12.04 "Precise Pangolin" ***
qu
2014-05-04 01:51:42 UTC
Permalink
Post by Daniele Pinna
Post by qu
E può andar bene, certo. Ma, comunque, il rischio è di spendere soldi
inutilmente, purtroppo.
E, a proposito: a casa ho la WiFi disabilitata da un paio di anni, in
realtà per mie mere convinzioni sulle conseguenza alla salute,
preferendo il cablaggio via cavo Lan.
Quindi, che siano passati dal wifi, è escluso.
La password di accesso al router era quella predefinita?
No. oltre 10 caratteri, con numeri e punti, perfino...
Post by Daniele Pinna
Se si, hai provato, dopo aver stabilito l'IP, se digitando quell'IP
nel Browser accedi alla configurazione del router?
La configurazione è sul classico 192.168.1.1 universale. Solo su rete LAN.
Maschera, user e password (user fisso: admin) Se, ad esempio, vado su un
anonymizer (HydeMyAss, ad esempio) e digito il mio IP, accedo alla schermata
di richiesta di password del router

"(Authorization Required

The site http://xx.xx.xx.xxx is requesting a username and password to access
the realm "ADSL Modem".)"
Post by Daniele Pinna
Se hai dubbi che possa riconoscerlo ugualmente prova da un cellulare
che si connette tramite 3G o cmq da un altra ADSL.
Tramite 3g, iPhone, non compare nulla. Tramite il mio stesso browser, sempre
richiesta user e pass. Dll'IP direttamente, quello esterno dico. Non è
presente alcun modo per disabilitare ciò, nell'edimax, ma francamente non so
se sia una cosa "normale".
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtu.be/kCscWlOiXd0
effegi
2014-05-04 06:08:58 UTC
Permalink
Il 04/05/2014 03:51, qu ha scritto:
Dll'IP direttamente, quello esterno dico.
Non è presente alcun modo per disabilitare ciò, nell'edimax, ma
francamente non so se sia una cosa "normale".
Ma usi ancora un Edimax? Io l'ho eliminato da oltre sette anni. Se ne
vuoi uno di riserva te lo spedisco , è perfettamente funzionante.

Boh... per risparmiare uno, contro il mal di testa, prende zucchero al
posto di aspirina.........
--
Meglio avere meno parole roboanti in bocca e molti fulmini lampeggianti
nelle mani.(Capo Apache)
Daniele Pinna
2014-05-05 00:16:16 UTC
Permalink
Post by qu
Post by Daniele Pinna
La password di accesso al router era quella predefinita?
No. oltre 10 caratteri, con numeri e punti, perfino...
OK, allora hanno usato certamente qualche vulnerabilità del Router per
accedere alla configurazione.

Puoi dire Marca e Modello del router?
E magari anche che versione del firmware?
Post by qu
Post by Daniele Pinna
Se si, hai provato, dopo aver stabilito l'IP, se digitando quell'IP
nel Browser accedi alla configurazione del router?
La configurazione è sul classico 192.168.1.1 universale. Solo su rete
LAN. Maschera, user e password (user fisso: admin) Se, ad esempio, vado
su un anonymizer (HydeMyAss, ad esempio) e digito il mio IP, accedo alla
schermata di richiesta di password del router
"(Authorization Required
The site http://xx.xx.xx.xxx is requesting a username and password to
access the realm "ADSL Modem".)"
Post by Daniele Pinna
Se hai dubbi che possa riconoscerlo ugualmente prova da un cellulare
che si connette tramite 3G o cmq da un altra ADSL.
Tramite 3g, iPhone, non compare nulla. Tramite il mio stesso browser,
sempre richiesta user e pass. Dll'IP direttamente, quello esterno dico.
Non è presente alcun modo per disabilitare ciò, nell'edimax, ma
francamente non so se sia una cosa "normale".
No non è una cosa normale.
E' lo stesso problema che ho rilevato con i Router KRAUN (vedi articolo
postato nel mio primo messaggio del tread).
Non è normale ma pare sia più estesa di quel che pensavo :-\

Se tu hai una password robusta dovrebbe risolvere da quel tipo di attacco.
Ma proprio oggi una cliente, a cui avevo dato uno di quei router Kraun,
mi ha mandato un messaggio per dirmi che ha problemi di navigazione su
Google su tutti i PC.

Ora sto temendo qualche problema analogo, non dovuto alla password ma a
qualche vulnerabilità.
--
Daniele Pinna (leva oops. per rispondere)
Utente Skype: dapinna
Sito Web: http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it
DAPINNA.COM su Facebook: https://www.facebook.com/dapinnadotcom
Blog - Storie di un Laboratorio di Informatica:
http://storielaboratorioinformatica.wordpress.com
-----
*** And Now Powered by Linux KUbuntu 12.04 "Precise Pangolin" ***
unknown
2014-05-05 07:42:12 UTC
Permalink
Post by Daniele Pinna
....
OK, allora hanno usato certamente qualche vulnerabilità del Router per
accedere alla configurazione.
Puoi dire Marca e Modello del router?
E magari anche che versione del firmware?
Già successo su parecchi clienti ultimamente, router vari Intellinet,
Tplink, etc.
Il brutto è che finchè i server DNS farlocchi lasciano navigare il
cliente non imparo nulla, alla prima avvisaglia evidente tipo "non mi
si apre Google" oppure "mi chiede di fare un aggiornamento Flash in
inglese" metto mano al router ed voilà DNS cambiati. Ovviamente le
password non sono quelle di default e interfaccia lato WAN è
disabilitata. Inoltre su alcuni modelli che lo consentono viene
disabilitato il DHCP sulla LAN (mistero).
I router in oggetto sono all'ultimo firmware esistente, vecchio sì ma
ultimo.
Max.
qu
2014-05-05 11:35:07 UTC
Permalink
Post by unknown
Post by Daniele Pinna
....
OK, allora hanno usato certamente qualche vulnerabilità del Router
per accedere alla configurazione.
Puoi dire Marca e Modello del router?
E magari anche che versione del firmware?
Già successo su parecchi clienti ultimamente, router vari Intellinet,
Tplink, etc.
Il brutto è che finchè i server DNS farlocchi lasciano navigare il
cliente non imparo nulla, alla prima avvisaglia evidente tipo "non mi
si apre Google" oppure "mi chiede di fare un aggiornamento Flash in
inglese" metto mano al router ed voilà DNS cambiati. Ovviamente le
password non sono quelle di default e interfaccia lato WAN è
disabilitata. Inoltre su alcuni modelli che lo consentono viene
disabilitato il DHCP sulla LAN (mistero).
I router in oggetto sono all'ultimo firmware esistente, vecchio sì ma
ultimo.
Hai verificato quali siano le pagine che conducono questo tipo di attacco?
A me pare sia uno script injection sicuramente... in teoria, acl o non acl,
da internet si dovrebbe poter accedere a un limitato numero di funzioni, ma,
pure sembra, che la cosa sia stata finora sfruttata solo per indurre la
gente ad installare software spyware, non riuscendo a farlo installare e
basta.

E a questo proposito: l'eliminazione del fastidioso "please upgrade flash
player" tu, come lo affronti? Ho notato che, dopo che compare una simile
pagina, l'unica è ripristinare il sistema a qualche giorno prima, DOPO aver
rimesso i DNS corretti nel router. Il browser è evidentemente compromesso,
ma nessuna ricerca di spyware trova mai assolutamente nulla, ergo... cosa
fanno?

Uno dei motivi per cui non cambio ancora router è che, a parte non avere la
certezza su quale modello prendere che non soffra, o soffrirà, di tale
problema, è che voglio capirci di più su questa storia.
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtu.be/kCscWlOiXd0
unknown
2014-05-05 14:44:01 UTC
Permalink
Post by qu
Hai verificato quali siano le pagine che conducono questo tipo di attacco?
A me pare sia uno script injection sicuramente... in teoria, acl o non acl,
da internet si dovrebbe poter accedere a un limitato numero di funzioni, ma,
pure sembra, che la cosa sia stata finora sfruttata solo per indurre la gente
ad installare software spyware, non riuscendo a farlo installare e basta.
No non direi che il router sia colpito dall'interno, ma direttamente
lato WAN.
Post by qu
E a questo proposito: l'eliminazione del fastidioso "please upgrade flash
player" tu, come lo affronti? Ho notato che, dopo che compare una simile
pagina, l'unica è ripristinare il sistema a qualche giorno prima, DOPO aver
rimesso i DNS corretti nel router. Il browser è evidentemente compromesso, ma
nessuna ricerca di spyware trova mai assolutamente nulla, ergo... cosa fanno?
A volta basta pulire cache browser, a volte necessario "ipconfig
/flushdns" da DOS
Post by qu
Uno dei motivi per cui non cambio ancora router è che, a parte non avere la
certezza su quale modello prendere che non soffra, o soffrirà, di tale
problema, è che voglio capirci di più su questa storia.
Capirci è anche il mio interesse, comincio a farne 2 tutti i giorni e
mi sto rompendo.
L'ultimo l'ho ricevuto (TPlink W8951ND ver.1) adesso adesso con DNS
incriminato 129.199.225.64 e DHCOP su Lan disabilita.
Che palle.....
qu
2014-05-05 16:19:00 UTC
Permalink
Post by unknown
Post by qu
Hai verificato quali siano le pagine che conducono questo tipo di
attacco? A me pare sia uno script injection sicuramente... in teoria, acl
o
non acl, da internet si dovrebbe poter accedere a un limitato numero
di funzioni, ma, pure sembra, che la cosa sia stata finora sfruttata
solo per indurre la gente ad installare software spyware, non
riuscendo a farlo installare e basta.
No non direi che il router sia colpito dall'interno, ma direttamente
lato WAN.
La cosa è incredibile ma vera, temo.
Post by unknown
Post by qu
E a questo proposito: l'eliminazione del fastidioso "please upgrade
flash player" tu, come lo affronti? Ho notato che, dopo che compare
una simile pagina, l'unica è ripristinare il sistema a qualche
giorno prima, DOPO aver rimesso i DNS corretti nel router. Il
browser è evidentemente compromesso, ma nessuna ricerca di spyware
trova mai assolutamente nulla, ergo... cosa fanno?
A volta basta pulire cache browser, a volte necessario "ipconfig
/flushdns" da DOS
mhhh, manco per idea, tanto più che uso Firefox, ma ho installati anche
Chrome e IE (inevitabile...)
La cosa, si è presentata su un iPad, e dopo averlo connesso tramite 3g,
permaneva. Solo ripristinando, anche lì, Safari è tornato "pulito"
Il mero ripristino su W7 x64 non è sufficente: occorre proprio ripristinare
il sistema.

Ma hai provato a disabilitare del tutto ACL, lasciando attiva solo la voce
di accessibilità LAN? In teoria, molto in teoria, il router dovrebbe
scartare qualsiasi richiesta proveniente da rete non locale prima ancora di
prenderla in considerazione. Certo che se si tratta di S.injection...
aivoglia.
Post by unknown
Post by qu
Uno dei motivi per cui non cambio ancora router è che, a parte non
avere la certezza su quale modello prendere che non soffra, o
soffrirà, di tale problema, è che voglio capirci di più su questa
storia.
Capirci è anche il mio interesse, comincio a farne 2 tutti i giorni e
mi sto rompendo.
L'ultimo l'ho ricevuto (TPlink W8951ND ver.1) adesso adesso con DNS
incriminato 129.199.225.64 e DHCOP su Lan disabilita.
Stranerrimo, sembrerebbe quasi che lo scopo sia rendere accessibile
determinata macchina solo dalla Rete Internet.
Post by unknown
Che palle.....
peggio, direi.
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtu.be/kCscWlOiXd0
Daniele Pinna (Ufficio)
2014-05-06 09:27:20 UTC
Permalink
Post by unknown
Post by Daniele Pinna
....
OK, allora hanno usato certamente qualche vulnerabilità del Router per
accedere alla configurazione.
Puoi dire Marca e Modello del router?
E magari anche che versione del firmware?
Già successo su parecchi clienti ultimamente, router vari Intellinet,
Tplink, etc.
Il brutto è che finchè i server DNS farlocchi lasciano navigare il
cliente non imparo nulla, alla prima avvisaglia evidente tipo "non mi si
apre Google" oppure "mi chiede di fare un aggiornamento Flash in
inglese" metto mano al router ed voilà DNS cambiati. Ovviamente le
password non sono quelle di default e interfaccia lato WAN è
disabilitata. Inoltre su alcuni modelli che lo consentono viene
disabilitato il DHCP sulla LAN (mistero).
Si questo l'ho rilevato anche io proprio oggi. Router KR.KQ della Kraun.
Per la verità il DHCP non era disabilitato ma semplicemente non funzionava.
La cosa strana era che la password io l'avevo modificata qualche giorno
prima (non sono passate due settimane) per lo stesso problema... e avevo
ipotizzato un problema del router.
Questa mattina casualmente ho provato ad inserire come password admin e
sono entrato.

Dopo aver ripristinato il tutto e aver messo una password ancora più
complessa (anche se però non credo sia sufficiente), ho impostato
manualmente i parametri della scheda di rete.
Post by unknown
I router in oggetto sono all'ultimo firmware esistente, vecchio sì ma
ultimo.
Se sono KRAUN scordati aggiornamenti :-\
Se sono TP-LINK non so come sono le loro politiche degli aggiornamenti
ma i due router che ho (casa e ufficio) vedo che di recente sono stati
rilasciati aggiornamenti.
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
unknown
2014-05-06 11:12:28 UTC
Permalink
Post by Daniele Pinna (Ufficio)
Si questo l'ho rilevato anche io proprio oggi. Router KR.KQ della Kraun.
Per la verità il DHCP non era disabilitato ma semplicemente non funzionava.
La cosa strana era che la password io l'avevo modificata qualche giorno prima
(non sono passate due settimane) per lo stesso problema... e avevo ipotizzato
un problema del router.
Questa mattina casualmente ho provato ad inserire come password admin e sono
entrato.
Per ora, ma penso che sia solo per puro calcolo probabilità, tutti i
router colpiti sono collegati ad una adsl Telecom.
Post by Daniele Pinna (Ufficio)
Dopo aver ripristinato il tutto e aver messo una password ancora più
complessa (anche se però non credo sia sufficiente), ho impostato manualmente
i parametri della scheda di rete.
Così è facile facile per pc fissi sempre collegati alla stessa rete ma
con i dispositivi mobili preferisco sempre avere dhcp.
Potrei fissare i dns, ma almeno così ci si rende conto quanto il router
viene colpito.
qu
2014-05-06 12:34:04 UTC
Permalink
Post by unknown
Post by Daniele Pinna (Ufficio)
Si questo l'ho rilevato anche io proprio oggi. Router KR.KQ della
Kraun. Per la verità il DHCP non era disabilitato ma semplicemente non
funzionava. La cosa strana era che la password io l'avevo modificata
qualche giorno prima (non sono passate due settimane) per lo stesso
problema... e avevo ipotizzato un problema del router.
Questa mattina casualmente ho provato ad inserire come password
admin e sono entrato.
Per ora, ma penso che sia solo per puro calcolo probabilità, tutti i
router colpiti sono collegati ad una adsl Telecom.
Post by Daniele Pinna (Ufficio)
Dopo aver ripristinato il tutto e aver messo una password ancora più
complessa (anche se però non credo sia sufficiente), ho impostato
manualmente i parametri della scheda di rete.
Così è facile facile per pc fissi sempre collegati alla stessa rete ma
con i dispositivi mobili preferisco sempre avere dhcp.
Potrei fissare i dns, ma almeno così ci si rende conto quanto il
router viene colpito.
Sembra che, attivando ACL, con restrizione d'accesso "forte" su rete LAN
(insomma, non si accede all'interfaccia neppure da wi-fi, men che meno da
Internet) la cosa si circoscriva e risolva almeno in parte.
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtu.be/kCscWlOiXd0
unknown
2014-05-07 08:47:02 UTC
Permalink
Post by qu
Sembra che, attivando ACL, con restrizione d'accesso "forte" su rete LAN
(insomma, non si accede all'interfaccia neppure da wi-fi, men che meno da
Internet) la cosa si circoscriva e risolva almeno in parte.
Ed intanto ne ho appena risistemato un altro sempre tp-link sempre adsl
Telecom. DHCP su LAN disabilitato
DNS cambiati in 128.199.225.64 e 37.1.198.204.
Primo caso in cui il secondario non fosse quello di google.
Tramite nostro fornitore abbiamo inoltrato informazioni a Tplink cina,
siamo in attesa di risposte da qualche giorno (normale quando si ha a
che fare con i cinesi mi hanno detto).
qu
2014-05-07 12:54:34 UTC
Permalink
Post by unknown
Post by qu
Sembra che, attivando ACL, con restrizione d'accesso "forte" su rete
LAN (insomma, non si accede all'interfaccia neppure da wi-fi, men
che meno da Internet) la cosa si circoscriva e risolva almeno in
parte.
Ed intanto ne ho appena risistemato un altro sempre tp-link sempre
adsl Telecom. DHCP su LAN disabilitato
DNS cambiati in 128.199.225.64 e 37.1.198.204.
Primo caso in cui il secondario non fosse quello di google.
Tramite nostro fornitore abbiamo inoltrato informazioni a Tplink cina,
siamo in attesa di risposte da qualche giorno (normale quando si ha a
che fare con i cinesi mi hanno detto).
Era attivo l'ACL?
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtu.be/kCscWlOiXd0
Daniele Pinna (Ufficio)
2014-05-07 17:12:58 UTC
Permalink
Post by unknown
Per ora, ma penso che sia solo per puro calcolo probabilità, tutti i
router colpiti sono collegati ad una adsl Telecom.
I miei clienti sono uno con ADSL Tiscali e uno con ADSL Infostrada.
Post by unknown
Post by Daniele Pinna (Ufficio)
Dopo aver ripristinato il tutto e aver messo una password ancora più
complessa (anche se però non credo sia sufficiente), ho impostato
manualmente i parametri della scheda di rete.
Così è facile facile per pc fissi sempre collegati alla stessa rete ma
con i dispositivi mobili preferisco sempre avere dhcp.
Più che corretto.
Ma era giusto per evitare di ritornare nei prossimi giorni dal cliente :-)
Post by unknown
Potrei fissare i dns, ma almeno così ci si rende conto quanto il router
viene colpito.
La cosa migliore HIMO è cambiare il router.
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
unknown
2014-05-08 15:34:34 UTC
Permalink
Post by Daniele Pinna (Ufficio)
I miei clienti sono uno con ADSL Tiscali e uno con ADSL Infostrada.
Quindi tutte le adsl
Post by Daniele Pinna (Ufficio)
Ma era giusto per evitare di ritornare nei prossimi giorni dal cliente :-)
Fino a quando?
Post by Daniele Pinna (Ufficio)
La cosa migliore HIMO è cambiare il router.
Con quale prodotto? Certamente non bucabile cosa esiste? E poi chi ci
garantisce che non si ricominci di nuovo in futuro?
ObiWan
2014-05-08 15:39:34 UTC
Permalink
:: On Thu, 08 May 2014 17:34:34 +0200
:: (it.comp.sicurezza.virus)
Post by unknown
Post by Daniele Pinna (Ufficio)
La cosa migliore HIMO è cambiare il router.
Con quale prodotto? Certamente non bucabile cosa esiste? E poi chi ci
garantisce che non si ricominci di nuovo in futuro?
mi sembra di sentire quelli che chiedono quale sia il "miglior
antivirus" o roba del genere; di "certamente" non esiste nulla;
prenditi un router compatibile con WRT, installaci DD-WRT ed ogni tanto
controllalo
unknown
2014-05-08 15:52:15 UTC
Permalink
Post by ObiWan
Post by unknown
Con quale prodotto? Certamente non bucabile cosa esiste? E poi chi ci
garantisce che non si ricominci di nuovo in futuro?
mi sembra di sentire quelli che chiedono quale sia il "miglior
antivirus" o roba del genere; di "certamente" non esiste nulla;
prenditi un router compatibile con WRT, installaci DD-WRT ed ogni tanto
controllalo
A mio parere i colpiti sono solo esclusivamente router con adsl
integrato. E mi risulta esserci un solo router adsl compatibile con
DD-WRT.
Chi spiega altrimenti ai clienti che tevono avere modem adsl e router
separati.
Le domande erano peraltro ovvie e scontate le risposte, le ho poste
solo per discuterne insieme.
Anche io spiego, quando riesco, ai miei clienti che il miglior
antivirus è tra la seggiola ed il computer. Ma ti assicuro che molti
non capiscono neanche questo e nel frattempo solo là ostinati a cercare
di aggiornare Flash Player solo perchè aprendo il browser glielo
chiede.
ObiWan
2014-05-08 16:05:00 UTC
Permalink
:: On Thu, 08 May 2014 17:52:15 +0200
:: (it.comp.sicurezza.virus)
Post by unknown
A mio parere i colpiti sono solo esclusivamente router con adsl
integrato. E mi risulta esserci un solo router adsl compatibile con
DD-WRT.
ti risulta male :) prova a dare un'occhiata al DB
unknown
2014-05-08 16:20:08 UTC
Permalink
Post by ObiWan
ti risulta male :) prova a dare un'occhiata al DB
un buffalo e un coyote (peraltro tutti animale americani).
Se la lista è questa:
http://www.dd-wrt.com/wiki/index.php/Supported_Devices
ObiWan
2014-05-08 16:27:20 UTC
Permalink
:: On Thu, 08 May 2014 18:20:08 +0200
:: (it.comp.sicurezza.virus)
Post by unknown
Post by ObiWan
ti risulta male :) prova a dare un'occhiata al DB
un buffalo e un coyote (peraltro tutti animale americani).
http://www.dd-wrt.com/wiki/index.php/Supported_Devices
veramente io mi riferivo al router database, ossia

http://www.dd-wrt.com/site/support/router-database

oltre a quanto sopra, ci sarebbe anche openWRT che supporta diversi
modelli con *DSL integrata, ad esempio

http://wiki.openwrt.org/toh/tp-link/td-w8970

ciao
qu
2014-05-08 18:25:27 UTC
Permalink
Post by ObiWan
Post by unknown
Post by ObiWan
On Thu, 08 May 2014 18:20:08 +0200
(it.comp.sicurezza.virus)
ti risulta male :) prova a dare un'occhiata al DB
un buffalo e un coyote (peraltro tutti animale americani).
http://www.dd-wrt.com/wiki/index.php/Supported_Devices
veramente io mi riferivo al router database, ossia
http://www.dd-wrt.com/site/support/router-database
oltre a quanto sopra, ci sarebbe anche openWRT che supporta diversi
modelli con *DSL integrata, ad esempio
http://wiki.openwrt.org/toh/tp-link/td-w8970
ciao
basta sia possibile attivare ACL con permesso in rete solo locale, almeno
finora così sembra andare senza problemi.
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtu.be/kCscWlOiXd0
Daniele Pinna (Ufficio)
2014-05-17 11:03:47 UTC
Permalink
Post by ObiWan
oltre a quanto sopra, ci sarebbe anche openWRT che supporta diversi
modelli con *DSL integrata, ad esempio
http://wiki.openwrt.org/toh/tp-link/td-w8970
WOW è il mio router dell'Ufficio :-)
Quando avevo cercato tempo fa non l'avevo trovato...
Prossimamente farò esperimenti... :-D
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
Gabriele - onenet
2014-05-08 16:52:53 UTC
Permalink
Post by ObiWan
:: On Thu, 08 May 2014 17:52:15 +0200
:: (it.comp.sicurezza.virus)
Post by unknown
A mio parere i colpiti sono solo esclusivamente router con adsl
integrato. E mi risulta esserci un solo router adsl compatibile con
DD-WRT.
ti risulta male :) prova a dare un'occhiata al DB
Obi, però a meno di non aver guardato male, non ci sono Zyxel, Draytek ed altri
anche di fascia più alta.
Allora: o ci si fida, o ... ?

ciao :)

Gabriele
ObiWan
2014-05-09 06:47:43 UTC
Permalink
:: On Thu, 08 May 2014 18:52:53 +0200
:: (it.comp.sicurezza.virus)
Post by Gabriele - onenet
Obi, però a meno di non aver guardato male, non ci sono Zyxel,
Draytek ed altri anche di fascia più alta.
Allora: o ci si fida, o ... ?
no, in effetti alcuni brands non sono supportati da WRT :/ a quel punto
c'è da decidere se fidarsi e la cosa è molto soggettiva, resta il fatto
che con quelle backdoors nel firmware si è "aperta una fogna", vediamo
(se e) cosa succederà :P - così, ad occhio, ipotizzo che i produttori
toglieranno le backdoor dal firmware (o passeranno a supportare WRT) e
le metteranno nell'hardware :P :P

Si lo so, sono sempre ottimista :D
ObiWan
2014-05-09 06:50:51 UTC
Permalink
:: On Fri, 9 May 2014 08:47:43 +0200
:: (it.comp.sicurezza.virus)
fogna", vediamo (se e) cosa succederà :P - così, ad occhio, ipotizzo
che i produttori toglieranno le backdoor dal firmware (o passeranno a
supportare WRT)
per dire

http://promos.asus.com/US/ASUS_DD-WRT/

http://www.buffalo-technology.com/technology/partnered-software/dd-wrt/
Daniele Pinna (Ufficio)
2014-05-08 16:31:08 UTC
Permalink
Post by unknown
Post by Daniele Pinna (Ufficio)
I miei clienti sono uno con ADSL Tiscali e uno con ADSL Infostrada.
Quindi tutte le adsl
Pare di si
Post by unknown
Post by Daniele Pinna (Ufficio)
Ma era giusto per evitare di ritornare nei prossimi giorni dal cliente :-)
Fino a quando?
Nello specifico questo cliente il 18 maggio cambia router per passaggio
a Vodafone :-P
Post by unknown
Post by Daniele Pinna (Ufficio)
La cosa migliore HIMO è cambiare il router.
Con quale prodotto? Certamente non bucabile cosa esiste? E poi chi ci
garantisce che non si ricominci di nuovo in futuro?
Presumo che i nuovo router TP-LINK (ma credo tutti i recenti router)
abbiano dei firmware aggiornati e non bucabili.

Io ho in ufficio un TP-Link TD-W8970 che non dovrebbe avere la
vulnerabilità. A Casa ho un TD-W8960N Revisione 2 o 3.

In questo momento sto configurando per il cliente un Router TP-LINK
sempre TD-W8960N revisione 5.1 e in sostituzione di uno andato in
garanzia che era in revisione 4.
Vedo un software di gestione leggermente differente già dall'inserimento
della password (e dopo tot tentativi si blocca per 500 secondi). Piccole
accortezze non trascurabili :-)
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
ObiWan
2014-05-17 15:02:51 UTC
Permalink
Il giorno Thu, 08 May 2014 18:31:08 +0200
Post by Daniele Pinna (Ufficio)
Presumo che i nuovo router TP-LINK (ma credo tutti i recenti router)
abbiano dei firmware aggiornati e non bucabili.
per quanto riguarda i firmware TP-LINK ...

http://www.tp-link.com/en/support/gpl/?categoryid=548

;-)
Daniele Pinna
2014-05-17 15:51:05 UTC
Permalink
Post by ObiWan
Il giorno Thu, 08 May 2014 18:31:08 +0200
Post by Daniele Pinna (Ufficio)
Presumo che i nuovo router TP-LINK (ma credo tutti i recenti router)
abbiano dei firmware aggiornati e non bucabili.
per quanto riguarda i firmware TP-LINK ...
http://www.tp-link.com/en/support/gpl/?categoryid=548
Non pensavo rilasciassero anche i sorgenti del firmware.
Ma in effetti dato che molti sono OpenSource è più che normale.

:-)
--
Daniele Pinna (leva oops. per rispondere)
Utente Skype: dapinna
Sito Web: http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it
DAPINNA.COM su Facebook: https://www.facebook.com/dapinnadotcom
Blog - Storie di un Laboratorio di Informatica:
http://storielaboratorioinformatica.wordpress.com
-----
*** And Now Powered by Linux KUbuntu 12.04 "Precise Pangolin" ***
qu
2014-05-05 11:26:33 UTC
Permalink
Post by Daniele Pinna
Post by qu
Post by Daniele Pinna
La password di accesso al router era quella predefinita?
No. oltre 10 caratteri, con numeri e punti, perfino...
OK, allora hanno usato certamente qualche vulnerabilità del Router per
accedere alla configurazione.
Puoi dire Marca e Modello del router?
E magari anche che versione del firmware?
Edimax AR-7084GA
http://www.edimax.com/en/produce_detail.php?pd_id=129&pl1_id=3&pl2_id=19

2.9.8.1(RUE0.C2A)3.7.6.1
Post by Daniele Pinna
Post by qu
Post by Daniele Pinna
Se si, hai provato, dopo aver stabilito l'IP, se digitando quell'IP
nel Browser accedi alla configurazione del router?
La configurazione è sul classico 192.168.1.1 universale. Solo su rete
LAN. Maschera, user e password (user fisso: admin) Se, ad esempio,
vado su un anonymizer (HydeMyAss, ad esempio) e digito il mio IP,
accedo alla schermata di richiesta di password del router
"(Authorization Required
The site http://xx.xx.xx.xxx is requesting a username and password to
access the realm "ADSL Modem".)"
Post by Daniele Pinna
Se hai dubbi che possa riconoscerlo ugualmente prova da un cellulare
che si connette tramite 3G o cmq da un altra ADSL.
Tramite 3g, iPhone, non compare nulla. Tramite il mio stesso browser,
sempre richiesta user e pass. Dll'IP direttamente, quello esterno
dico. Non è presente alcun modo per disabilitare ciò, nell'edimax, ma
francamente non so se sia una cosa "normale".
No non è una cosa normale.
E' lo stesso problema che ho rilevato con i Router KRAUN (vedi
articolo postato nel mio primo messaggio del tread).
Non è normale ma pare sia più estesa di quel che pensavo :-\
Sono riuscito ad eliminare l'accessibilità da rete internet abilitando ACL
omnidirezionale, esclusa rete LAN (ergo, non è più possibile accedere manco
da wifi all'interfaccia del modem)
Post by Daniele Pinna
Se tu hai una password robusta dovrebbe risolvere da quel tipo di
attacco. Ma proprio oggi una cliente, a cui avevo dato uno di quei
router Kraun, mi ha mandato un messaggio per dirmi che ha problemi di
navigazione su Google su tutti i PC.
Ho scoperto che esiste un "persistent exploit" per questa e molte,
moltissime altre marche di modem e router.
Si trova in rete tranquillamente, purtroppo, già compilato.
Post by Daniele Pinna
Ora sto temendo qualche problema analogo, non dovuto alla password ma
a qualche vulnerabilità.
Io ho una teoria: botnet che verifica che, a connessione a pagine
determinate, il router connesso sia nel range di attacco (una fesseria
farlo) che sfrutta in sequenza:

ACL disattivo nei vecchi router (ergo il router risponde)
script injecton (in quasi tutti i router, esisterebbe una password di
fabbrica nascosta, una master password, a quanto ne so, che non viene
diffusa dai produttori. Se viene scoperta, puoi mettere qualsiasi password,
che tanto...)

Insomma, la cosa è molto più grave di quanto pensassi. Ora voglio vedere se,
disattivando ACL, PnP e tutto l'abaradan che permette comunicazioni
dall'esterno, la cosa si ripresenta. Perchè se lo fa... significa che
bisogna ripensare completamente i router, almeno per come li percepivo io.
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtu.be/kCscWlOiXd0
ObiWan
2014-05-05 13:18:19 UTC
Permalink
:: On Sat, 03 May 2014 18:09:22 +0200
:: (it.comp.sicurezza.virus)
Post by Daniele Pinna
Purtroppo sono usciti una serie di router (in genere dei rimarchiati)
dove era possibile entrare nelle impostazioni di configurazione anche
dalla WAN e non solo dalla LAN.
per quanto riguarda le "backdoors" implementate nel firmware, credo
siano abbastanza comuni, specie tra i prodotti "SoHo" dato che in molti
casi, questi prodotti vengono poi venduti ad ISP che utilizzato quelle
"funzioni" per la "gestione remota"; il problema è che le "funzioni" in
questione sono presenti anche nel firmware normale; a questo punto una
possibile soluzione è quella di acquistare un apparato compatibile con
OpenWRT o DD-WRT usando poi "WRT" per rimpiazzare il firmware standard;
altro discorso sono le backdoors implementate "in hardware", ad esempio
a livello transceiver, in quei casi non c'è nulla da fare; per cui, il
mio consiglio resta quello di prendere un apparato che supporti WRT; ci
vuole anche poco, basta aprire questa pagina

http://www.dd-wrt.com/site/support/router-database

immettere le prime lettere della marca di interesse, ad esempio "netg"
oppure "asu" e poi trovare nell'elenco il modello più adatto alle
proprie esigenze
Gabriele - onenet
2014-05-05 13:32:47 UTC
Permalink
Post by ObiWan
per quanto riguarda le "backdoors" implementate nel firmware, credo
siano abbastanza comuni, specie tra i prodotti "SoHo" dato che in molti
casi, questi prodotti vengono poi venduti ad ISP che utilizzato quelle
"funzioni" per la "gestione remota"; il problema è che le "funzioni" in
questione sono presenti anche nel firmware normale; a questo punto una
possibile soluzione è quella di acquistare un apparato compatibile con
OpenWRT o DD-WRT usando poi "WRT" per rimpiazzare il firmware standard;
[snip]

Ciao Obi,

hai un link, se esiste, ad un elenco di router già noti per essere stati
abusati in questo modo e di cui non c'è un aggiornamento (magari perché obsoleti)?


grazie
Gabriele
ObiWan
2014-05-05 14:17:53 UTC
Permalink
:: On Mon, 05 May 2014 15:32:47 +0200
:: (it.comp.sicurezza.virus)
Post by Gabriele - onenet
Post by ObiWan
per quanto riguarda le "backdoors" implementate nel firmware, credo
siano abbastanza comuni, specie tra i prodotti "SoHo" dato che in
molti casi, questi prodotti vengono poi venduti ad ISP che
Ciao Obi,
hai un link, se esiste, ad un elenco di router già noti per essere
stati abusati in questo modo e di cui non c'è un aggiornamento
(magari perché obsoleti)?
Un elenco no, per lo meno non sottomano, ma credo che tu stia
affrontando il problema da un punto di vista sbagliato... ma facciamo
un passo alla volta; iniziamo dalle backdoors più "eclatanti", ossia

http://www.infoworld.com/d/security/backdoor-found-in-d-link-router-firmware-code-228725
http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/

http://arstechnica.com/security/2014/04/easter-egg-dsl-router-patch-merely-hides-backdoor-instead-of-closing-it/

ora, considera che molto spesso sia l'hardware che il firmware dei
routers SoHo è semplicemente "clonato", per quanto riguarda il firmware
ci si limita a cambiare la grafica e/o abilitare o disabilitare alcune
funzioni; questo significa che una data backdoor potrebbe essere
presente su una miriade di routers di "marca" diversa (anche diversi
nell'aspetto esteriore, ci mancherebbe... se poi li si apre si scopre
che montano la stessa scheda :P o che hanno una scheda diversa ma una
versione adattata di un firmware "comune" :P :P !); per farla corta, lo
sviluppo hw ed sw costa, il mercato vuole prezzi bassi, quindi tutta la
parte R&D (e testing) è ridotta all'osso (quando non eliminata) e si
usa hardware o firmware "riadattato" ... ed il risultato è sotto gli
occhi di tutti

Tornando al discorso "punto di vista sbagliato" e, lasciando da parte
le backdoor infilate direttamente nell'hardware, credo che, ad oggi,
l'unico modo per evitare problemi con il firmware sia quello di usare
del firmware alternativo come WRT, Tomato e simili; non per altro, ma,
per lo meno oltre ad evitare backdoors si sopperirà ad uno dei punti
dolenti dei routers SoHo, ossia il firmware che fa ca*are :)
ObiWan
2014-05-05 14:19:14 UTC
Permalink
:: On Mon, 5 May 2014 16:17:53 +0200
:: (it.comp.sicurezza.virus)
Post by ObiWan
http://arstechnica.com/security/2014/04/easter-egg-dsl-router-patch-merely-hides-backdoor-instead-of-closing-it/
comunque...

https://wikidevi.com/wiki/TCP-32764/SerComm_devices_in_DB

quelli sopra sono potenzialmente affetti dalla backdoor
qu
2014-05-05 16:23:14 UTC
Permalink
Post by ObiWan
Post by ObiWan
Post by ObiWan
On Mon, 5 May 2014 16:17:53 +0200
(it.comp.sicurezza.virus)
http://arstechnica.com/security/2014/04/easter-egg-dsl-router-patch-merely-hides-backdoor-instead-of-closing-it/
comunque...
https://wikidevi.com/wiki/TCP-32764/SerComm_devices_in_DB
quelli sopra sono potenzialmente affetti dalla backdoor
Credo la migliore richiesta divenga: una lista di modem router sicuramente
NON affetti dall'hack.
Fritzbox, quali? e poi a che prezzo?

Cisco? Li vedo in elenco... teorico. Pure quelli.
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtu.be/kCscWlOiXd0
ObiWan
2014-05-06 13:57:44 UTC
Permalink
:: On Mon, 5 May 2014 18:23:14 +0200
:: (it.comp.sicurezza.virus)
Post by qu
Credo la migliore richiesta divenga: una lista di modem router
sicuramente NON affetti dall'hack.
Servirebbe un contatto diretto con il governo Cinese, se qualcuno lo
avesse ... :)
Post by qu
Fritzbox, quali? e poi a che prezzo?
Ah ecco, preferisci i tedeschi ai cinesi ?

Ad ogni modo, per quanto mi riguarda, non mi passa neanche per
l'anticamera del cervello l'idea di prendere un "fritz"; hanno inondato
le riviste di tests/pubblicità/recensioni ma... fanno ca*are, sul
serio, poi... che c'entra è una mia opinione; sarò libero di
esprimerla, no ?!?!
qu
2014-05-06 20:28:29 UTC
Permalink
Post by ObiWan
Post by qu
Post by ObiWan
On Mon, 5 May 2014 18:23:14 +0200
(it.comp.sicurezza.virus)
Credo la migliore richiesta divenga: una lista di modem router
sicuramente NON affetti dall'hack.
Servirebbe un contatto diretto con il governo Cinese, se qualcuno lo
avesse ... :)
Post by qu
Fritzbox, quali? e poi a che prezzo?
Ah ecco, preferisci i tedeschi ai cinesi ?
Ad ogni modo, per quanto mi riguarda, non mi passa neanche per
l'anticamera del cervello l'idea di prendere un "fritz"; hanno
inondato le riviste di tests/pubblicità/recensioni ma... fanno
ca*are, sul serio, poi... che c'entra è una mia opinione; sarò libero
di esprimerla, no ?!?!
Certo, stanno poco simpatici anche a me. Ma è del governo cinese la
Backdoor? Magari. Io temo sia peggio. Sia condivisa.
In tal caso, un modem Open WRT sarebbe la scelta migliore, ma anche in
questo caso, non abbiamo certezze non sia un buco "hardware"
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtu.be/kCscWlOiXd0
Bowlingbpsl
2014-05-16 16:24:46 UTC
Permalink
Post by ObiWan
Post by qu
Post by ObiWan
On Mon, 5 May 2014 18:23:14 +0200
Fritzbox, quali? e poi a che prezzo?
Ah ecco, preferisci i tedeschi ai cinesi ?
Ad ogni modo, per quanto mi riguarda, non mi passa neanche per
l'anticamera del cervello l'idea di prendere un "fritz"; hanno
inondato le riviste di tests/pubblicità/recensioni ma... fanno
ca*are, sul serio, poi... che c'entra è una mia opinione; sarò libero
di esprimerla, no ?!?!
Guarda, liberissimo di avere una tua opinione, siamo in un paese libero
(1), i Fritz sono un ciccinino sopravvalutati, ma fanno una pletora di
cose che manco ti aspetti.
Poi, eh, saranno delicatini pure loro. Chiamate "fantasma" (numero
sconosciuto, per forza: non c'e'), il firmware 6 fa veramente impazzire
chicchessia, il 5.51 era affetto da hearthbleed (o qualcosa di simile), ma
insomma. Fixato il problema della SSL (o chiuso proprio l'accesso),
accontentandosi dei limiti... vivaddio, fa da centralino e lo fa
abbastanza bene. Pensa: ho trovato l'ip di Radiodue in streaming (cambia,
ogni tanto) e lo ascolto dal suo cordless ("fon". Da non confondersi con
la fonera). Ruggito del Coniglio, gli voglio bene. Telefonata? Taaac, si
interrompe lo streaming e squilla

Non va male. Ha problemi di smaltimento di calore (e la versione 6 riavvia
un po' troppo spesso).
Ma non mi interessa fare "marchette", solo... se il Fritz e' esente da
questi problemi (peggio: dubbi)... insomma. Mica male.
Una cosa che dovrei fare, sara'... cercare un hardware su cui installare
un dd-wrt. E' fatica, pero'.

Non sto facendo necroposting, vero?

Fabrizio
Gabriele - onenet
2014-05-06 17:00:09 UTC
Permalink
Post by ObiWan
:: On Mon, 5 May 2014 16:17:53 +0200
:: (it.comp.sicurezza.virus)
Post by ObiWan
http://arstechnica.com/security/2014/04/easter-egg-dsl-router-patch-merely-hides-backdoor-instead-of-closing-it/
comunque...
https://wikidevi.com/wiki/TCP-32764/SerComm_devices_in_DB
quelli sopra sono potenzialmente affetti dalla backdoor
Grazie come sempre :)

A proposito, sto leggendo un'analisi degli errori per pagina 404 not found e
salta fuori che un sintomo di router DLINK crackato è la presenza di una
stringa nell'URL (/HNAP1/), effetto collaterale probabilmente non voluto, nei
siti visitati da utenti infetti.

Vedi, alla fine dell'articolo:
http://www.wordfence.com/blog/2014/05/top-100-page-not-found-errors-for-wordpress/

ciao
Gabriele
Girolamo Bosco
2014-05-03 16:17:10 UTC
Permalink
per eliminazione scopro che uno dei DNS del mio routerino, anno 2008, un
128.199.225.64
Basta col porno che ciai n'eta'.
effegi
2014-05-04 06:04:16 UTC
Permalink
Il 03/05/2014 16:52, qu ha scritto:
Ma non basterà.
Post by qu
Perchè non ho trovato alcuna lista di router sicuri (secondo me, neppure
i produttori sanno quali e quanti lo sono).
Che ne dici di un U.S. Robotics Maxg ADSL GATEWAY
che io uso da almeno 7 anni senza problemi.?
--
Meglio avere meno parole roboanti in bocca e molti fulmini lampeggianti
nelle mani.(Capo Apache)
ObiWan
2014-05-05 13:31:50 UTC
Permalink
:: On Sun, 04 May 2014 08:04:16 +0200
:: (free.it.enkey,it.comp.sicurezza.virus)
Post by effegi
Che ne dici di un U.S. Robotics Maxg ADSL GATEWAY
che io uso da almeno 7 anni senza problemi.?
che faresti meglio a prendere un nuovo router che supporti DD-WRT, ne
guadagneresti in velocità ed in *sicurezza* specie considerando le
caratteristiche di filtraggio offerte da WRT

tanto per fare una prova, fatti un giro presso un qualsiasi sito o
rivenditore di fiducia, fatti un elenco di modelli che pensi possano
fare al tuo caso, quindi immetti le iniziali della marca qui

http://www.dd-wrt.com/site/support/router-database

ad esempio, se si trattasse di un "tp-link" ti basterà scrivere "tp-"
per ottenere l'elenco dei modelli supportati, a quel punto non sarà
difficile trovare un modello che sia supportato da WRT e che risponda
alle tue esigenze; per quanto riguarda gli "USR" ti basterà immettere
la sigla per scoprire che il tuo modello non è supportato

ciao
effegi
2014-05-05 18:27:21 UTC
Permalink
Post by ObiWan
che faresti meglio a prendere un nuovo router che supporti DD-WRT, ne
guadagneresti in velocità ed in *sicurezza* specie considerando le
caratteristiche di filtraggio offerte da WRT
tanto per fare una prova, fatti un giro presso un qualsiasi sito o
rivenditore di fiducia, fatti un elenco di modelli che pensi possano
fare al tuo caso, quindi immetti le iniziali della marca qui
http://www.dd-wrt.com/site/support/router-database
ad esempio, se si trattasse di un "tp-link" ti basterà scrivere "tp-"
per ottenere l'elenco dei modelli supportati, a quel punto non sarà
difficile trovare un modello che sia supportato da WRT e che risponda
alle tue esigenze; per quanto riguarda gli "USR" ti basterà immettere
la sigla per scoprire che il tuo modello non è supportato
ciao
Grazie, vedrò che dicono
ciao
--
Meglio avere meno parole roboanti in bocca e molti fulmini lampeggianti
nelle mani.(Capo Apache)
Lurido Cane Nerd
2014-05-04 11:24:25 UTC
Permalink
Post by qu
un fottuto server
sei volgare
AtAruMoRoBoshi
2014-05-06 08:20:00 UTC
Permalink
"qu" ha scritto nel messaggio news:lk2vs2$j9n$***@speranza.aioe.org...

Allora, dato che non riuscivo a sradicare, a casa, una fastidiosa pagina
"upgrade flash player" e dopo aver installato un po' di antivermi vari, ed
avendo (epperfortuna) NOD32 a mio servizio, che continuava a segnalarmi che
google.it o .com era nella blacklist dei siti non sicuri... per eliminazione
scopro che uno dei DNS del mio routerino, anno 2008, un Edimax pur
funzionante benino, era stato modificato con questo qui:

128.199.225.64

che reindirizza verso un fottuto server dns malicious nella fottuta
Singapore.

Oh, ve ne sono a iosa, eh. Centomila. Cambiati nei modi più diversi verso
server e siti a loro volta ancora più diversi. Tutti con la "simpatica"
funzione di reindirizzare a siti e pagine che con google, ovvio, nulla
c'azzeccano.

Attacco "man in the middle" siori. Controllatevi il DNS del router che pure
quelli di alcuni gestori (300.000 casi a marzo, figuriamoci ad oggi...) son
stati colpiti. E levate le carte di credito da Paypal e da qualsiasi altro
sito. Internet, non è più un luogo sicuro per spender quattrini in qualsiasi
modo, ricaricabili escluse.

Il punto è che, e si sarà capito, bazzicando la Rete dal lontano 1986, BBS,
e internet da inizio anni '90, non sono "propriamente" l'utonto medio: non
sarò un fulmine di guerra, ma, cavolo, la linea di comando la conosco e un
dnslookup lo so digitare nel prompt dei comandi.

Vi invito, tutti, a controllarvi il DNS usato. E, semmai, a cambiarlo con
quello di Google o OpenDNS. Ma non basterà.
Perchè non ho trovato alcuna lista di router sicuri (secondo me, neppure i
produttori sanno quali e quanti lo sono).

Magari, se ne conoscete uno che lo sia davvero, e il cui firmware sia più
recente e prestante, zero magagne, OpenWRT magari, fatemelo sapere.

E controllatevi i DNS ad ogni connessione.

Tutto, nel mio caso, è partito con quello che pensavo essere uno stupido
bestiario di trojan. Con questa immagine qui.
http://www.spywareremove.com/images/2013/flashplayerpro_img1.png

-------------------------------

ecco che caxxo era, proprio l'altra sera mi è capitato nella wifi di un
vicino sulla quale mi collegavo tranquillamente ad un certo punto mi ha
cominciato a dare"sito bloccato" a josa e non capivo perchè....
thx qu
qu
2014-05-06 12:30:43 UTC
Permalink
Post by qu
Allora, dato che non riuscivo a sradicare, a casa, una fastidiosa
pagina "upgrade flash player" e dopo aver installato un po' di
antivermi vari, ed avendo (epperfortuna) NOD32 a mio servizio, che
continuava a segnalarmi che google.it o .com era nella blacklist dei
siti non sicuri... per eliminazione scopro che uno dei DNS del mio
routerino, anno 2008, un Edimax pur funzionante benino, era stato
128.199.225.64
che reindirizza verso un fottuto server dns malicious nella fottuta
Singapore.
Oh, ve ne sono a iosa, eh. Centomila. Cambiati nei modi più diversi
verso server e siti a loro volta ancora più diversi. Tutti con la
"simpatica" funzione di reindirizzare a siti e pagine che con google,
ovvio, nulla c'azzeccano.
Attacco "man in the middle" siori. Controllatevi il DNS del router
che pure quelli di alcuni gestori (300.000 casi a marzo, figuriamoci
ad oggi...) son stati colpiti. E levate le carte di credito da Paypal
e da qualsiasi altro sito. Internet, non è più un luogo sicuro per
spender quattrini in qualsiasi modo, ricaricabili escluse.
Il punto è che, e si sarà capito, bazzicando la Rete dal lontano
1986, BBS, e internet da inizio anni '90, non sono "propriamente"
l'utonto medio: non sarò un fulmine di guerra, ma, cavolo, la linea
di comando la conosco e un dnslookup lo so digitare nel prompt dei
comandi.
Vi invito, tutti, a controllarvi il DNS usato. E, semmai, a cambiarlo
con quello di Google o OpenDNS. Ma non basterà.
Perchè non ho trovato alcuna lista di router sicuri (secondo me,
neppure i produttori sanno quali e quanti lo sono).
Magari, se ne conoscete uno che lo sia davvero, e il cui firmware sia
più recente e prestante, zero magagne, OpenWRT magari, fatemelo
sapere.
E controllatevi i DNS ad ogni connessione.
Tutto, nel mio caso, è partito con quello che pensavo essere uno
stupido bestiario di trojan. Con questa immagine qui.
http://www.spywareremove.com/images/2013/flashplayerpro_img1.png
-------------------------------
ecco che caxxo era, proprio l'altra sera mi è capitato nella wifi di
un vicino sulla quale mi collegavo tranquillamente ad un certo punto
mi ha cominciato a dare"sito bloccato" a josa e non capivo perchè....
thx qu
Ti tocca rispristinare il browser, come minimo.
Attiva l'ACL del povero vicino tuo... dopo un po' sto' coso disabilita il
DHCP della rete locale, per motivi ignoti, ma c'ho un sospetto...
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtu.be/kCscWlOiXd0
AtAruMoRoBoshi
2014-05-06 15:19:03 UTC
Permalink
Post by qu
Allora, dato che non riuscivo a sradicare, a casa, una fastidiosa
pagina "upgrade flash player" e dopo aver installato un po' di
antivermi vari, ed avendo (epperfortuna) NOD32 a mio servizio, che
continuava a segnalarmi che google.it o .com era nella blacklist dei
siti non sicuri... per eliminazione scopro che uno dei DNS del mio
routerino, anno 2008, un Edimax pur funzionante benino, era stato
128.199.225.64
che reindirizza verso un fottuto server dns malicious nella fottuta
Singapore.
Oh, ve ne sono a iosa, eh. Centomila. Cambiati nei modi più diversi
verso server e siti a loro volta ancora più diversi. Tutti con la
"simpatica" funzione di reindirizzare a siti e pagine che con google,
ovvio, nulla c'azzeccano.
Attacco "man in the middle" siori. Controllatevi il DNS del router
che pure quelli di alcuni gestori (300.000 casi a marzo, figuriamoci
ad oggi...) son stati colpiti. E levate le carte di credito da Paypal
e da qualsiasi altro sito. Internet, non è più un luogo sicuro per
spender quattrini in qualsiasi modo, ricaricabili escluse.
Il punto è che, e si sarà capito, bazzicando la Rete dal lontano
1986, BBS, e internet da inizio anni '90, non sono "propriamente"
l'utonto medio: non sarò un fulmine di guerra, ma, cavolo, la linea
di comando la conosco e un dnslookup lo so digitare nel prompt dei
comandi.
Vi invito, tutti, a controllarvi il DNS usato. E, semmai, a cambiarlo
con quello di Google o OpenDNS. Ma non basterà.
Perchè non ho trovato alcuna lista di router sicuri (secondo me,
neppure i produttori sanno quali e quanti lo sono).
Magari, se ne conoscete uno che lo sia davvero, e il cui firmware sia
più recente e prestante, zero magagne, OpenWRT magari, fatemelo
sapere.
E controllatevi i DNS ad ogni connessione.
Tutto, nel mio caso, è partito con quello che pensavo essere uno
stupido bestiario di trojan. Con questa immagine qui.
http://www.spywareremove.com/images/2013/flashplayerpro_img1.png
-------------------------------
ecco che caxxo era, proprio l'altra sera mi è capitato nella wifi di
un vicino sulla quale mi collegavo tranquillamente ad un certo punto
mi ha cominciato a dare"sito bloccato" a josa e non capivo perchè....
thx qu
Ti tocca rispristinare il browser, come minimo.
Attiva l'ACL del povero vicino tuo... dopo un po' sto' coso disabilita il
DHCP della rete locale, per motivi ignoti, ma c'ho un sospetto...

---------------------------------------

se entro nel suo router e gli rimetto i opendns non risolvo? , ha lasciato
le pass di default...
Don Fizzy
2014-05-06 17:34:03 UTC
Permalink
AtAruMoRoBoshi <***@cancer.it> wrote:

[...]

|| se entro nel suo router e gli rimetto i opendns non risolvo? ,

sì. Ma se non aggiorni il fw del router, potresti rifare di nuovo il lavoro

|| ha lasciato le pass di default...

Non è il massimo lasciare admin admin eh
--
Don Fizzy © on Ducati 848 Naked Dark
"Non c'è trucco non v'è inganno"
/)/)
( '.')
o(_('')('') That's all, folks!
Nessun bit è stato maltrattato
per spedire questo messaggio.
qu
2014-05-06 20:24:28 UTC
Permalink
Post by Don Fizzy
[...]
Post by AtAruMoRoBoshi
se entro nel suo router e gli rimetto i opendns non risolvo? ,
sì. Ma se non aggiorni il fw del router, potresti rifare di nuovo il lavoro
SE esiste... la maggior parte non hanno update.
Post by Don Fizzy
Post by AtAruMoRoBoshi
ha lasciato le pass di default...
Non è il massimo lasciare admin admin eh
Ma non cambiauncazzo, in questo caso. La mia di password era una parolaccia
abbinata a un fanculamento in lingua estera, con punteggiatura e numeri.
Eppure...

Solo l'ACL potrebbe dare qualche speranza. Quanto all password, esistono le
master di fabbrica, segrete, e l'unico modo dovrebbe essere non far prendere
in considerazione, al router, richieste dal di fuori della LAN (da cui la
disabilitazione del DHCP che sto figlio d'una grandissima baldracca, esegue
solo in rete interna, ove possibile)

Ma se è un script injection, colcavolo che ce ne si esce: l'unica sarebbe
rendere irragiungibile il modem al browser, o installare estensioni
"filtranti" ovunque su firefox.
Ma non mi è bastato. In più i maledetti cambiano server DNS di spoofing,
che, imho, a breve saranno segati d'autorità appena individuati.

Comunque, se questo è il primo uso che fanno degli exploit voluti dagli
amerindi, come molti pensano, ah... saluti a Internet, si frammenterà in
millemila reti regionali intercomunicanti, stile Cina.
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtu.be/kCscWlOiXd0
Massy
2014-05-06 20:30:32 UTC
Permalink
Post by qu
Comunque, se questo è il primo uso che fanno degli exploit voluti
dagli amerindi, come molti pensano, ah... saluti a Internet, si
frammenterà in millemila reti regionali intercomunicanti, stile Cina.
qu sempre catastrofico! :D

--
Paperino
2014-05-08 08:46:16 UTC
Permalink
"qu" ha scritto
Post by qu
Post by Don Fizzy
[...]
Post by AtAruMoRoBoshi
se entro nel suo router e gli rimetto i opendns non risolvo? ,
sì. Ma se non aggiorni il fw del router, potresti rifare di nuovo il lavoro
SE esiste... la maggior parte non hanno update.
Router vulnerabile, ancora no update ?
Buttare immediatamente.

Se è uno di quelli con le vulnerabilità della
famosa password al contrario [basta guglare per
xmlset_roodkcableoj28840ybtide per trovare gli
elenchi] che non è ancora stato patchato, e non
c'è un firmware alternativo (dd-wrt o altri)
non è assolutamete il caso di utilizzarlo.

Bye, G.
ObiWan
2014-05-08 15:03:23 UTC
Permalink
:: On Thu, 8 May 2014 10:46:16 +0200
:: (free.it.enkey,it.comp.sicurezza.virus)
Post by Paperino
Se è uno di quelli con le vulnerabilità della
famosa password al contrario [basta guglare per
xmlset_roodkcableoj28840ybtide per trovare gli
elenchi] che non è ancora stato patchato, e non
c'è un firmware alternativo (dd-wrt o altri)
non è assolutamete il caso di utilizzarlo.
Se invece è uno di quelli con la backdoor nell'HARDWARE

http://arstechnica.com/security/2014/04/easter-egg-dsl-router-patch-merely-hides-backdoor-instead-of-closing-it/

conviene buttare direttamente il router :P

Ok, ammetto che nel caso della backdoor di cui sopra, questa NON è
sfruttabile "direttamente" dal mondo intero, però ...
ObiWan
2014-05-08 15:08:28 UTC
Permalink
:: On Thu, 8 May 2014 17:03:23 +0200
:: (free.it.enkey,it.comp.sicurezza.virus)
Post by ObiWan
:: On Thu, 8 May 2014 10:46:16 +0200
:: (free.it.enkey,it.comp.sicurezza.virus)
Post by Paperino
Se è uno di quelli con le vulnerabilità della
famosa password al contrario [basta guglare per
xmlset_roodkcableoj28840ybtide per trovare gli
elenchi] che non è ancora stato patchato, e non
c'è un firmware alternativo (dd-wrt o altri)
non è assolutamete il caso di utilizzarlo.
Se invece è uno di quelli con la backdoor nell'HARDWARE
http://arstechnica.com/security/2014/04/easter-egg-dsl-router-patch-merely-hides-backdoor-instead-of-closing-it/
nota: il link di cui sopra NON riguarda le backdoors h/w
ArchiPit
2014-05-11 14:54:07 UTC
Permalink
ok....ho letto quanto sopra.

Praticamente quasi tutti i router commerciali hanno una molteplicità di
bacckdoor, alcune corrette, altre corrette solo per finta, altre non
corrette per nulla, altre del tutto ignote....

A questo punto sembra di capire che avere il modem adsl separato dal
router e di marche tra loro diverse possa essere una soluzione che
minimizzi le intromissioni.
Se poi il router accetta firmware DD-WRT è anche meglio.

Ma chi garantisce che il firmware DD-wrt sia migliore? Forse il fatto
che è open-source? Abbiamo appena visto che addirittura il protocollo
open SSL è bacato...addirittura per una programmazione semplicemente
superficiale e fatta male...ed è usato da circa i 2/3 dei server al
mondo.

Allora?

Quale potrebbe essere una soluzione per avere un ModemRouter
accettabilmente sicuro?

Per i dns, quando mi serve l'SSL, al momento e finchè me ne ricordo,
verifico prima che i dns siano quelli che ho impostato io, ma per tutto
il resto?
Daniele Pinna
2014-05-11 16:01:06 UTC
Permalink
Post by ArchiPit
A questo punto sembra di capire che avere il modem adsl separato dal
router e di marche tra loro diverse possa essere una soluzione che
minimizzi le intromissioni.
Se poi il router accetta firmware DD-WRT è anche meglio.
Ma chi garantisce che il firmware DD-wrt sia migliore? Forse il fatto
che è open-source?
Essendo opensource ci sono più persone che ci possono mettere il "naso"
dentro e trovare eventuali falle e segnalarle.

Normalmente nel giro di poco tempo viene rilasciata una patch e quindi
puoi aggiornare il router.
Post by ArchiPit
Abbiamo appena visto che addirittura il protocollo
open SSL è bacato...
Era bacato. Ora basta aggiornare per essere al sicuro.
Il problema magari si pone per quei dispositivi dove OpenSSL è inserito
in un software embedded e non viene rilasciato un aggiornamento.
(es. alcuni NAS)
Post by ArchiPit
addirittura per una programmazione semplicemente
superficiale e fatta male...ed è usato da circa i 2/3 dei server al mondo.
Allora?
Quale potrebbe essere una soluzione per avere un ModemRouter
accettabilmente sicuro?
Come per i PC... tenerli spenti :-P
--
Daniele Pinna (leva oops. per rispondere)
Utente Skype: dapinna
Sito Web: http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it
DAPINNA.COM su Facebook: https://www.facebook.com/dapinnadotcom
Blog - Storie di un Laboratorio di Informatica:
http://storielaboratorioinformatica.wordpress.com
-----
*** And Now Powered by Linux KUbuntu 12.04 "Precise Pangolin" ***
ArchiPit
2014-05-11 21:07:16 UTC
Permalink
Rispondo qui sotto a Daniele Pinna
Post by Daniele Pinna
Essendo opensource ci sono più persone che ci possono mettere il "naso"
dentro e trovare eventuali falle e segnalarle.
Quello che pare però non sia successo all'openssl...
Post by Daniele Pinna
Era bacato. Ora basta aggiornare per essere al sicuro.
Ho letto oggi che solo una metà dei server hanno aggiornato.
Post by Daniele Pinna
Post by ArchiPit
Quale potrebbe essere una soluzione per avere un ModemRouter
accettabilmente sicuro?
Come per i PC... tenerli spenti...
Ci avevo pensato, ma devo essere on line.

E mettere modem e router separati?
Il modem dovrebbe essere ethernet e poi dove lo ficco sul router? non
credo che si possa mettere l'uscita del modem nella porta WAN.
Leonardo Serni
2014-05-11 21:32:46 UTC
Permalink
On Sun, 11 May 2014 23:07:16 +0200, ArchiPit
Post by ArchiPit
Ho letto oggi che solo una metà dei server hanno aggiornato.
Il problema non e' quello.

Il problema vero e' che il codice era open, era importante per la sicurezza,
(SSL? Hai voglia di be' ova!), era anche stato 'reviewed'.

Sicuramente, "ceteribus paribus", open source e' meglio. Pero' e' chiaro che
anche all'open source manca qualche cosa; c'e' finito troppo bazaar e troppa
poca cattedrale, come direbbe ESR.

Sempre per correggere ESR... "non" e' vero che dato un numero sufficiente di
occhi, tutti i bug vengono a galla. Ci vuole un numero sufficiente di occhi,
un tempo sufficientemente lungo, e sufficiente interesse. Almeno due di tali
voci pero' sono direttamente proporzionali ai quattrini in ballo...

Leonardo
--
Then felt I like some watcher of the skies, when a new planet swims into his ken;
Or like stout Cortez when with eagle eyes, he star'd at the Pacific; and all his men
Look'd at each other with a wild surmise - silent, upon a peak in Darien.
ArchiPit
2014-05-12 09:36:36 UTC
Permalink
Rispondo qui sotto a Leonardo Serni
Post by Leonardo Serni
Post by ArchiPit
Ho letto oggi che solo una metà dei server hanno aggiornato.
Il problema non e' quello.
Il problema vero e' che il codice era open, era importante per la sicurezza,
(SSL? Hai voglia di be' ova!), era anche stato 'reviewed'.
Sicuramente, "ceteribus paribus", open source e' meglio. Pero' e' chiaro che
anche all'open source manca qualche cosa; c'e' finito troppo bazaar e troppa
poca cattedrale, come direbbe ESR.
Sempre per correggere ESR... "non" e' vero che dato un numero sufficiente di
occhi, tutti i bug vengono a galla. Ci vuole un numero sufficiente di occhi,
un tempo sufficientemente lungo, e sufficiente interesse. Almeno due di tali
voci pero' sono direttamente proporzionali ai quattrini in ballo...
Leonardo
Concordo in toto
Ciao
Daniele Pinna
2014-05-11 23:18:03 UTC
Permalink
Post by ArchiPit
Rispondo qui sotto a Daniele Pinna
Post by Daniele Pinna
Essendo opensource ci sono più persone che ci possono mettere il "naso"
dentro e trovare eventuali falle e segnalarle.
Quello che pare però non sia successo all'openssl...
Vero.
Ma la cosa strana di questo caso particolare sono stati i due anni
passati dalla scoperta alla patch.

Normalmente nell'OpenSource le tempistiche sono molto ridotte.
Post by ArchiPit
Post by Daniele Pinna
Era bacato. Ora basta aggiornare per essere al sicuro.
Ho letto oggi che solo una metà dei server hanno aggiornato.
Chi non aggiorna avrà un bel problema.
Post by ArchiPit
Post by Daniele Pinna
Post by ArchiPit
Quale potrebbe essere una soluzione per avere un ModemRouter
accettabilmente sicuro?
Come per i PC... tenerli spenti...
Ci avevo pensato, ma devo essere on line.
E mettere modem e router separati?
Il modem dovrebbe essere ethernet e poi dove lo ficco sul router? non
credo che si possa mettere l'uscita del modem nella porta WAN.
Occorre avere un Router con Porta WAN. Molti modelli recenti dovrebbero
una della 4 porte LAN configurabile anche come porta WAN.

Cmq secondo me basta avere un Router recente e/o con un supporto che
rilascia periodicamente degli aggiornamenti.

In casa e in ufficio ho due differenti router TP-LINK e non ho subito
cambi di DNS (e uno di questi è sempre acceso e con IP Statico).
A casa ho il TD-W8960N, in ufficio il TD-W8970
--
Daniele Pinna (leva oops. per rispondere)
Utente Skype: dapinna
Sito Web: http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it
DAPINNA.COM su Facebook: https://www.facebook.com/dapinnadotcom
Blog - Storie di un Laboratorio di Informatica:
http://storielaboratorioinformatica.wordpress.com
-----
*** And Now Powered by Linux KUbuntu 12.04 "Precise Pangolin" ***
ArchiPit
2014-05-12 10:00:28 UTC
Permalink
Rispondo qui sotto a Daniele Pinna
Post by Daniele Pinna
Normalmente nell'OpenSource le tempistiche sono molto ridotte.
Questo, in generale, mi consola.
Post by Daniele Pinna
Post by ArchiPit
Ho letto oggi che solo una metà dei server hanno aggiornato.
Chi non aggiorna avrà un bel problema.
Il problema è, secondo me, che loro non aggiornano o lo fanno con
ritardo, mentre chi ci va di mezzo è colui che fa banking online
credendo di essere ben protetto e criptato come si deve, e invece no...
Post by Daniele Pinna
Post by ArchiPit
E mettere modem e router separati?
Il modem dovrebbe essere ethernet e poi dove lo ficco sul router? non
credo che si possa mettere l'uscita del modem nella porta WAN.
in effetti volevo scrivere "porta adsl" e non wan...
Post by Daniele Pinna
Occorre avere un Router con Porta WAN. Molti modelli recenti dovrebbero
una della 4 porte LAN configurabile anche come porta WAN.
Cercherò di vedere se il mio router ha questa funzionalità ma non
credo, pur essendo quasi un top di gamma di 2,5 anni fa.
Post by Daniele Pinna
Cmq secondo me basta avere un Router recente e/o con un supporto che
rilascia periodicamente degli aggiornamenti.
andiamo bene!...ieri ho guardato in netgear e per il mio router c'è
sempre e solo il firmware di quando lo ho preso quasi 3 anni fa...

Netgear, ho sempre avuto fiducia in te e ho fatto comprare almeno 10
router tuoi ai miei amici: fatti venire un sussulto di serietà, e
risolvi (e comunica) i problemi xyz scoperti con vere patch e non con
cose farlocche che nascondono il problema invece che risolverlo.

Vedere il link postato da Obiwan e che riporto qui sotto:
http://arstechnica.com/security/2014/04/easter-egg-dsl-router-patch-merely-hides-backdoor-instead-of-closing-it/
Post by Daniele Pinna
In casa e in ufficio ho due differenti router TP-LINK e non ho subito
cambi di DNS (e uno di questi è sempre acceso e con IP Statico).
A casa ho il TD-W8960N, in ufficio il TD-W8970
Anche a me non è mai successo nulla, ma non si sa mai.

Grazie e ciao
Valerio Vanni
2014-05-14 18:31:49 UTC
Permalink
On Mon, 12 May 2014 12:00:28 +0200, ArchiPit
Post by ArchiPit
Netgear, ho sempre avuto fiducia in te e ho fatto comprare almeno 10
router tuoi ai miei amici: fatti venire un sussulto di serietà, e
risolvi (e comunica) i problemi xyz scoperti con vere patch e non con
cose farlocche che nascondono il problema invece che risolverlo.
Se c'è da spezzare una lancia contro Netgear io ci sono.
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
ArchiPit
2014-05-14 20:32:35 UTC
Permalink
Rispondo qui sotto a Valerio Vanni
Post by Valerio Vanni
Se c'è da spezzare una lancia contro Netgear io ci sono.
come mai?
Valerio Vanni
2014-05-14 23:56:04 UTC
Permalink
On Wed, 14 May 2014 22:32:35 +0200, ArchiPit
Post by ArchiPit
Post by Valerio Vanni
Se c'è da spezzare una lancia contro Netgear io ci sono.
come mai?
Per il servizio di assistenza tecnica, ci ho sbattuto il naso nei mesi
scorsi.

Anch'io negli anni li ho sempre usati abbastanza, tra l'altro li ho
trovati validi dove il segnale ADSL è debole.

Ho trovato valida anche l'assistenza logistica. "Il router non si
accende più" -> guasto evidente -> "Bene, ce lo spedisca e glie lo
cambiamo".

Ma se c'è qualcosa che non funziona nel loro firmware, è come parlare
al muro. L'assistenza sembra non andare oltre il "cerchiamo di capire
se l'utente sta sbagliando qualcosa e insegnamogli a usare
l'interfaccia".

Un DGN2200v3 ha dei problemi con la vpn se l'host remoto è registrato
su un indirizzo con dns dinamico. Quando il DGN2200v3 viene avviato,
la connessione va su. Non appena all'altro lato cambia IP la
connessione smette di funzionare.

Il record dyndns all'altro lato viene aggiornato correttamente, e la
cosa è confermata anche facendo una query dns nell'interfaccia web del
DGN2200v3. La sezione vpn, però, ignora questa cosa e continua ad
autorizzare solo l'indirizzo vecchio.

L'unico modo di sbloccare la situazione è riavviare il DGN2200v3,
oppure entrare nella pagina delle policies e cliccare su "applica"
(senza cambiare niente).

Dall'altro lato si possono usare software o altri router, non cambia
niente.

E questi a dire "è normale così" ('sto cazzo, uno si deve loggare sul
router per fare una cosa che il router dovrebbe fare da se?).
Se il router non è in grado di gestire un cambio di IP, che ammetta la
sua incompetenza e che accetti nel campo "gateway remoto" solo
indirizzi IP. Se accetti un nome FQDN, devi riuscire a lavorare anche
quando questo cambia.

Tre mesi di attese (nonché documentazioni minuziose) e "provi a... "
(cose senza senso), "il caso verrà scalato al livello successivo", "è
normale così".

L'altro caso, successo l'anno scorso: un router (DGN834Gv5) non
riusciva a registrare il record dyndns (falliva l'autenticazione, ma
io delle credenziali ero sicuro bene anche perché via web
funzionavano).
Scritto a loro, niente da fare... "Con i nostri account funziona".
Dopo un po' ho scoperto io per intuizione cos'era: il loro maledetto
router non è in grado di gestire caratteri alfanumerici (nello
specifico, un semplice $ che è un semplice ASCII 7bit, il ché già è
grave).
Ma, cosa gravissima, l'interfaccia li accetta.
Tu metti il tuo nome utente e la tua password, lui li accetta e poi
manda chissà che porcheria di stringa a dyndns.com.

Pensi che abbiano corretto il meccanismo, o almeno l'interfaccia?
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
ArchiPit
2014-05-15 20:22:26 UTC
Permalink
Rispondo qui sotto a Valerio Vanni
Post by Valerio Vanni
Pensi che abbiano corretto il meccanismo, o almeno l'interfaccia?
no...
L'esperienza da te fatta è significativa.
Netgear, "datte da fa'"!!
Bowlingbpsl
2014-05-16 10:59:07 UTC
Permalink
Post by ArchiPit
Rispondo qui sotto a Daniele Pinna
Post by Daniele Pinna
Cmq secondo me basta avere un Router recente e/o con un supporto che
rilascia periodicamente degli aggiornamenti.
andiamo bene!...ieri ho guardato in netgear e per il mio router c'è
sempre e solo il firmware di quando lo ho preso quasi 3 anni fa...
Scusate se arrivo buon ultimo, c'e' un link dove si puo' trovare una
spiegazione esaustiva?
Perche' io PENSO di essere al sicuro, chiudendo seccamente l'accesso
esterno, remote access, SSL o non SSL, secondo l'antico principio che, se
il telefono non c'e', nessuna "segretaria infedele" (ciao Leo!) puo'
rispondere.
Post by ArchiPit
Netgear, ho sempre avuto fiducia in te e ho fatto comprare almeno 10
Parmi di avere un netgear a casa; ora no ricordo, ma potrebbe davvero
essere un DGN2200 (all'accesso del router, lui cerca un aggiornamento. Che
non c'e' mai stato).
Post by ArchiPit
http://arstechnica.com/security/2014/04/easter-egg-dsl-router-patch-merely-hides-backdoor-instead-of-closing-it/
A proposito.
Avira Antivirus Suite mi blocca l'accesso, affermando essere phishing.
Ma che diavolo?!? L'ho dovuto abbattere con una mazzata (Avira, non il
sito!). Do' sta il pissing?
Cioe'. Uno paga e poi si trova l'antivirus che s'allarga... e menomale che
la "protezione" (guaglio'!) email la tengo giu' da subito, visto che mi ha
sempre fatto perdere tempo.
(ah, no. C'e' un link per scaricare apparentemente un PDF che porta a
vattelapesca. Boh, forse il primo aprile e' passato, non vedo il pesce e/o
noscript mi fa da "retino")

Leggendo (faticosamente, giacche' l'eta' non e' un'opinione), sembra di
capire che no, non c'e' santo, su "certi" router le porte si aprono con
una certa sequenza (mi ricorda un po' quello che leggevo su grc.com, certi
firewall che aprivano una porta solo se arrivava una certa sequenza di
"knock" a certe porte).
Beeeeeneeee... uno compra un router che pensa sia di gamma ragionevolmente
alta per casa (ue', cia' la porta usb, cia'!), lo configura ammodino, gli
sembra che vada ammodino (oddio, quando piove molto, me lo vedo accendere
la luce rossa della cattiva connessione, ma mica e' colpa sua) e poi...
cicca cicca?

Beh, ieri sera ho controllato. DNS a posto, accessi esterni negati. Che
fo, prendo un Fritz! (saprei anche da chi comprarlo) per poi ricevere
chiamate "fantasma" alle ore piu' strane?
("debolezza" del 7390 che ho occhieggiato sul forum unofficial; a me
succede solo se riattacco "in fretta")
Post by ArchiPit
Anche a me non è mai successo nulla, ma non si sa mai.
Infatti, ma non sarebbe male qualche spiegazione... e magari, qualche
elenco di router vulnerabili.
Il problema sembra molto serio.

Fabrizio
ArchiPit
2014-05-16 20:04:19 UTC
Permalink
Rispondo qui sotto a Bowlingbpsl
Infatti, ma non sarebbe male qualche spiegazione... e magari, qualche elenco
di router vulnerabil
Mi sono fatto l'idea leggendo quà e là oltre ai link già indicati che
sono quasi tutti vulnerabili, chi più chi meno, chi da una parte chi
dall'altra.
Quindi conviene continuare a usare il proprio router ma guardandolo di
sottecchio...
Il problema sembra molto serio.
Effettivamente.

Al momento ho messo nell'avvio automatico un piccolo batch che mi
controlla i DNS ad ogni accensione, e ogni volta che uso servizi online
importanti al momento mi ricordo di fare lo stesso controllo a mano.
Ma soche prima o poi me ne dimenticherò...

Riassumendo, nell'ipotesi di vedere il proprio conto in banca, occorre
pensare che ci sia:

-man in the middle sui server DNS (ricordarsi di fare un collegamento
alla banca con l'IP diretto in modo da non passare dai DNS server);

-men in the middle del tuo service provider; praticamente uno
scolapasta; (notare che ho scritto "men" e non "man"; insomma, al
plurale)

-man in the middle sull'OpenSSL usato dal server della banca (non c'è
niente da fare);

-keylogger, trojan, vermi, bot e kit, dumping della memoria video se
usi una tastiera virtuale...(Usare Antivirus buoni, finchè durano;
Symantec ha detto come visione strategica che l'antivirus è morto);

Alla fine se va tutto bene è solo una botta di cu..
ObiWan
2014-05-18 15:03:08 UTC
Permalink
Il giorno Fri, 16 May 2014 12:59:07 +0200
Post by Bowlingbpsl
Infatti, ma non sarebbe male qualche spiegazione... e magari, qualche
elenco di router vulnerabili.
http://arstechnica.com/security/2014/01/backdoor-in-wireless-dsl-routers-lets-attacker-reset-router-get-admin/

https://github.com/elvanderb/TCP-32764

https://wikidevi.com/wiki/TCP-32764/SerComm_devices_in_DB

in pratica, indipendentemente dalla marca appiccicata fuori, quasi
tutti quelli prodotti dalla "SerComm" ... o per lo meno nel caso della
backdoor basata sul primo/secondo link; altri produttori potrebbero
aver introdotto altre backdoors :P

Per quanto poi riguarda i "Fritz", dato che sembra ti piacciano, ti
consiglierei di dare un'occhiata qui http://freetz.org/ e, volendo,
anche qui http://fsfe.org/news/2011/news-20110620-01.en.html :P
Arne Saknussemm
2014-05-06 10:33:35 UTC
Permalink
On Sat, 3 May 2014 16:52:50 +0200
"qu" wrote in free.it.enkey,it.comp.sicurezza.virus
siti non sicuri... per eliminazione scopro che uno dei DNS del mio
routerino, anno 2008, un Edimax pur funzionante benino, era stato
[...]
Magari, se ne conoscete uno che lo sia davvero, e il cui firmware sia
più recente e prestante, zero magagne, OpenWRT magari, fatemelo
sapere.
Che io sappia DD-WRT supporta alcuni modelli di Edimax; immettendo
"Edi" qui http://www.dd-wrt.com/site/support/router-database vengono
fuori questi

Edimax BR-6224N
Edimax BR-6226N
Edimax BR-6574N
Edimax EW-7303APn/EW-7303HPn

quindi se il tuo router è uno di quelli sopra potresti rimpiazzare il
firmware originale con DD-WRT
Daniele Pinna
2014-05-18 11:10:54 UTC
Permalink
Il 03/05/2014 16:52, qu ha scritto:


[cut]

Forse può essere utile ai meno esperti questo articolo che ho pubblicato
nel mio sito, dove viene spiegato a grandi linee come effettuare il
reset del router e l'applicazione delle ACL.

http://www.dapinna.com/notizie/30-avvisi-di-sicurezza/106-vulnerabilit%C3%A0-router-una-possibile-soluzione.html

(Ero convinto di averlo pubblicato ieri, temo di averlo inviato per mail
a qualcuno invece che nel gruppo :-D )
--
Daniele Pinna (leva oops. per rispondere)
Utente Skype: dapinna
Sito Web: http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it
DAPINNA.COM su Facebook: https://www.facebook.com/dapinnadotcom
Blog - Storie di un Laboratorio di Informatica:
http://storielaboratorioinformatica.wordpress.com
-----
*** And Now Powered by Linux KUbuntu 12.04 "Precise Pangolin" ***
qu
2014-05-18 15:31:14 UTC
Permalink
Post by Daniele Pinna
[cut]
Forse può essere utile ai meno esperti questo articolo che ho
pubblicato nel mio sito, dove viene spiegato a grandi linee come
effettuare il reset del router e l'applicazione delle ACL.
http://www.dapinna.com/notizie/30-avvisi-di-sicurezza/106-vulnerabilit%C3%A0-router-una-possibile-soluzione.html
(Ero convinto di averlo pubblicato ieri, temo di averlo inviato per
mail a qualcuno invece che nel gruppo :-D )
L'ho scritto giorni e giorni fa anche io, qua, ma non m'ha dato retta
nessuno.
Ho trovato la cosa parlando con un sysadmin in chat.

ACL, parrebbe, se attivo con permessi solo alla rete LAN locale, blocca
l'accesso al router dalla rete. Occorre, però, disabilitare anche l'uPnp,
per maggiore sicurezza.
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtu.be/kCscWlOiXd0
Daniele Pinna (Ufficio)
2014-05-19 08:20:50 UTC
Permalink
Post by qu
Post by Daniele Pinna
(Ero convinto di averlo pubblicato ieri, temo di averlo inviato per
mail a qualcuno invece che nel gruppo :-D )
L'ho scritto giorni e giorni fa anche io, qua, ma non m'ha dato retta
nessuno.
Ho trovato la cosa parlando con un sysadmin in chat.
Be io l'ho saputo proprio da Te qui su gruppo :-)
Dovrei aggiungerti nei Credit... come "qu".
Post by qu
ACL, parrebbe, se attivo con permessi solo alla rete LAN locale, blocca
l'accesso al router dalla rete. Occorre, però, disabilitare anche
l'uPnp, per maggiore sicurezza.
Se è abilitato uPnp e in qualche modo dall'esterno (tramite il browser)
si riuscisse ad aprire una porta, sarebbe cmq esterna per cui bloccata.
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
qu
2014-05-19 22:43:00 UTC
Permalink
Post by Daniele Pinna (Ufficio)
Post by qu
Post by Daniele Pinna
(Ero convinto di averlo pubblicato ieri, temo di averlo inviato per
mail a qualcuno invece che nel gruppo :-D )
L'ho scritto giorni e giorni fa anche io, qua, ma non m'ha dato retta
nessuno.
Ho trovato la cosa parlando con un sysadmin in chat.
Be io l'ho saputo proprio da Te qui su gruppo :-)
Dovrei aggiungerti nei Credit... come "qu".
Post by qu
ACL, parrebbe, se attivo con permessi solo alla rete LAN locale,
blocca l'accesso al router dalla rete. Occorre, però, disabilitare
anche l'uPnp, per maggiore sicurezza.
Se è abilitato uPnp e in qualche modo dall'esterno (tramite il
browser) si riuscisse ad aprire una porta, sarebbe cmq esterna per
cui bloccata.
Pare possa bastare. Alla fine è una scipt inkection. La stessa persona mi
dice che è più "pratico" aprire un paio di porte con IP di rete fisso,
numeri magari inusuali o molto alti, piuttosto che altro. Meglio se UDP.
Comunque, leggendo il tuo sito... l'edimax è il mio :)
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtu.be/kCscWlOiXd0
Daniele Pinna (Ufficio)
2014-05-20 09:21:30 UTC
Permalink
Post by Daniele Pinna (Ufficio)
Be io l'ho saputo proprio da Te qui su gruppo :-)
Dovrei aggiungerti nei Credit... come "qu".
Ho aggiornato la pagina, inserendo nei credit it.comp.sicurezza.virus e
alcuni nome che hanno contribuito al Tread :-)
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
ObiWan
2014-05-20 09:57:03 UTC
Permalink
It was Tue, 20 May 2014 11:21:30 +0200 when
Post by Daniele Pinna (Ufficio)
Ho aggiornato la pagina, inserendo nei credit it.comp.sicurezza.virus
e alcuni nome che hanno contribuito al Tread :-)
Io aggiornerei il testo :) ... mi spiego meglio, resettare il router
come primo step va anche bene, ma il secondo step dovrebbe essere il
reflash del firmware ricaricando il firmware originale o comunque
l'ultima versione disponibile dello stesso; solo a quel punto si potrà
procedere con il resto, inoltre durante le operazioni sarà opportuno
connettere il router al PC tramite cavo (si ok, questo lo hai scritto)
e DISCONNETTERE il router dalla WAN (o linea telefonica che sia)
ObiWan
2014-05-20 10:00:36 UTC
Permalink
Post by ObiWan
Io aggiornerei il testo :) ... mi spiego meglio, resettare il router
come primo step va anche bene, ma il secondo step dovrebbe essere il
reflash del firmware ricaricando il firmware originale o comunque
l'ultima versione disponibile dello stesso; solo a quel punto si potrà
procedere con il resto, inoltre durante le operazioni sarà opportuno
connettere il router al PC tramite cavo (si ok, questo lo hai scritto)
e DISCONNETTERE il router dalla WAN (o linea telefonica che sia)
dimenticavo, considera che, nel caso della backdoor che permette di
resettare il router da remoto, quanto sopra (e quanto nella tua pagina)
NON serve assolutamente a nulla
ObiWan
2014-05-20 10:07:24 UTC
Permalink
It was Tue, 20 May 2014 12:00:36 +0200 when
Post by ObiWan
dimenticavo, considera che, nel caso della backdoor che permette di
resettare il router da remoto, quanto sopra (e quanto nella tua
pagina) NON serve assolutamente a nulla
per chiarire

www.synacktiv.com/ressources/TCP32764_backdoor_again.pdf

buona lettura :)
Daniele Pinna (Ufficio)
2014-05-20 11:08:09 UTC
Permalink
Post by ObiWan
It was Tue, 20 May 2014 12:00:36 +0200 when
Post by ObiWan
dimenticavo, considera che, nel caso della backdoor che permette di
resettare il router da remoto, quanto sopra (e quanto nella tua
pagina) NON serve assolutamente a nulla
per chiarire
www.synacktiv.com/ressources/TCP32764_backdoor_again.pdf
Ho provato a capirci qualche cosa (ho trovato anche una pagina web
qualche giorno fa che faceva riferimento grosso modo allo stesso
documento), ma è fuori dalla mia portata.

In pratica se faccio una scansione sulla porta 32764 e ho risposta, il
router è vulnerabile.
E se natto quella porta su un IP locale non usato? Es. il 254?

Cmq, ho provato a fare qualche scansione con IPScan con quella porta e
ho trovato alcuni IP. Non trovo IP con quella porta aperta ma ne trovo
alcuni su "Filtered ports"

Il mio router di Casa (TP-Link TD-W8960N v3) non risponde a quella porta
e nemmeno quello dell'ufficio (TP-Link TD-W8970).
Se riesco faccio delle prove con un router di un cliente sicuramente
vulnerabile che dovrei "proteggere" oggi o domani.
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
ObiWan
2014-05-20 13:30:01 UTC
Permalink
It was Tue, 20 May 2014 13:08:09 +0200 when
Post by Daniele Pinna (Ufficio)
Ho provato a capirci qualche cosa (ho trovato anche una pagina web
qualche giorno fa che faceva riferimento grosso modo allo stesso
documento), ma è fuori dalla mia portata.
ahia :/
Post by Daniele Pinna (Ufficio)
In pratica se faccio una scansione sulla porta 32764 e ho risposta,
il router è vulnerabile.
non necessariamente, la porta potrebbe anche risultare chiusa o non
essere quella; la 32764 è una backdoor implementata da un produttore,
altri potrebbero usare lo stesso firmware ma con una porta diversa
Post by Daniele Pinna (Ufficio)
E se natto quella porta su un IP locale non usato? Es. il 254?
e se la backdoor se ne frega di NAT/Firewall/altro :) ?

Un suggerimento; documentati su "port knocking" ;-)
Daniele Pinna (Ufficio)
2014-05-20 16:44:22 UTC
Permalink
Post by ObiWan
It was Tue, 20 May 2014 13:08:09 +0200 when
Post by Daniele Pinna (Ufficio)
Ho provato a capirci qualche cosa (ho trovato anche una pagina web
qualche giorno fa che faceva riferimento grosso modo allo stesso
documento), ma è fuori dalla mia portata.
ahia :/
Post by Daniele Pinna (Ufficio)
In pratica se faccio una scansione sulla porta 32764 e ho risposta,
il router è vulnerabile.
non necessariamente, la porta potrebbe anche risultare chiusa o non
essere quella; la 32764 è una backdoor implementata da un produttore,
altri potrebbero usare lo stesso firmware ma con una porta diversa
Ah... ok.
Bisognerebbe verificare quali porte sono aperte
Post by ObiWan
Post by Daniele Pinna (Ufficio)
E se natto quella porta su un IP locale non usato? Es. il 254?
e se la backdoor se ne frega di NAT/Firewall/altro :) ?
Allora l'unica soluzione è un paio di forbici sul cavo telefonico e
passa la paura!!!

:-D
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
Paperino
2014-05-20 17:04:52 UTC
Permalink
Post by Daniele Pinna (Ufficio)
Post by ObiWan
Post by Daniele Pinna (Ufficio)
In pratica se faccio una scansione sulla porta 32764 e ho risposta,
il router è vulnerabile.
non necessariamente, la porta potrebbe anche risultare chiusa o non
essere quella; la 32764 è una backdoor implementata da un produttore,
altri potrebbero usare lo stesso firmware ma con una porta diversa
Ah... ok.
Bisognerebbe verificare quali porte sono aperte
Neanche. Hai trascurato una delle righe più importanti
Post by Daniele Pinna (Ufficio)
Post by ObiWan
Un suggerimento; documentati su "port knocking" ;-)
Intendeva dire che ci sono metodi (se il FW lo prevede)
per aprire delle porte chiuse dall'esterno.
Si può fare ad esempio mandando una ben determinata
sequenza di pacchetti, con un ben determinato payload.
Il firmware riconosce la sequenza e/o il contenuto,
e apre la porta richiesta. Finché non usi il grimaldello
giusto, la porta rimane chiusa.

Bye, G.
qu
2014-05-20 21:45:58 UTC
Permalink
*cut*
Post by Paperino
Intendeva dire che ci sono metodi (se il FW lo prevede)
per aprire delle porte chiuse dall'esterno.
Si può fare ad esempio mandando una ben determinata
sequenza di pacchetti, con un ben determinato payload.
Il firmware riconosce la sequenza e/o il contenuto,
e apre la porta richiesta. Finché non usi il grimaldello
giusto, la porta rimane chiusa.
Il problema, secondo me, non è capire se e quali grimaldelli ci siano in
giro, ma se e quanto la complessità dei grimaldelli usati sia tale da essere
"sufficente" all'economicità dello scopo: ossia, controllare n^ sistemi.

IMHO

La cosa è diffusa, lo script esiste, ma, stranamente, la situazione è tale
per cui non si ha certezza, vera, del DNS usato, per dirne una.
Io, in batch, ho semplicemente creato un nsloockup che lancio, ogni tanto,
giusto per controllare che gli opendns, *nel router* siano ancora al loro
posto. Anche un Netstat -n non è male.

Se lo "script" è contenuto in millemila pagine web, beh, la soluzione è
limitare al massimo gli js. in modo da "ridurre" gli attacchi. Se, invece e
come temo, sono attacchi diretti a un numero imprecisato di ip in rete,
noti, di determinati provider... non c'è veramente *nulla* che si possa
fare. Solo attendere abbastanza da che il problema si risolva da se, in
Rete, da parte dei provider sotto attacco (implementare un filtro power ip è
un nulla, per un sysad con i controcogli*ni, figuriamoci per i manutentori
di un'intera rete DSL a livello 0 o 1...)

Vorrei, semmai, esprimere la mia preoccupazione in modo diverso: qua stiamo
assistendo a una diffusione senza precedente di tecniche tali da risultare
assillanti: cioè, siam qui, fra gente (che non fa proprio schifo dietro un
terminale), a discutere di quello che ci pare, ma nella convergenza su un
assioma: "non c'è nulla da fare se..."

Ecco, questo, con l'importanza puramente economica che la Rete ormai ha, è
inaccettabile.

Sapere, per dire, che millemila Router hanno vulnerabilità, ossia fanno
accedere dall'esterno, n^n+1 soggetti perchè le paturnie della NSA piuttosto
che dei Servizi Cinesi o di sarcaxxondestan mette sul mercato prodotti
buggati apposta, ha l'effetto, mano a mano che tale cosa diverrà di dominio
pubblico, uguale e paragonabile al dire che, in determinate circostanze, si
possa spegnere il motore dell'auto di qualcuno al solo scopo di fargli la
pelle. Cosa, purtroppo, possibile, come abbiamo saputo da Assange e i suoi
eponimi.

Sarà, pure, una cosa bella e simpatica da dire e fare, interessante di cui
discutere, ma?

OpenWRT. Ok. Diciamo che è sicuro, che è la migliore soluzione. Stiamo,
però, anche dicendo che occorre installare un software terzo, senza
assistenza, in apparecchiature che ne hanno un gran bisogno.

Sfugge, infatti, secondo me un fatto essenziale: se installi OpenWRT, la
garanzia legale, europea, del tuo apparecchio... automaticamente decade!
(si, lo so, si potrebbe pur sempre ripristinare il firmware di fabbrica...
ma siamo a un livello tecnico diverso, e la cosa a ulteriori implicazioni
che qui non mi sembra il caso di approfondire).

In sostanza, però, siamo tutti concordi, mi pare, sul reale significato di
questa vicenda. #Non siamo al sicuro, non lo siamo mai stati e, nonostante
un impegno anche superiore alla media, non possiamo esserlo#.

Quanto ad aggiornare un firmware... il mio precedente router era uno
splendido Michelangelo della Digicom: per aggiornargli il firmware, era
necessario usare una sandbox, o Jtag se preferite, su COM1, protocollo
seriale. Ho dovuto buttarlo: benchè la Digicom mi avesse mandato un firmware
da aggiornare dopo un crash del router, esso era irrecuperabile. La PROM
interna era... decisamente andata. Economicità della soluzione in caso di
piccoli guasti: pari a zero.

Sono stato troppo lungo, lo so, ma non saprei come altro dirlo: qui non è
che sia in gioco se o quanto un determinato router sia vulnerabile: è in
gioco la credibilità della Rete, in mano a giornali ed utenti che ne
scrivono come, quasi, del Quarto Cavaliere, e la sua percezione. Stiamo
superando la fase del "se fai cosi e così non hai problemi", la gioventù
della rete, diciamo, ed entrando in un territorio inesplorato peggio del
Deep Web.

Cosa possiamo farci? Nulla. Rendiamoci conto dell'enormità di questa
affermazione per l'utente medio.

Se quanto accaduto è solo la punta dell'iceberg, prevedo una marea di
Titanic, prima, provvedimenti draconiani, poi, con intere fette della Rete
rese irragiungibili. Robe da far apparire i Family Filter e la censura
operata in rete, belle misure improntate allo scherzo di giullari
grossolani.

In un anno, un solo anno, a partire dall'SSL... Un diluvio. Quanto voluto?
--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtu.be/kCscWlOiXd0
Daniele Pinna (Ufficio)
2014-05-21 09:13:32 UTC
Permalink
[cut]

Concordo su tutto quanto hai scritto
Post by qu
OpenWRT. Ok. Diciamo che è sicuro, che è la migliore soluzione. Stiamo,
però, anche dicendo che occorre installare un software terzo, senza
assistenza, in apparecchiature che ne hanno un gran bisogno.
C'è da dire però che nella maggior parte dei casi non c'è assistenza.
Lasciamo perdere i Router Kraun più volte da me citati.

Ma il fatto che non ci siano aggiornamenti per altri marchi come D-link,
TP-Link etc è grave.
Presumo che il problema non si ponga in Router Linksys o Cisco che anche
se affetti dalla vulnerabilità presumo abbiano un aggiornamento.
Non sono stati menzionati i Router US Robotics, 3Com e Zyxel, ma anche
loro con i prodotto SOHO dopo qualche anno non rilasciavano più
aggiornamenti.

Quindi OK per OpenWRT ma non preoccupiamoci troppo dell'assenza di
Assistenza... non ci sarebbe comunque.
Post by qu
Sfugge, infatti, secondo me un fatto essenziale: se installi OpenWRT, la
garanzia legale, europea, del tuo apparecchio... automaticamente decade!
(si, lo so, si potrebbe pur sempre ripristinare il firmware di
fabbrica... ma siamo a un livello tecnico diverso, e la cosa a ulteriori
implicazioni che qui non mi sembra il caso di approfondire).
Forse una soluzione sarebbe prendere dei prodotti che già montano
OpenWRT (o dd-WRT) mi pare alcuni modelli Buffalo.
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
ObiWan
2014-05-21 09:41:37 UTC
Permalink
It was Wed, 21 May 2014 11:13:32 +0200 when
Post by Daniele Pinna (Ufficio)
Forse una soluzione sarebbe prendere dei prodotti che già montano
OpenWRT (o dd-WRT) mi pare alcuni modelli Buffalo.
Buffalo, Asus, NetGear, LinkSys di sicuro, ma non sono i soli
Daniele Pinna (Ufficio)
2014-05-20 10:39:22 UTC
Permalink
Post by ObiWan
Post by ObiWan
Io aggiornerei il testo :) ... mi spiego meglio, resettare il router
come primo step va anche bene, ma il secondo step dovrebbe essere il
reflash del firmware ricaricando il firmware originale o comunque
l'ultima versione disponibile dello stesso; solo a quel punto si potrà
procedere con il resto, inoltre durante le operazioni sarà opportuno
connettere il router al PC tramite cavo (si ok, questo lo hai scritto)
e DISCONNETTERE il router dalla WAN (o linea telefonica che sia)
dimenticavo, considera che, nel caso della backdoor che permette di
resettare il router da remoto, quanto sopra (e quanto nella tua pagina)
NON serve assolutamente a nulla
Si, anche per questo ho specificato che è una "possibile soluzione".
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
Daniele Pinna (Ufficio)
2014-05-20 10:36:10 UTC
Permalink
Post by ObiWan
It was Tue, 20 May 2014 11:21:30 +0200 when
Post by Daniele Pinna (Ufficio)
Ho aggiornato la pagina, inserendo nei credit it.comp.sicurezza.virus
e alcuni nome che hanno contribuito al Tread :-)
Io aggiornerei il testo :) ... mi spiego meglio, resettare il router
come primo step va anche bene, ma il secondo step dovrebbe essere il
reflash del firmware ricaricando il firmware originale o comunque
l'ultima versione disponibile dello stesso;
Ho aggiunto il punto 3.1 (con i credit ;-) ) e anche il punto 8 per la
verifica della protezione ACL.

Però c'è da segnalare che alcuni produttori NON rilasciano firmware se
non c'è un aggiornamento. Per cui niente firmware da ricaricare sopra.

Ad esempio i Kraun:
http://www.kraun.it/pages/products/datasheet.shtml?product_code=KR.KQ&language=it

Oppure:
http://www.kraun.it/pages/products/datasheet.shtml?product_code=KR.YL&language=it

o Ancora:
http://www.kraun.it/pages/products/datasheet.shtml?product_code=KN.1R&language=it

e ancora:
http://www.kraun.it/pages/products/datasheet.shtml?product_code=KN.3N&language=it

Di questi ne ho venduti alcuni.


e comunque come fanno ad aggiornare il firmware da remoto?
Dovrebbe essere un firmware compatibile e modificato. Si dovrebbe notare
il logo differente?


Tempo fa ho aggiornato un firmware mentre ero collegato via Wireless.
Il router non ha completato la procedura e si è bloccato, fortunatamente
non in modo irreparabile.
In effetti nelle istruzioni c'è scritto di procedere all'aggiornamento
solo se si è collegati via Cavo.
Come è possibile che possa funzionare aggiornando via WAN?



Però ora sto pensando ad una cosa successa ad un Router TP-Link
TD-W8960N V.4 che, dopo un paio di mesi, ho dovuto mandare in assistenza
e che poi è stato sostituito con un altro TD-W8960N V5.2

Comunque il problema del router era che era bloccato. Impostando
manualmente l'IP della LAN riuscivo ad entrare su 192.168.1.1 e mi
mostrava la schermata di recupero di emergenza del Firmware. Provando
con l'ultimo firmware disponibile con quel router, ma anche con il
firmware precedente (ovviamente per la V.4) non si riusciva ad andare
avanti perché il firmware veniva rifiutato.

Ho chiesto al cliente se per caso aveva provato ad aggiornare il
firmware ma ha detto di no (nemmeno sapeva che era possibile
aggiornarlo). Ho pensato ad un semplice guasto... ma se invece si è
trattato di un tentativo di aggiornamento dall'Esterno?
Post by ObiWan
solo a quel punto si potrà
procedere con il resto, inoltre durante le operazioni sarà opportuno
connettere il router al PC tramite cavo (si ok, questo lo hai scritto)
e DISCONNETTERE il router dalla WAN (o linea telefonica che sia)
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
ObiWan
2014-05-20 13:36:43 UTC
Permalink
It was Tue, 20 May 2014 12:36:10 +0200 when
Post by Daniele Pinna (Ufficio)
Però c'è da segnalare che alcuni produttori NON rilasciano firmware
se non c'è un aggiornamento. Per cui niente firmware da ricaricare
sopra.
beh... forzi il reload della stessa versione che hai :) !!
Post by Daniele Pinna (Ufficio)
http://www.kraun.it/pages/products/datasheet.shtml?product_code=KR.KQ&language=it
sarei curioso di sapere chi usa i router del Lidl :D
Post by Daniele Pinna (Ufficio)
e comunque come fanno ad aggiornare il firmware da remoto?
nessun problema, tramite (t)ftp, ti resettano il router da remoto,
entrano con le credenziali di default ed a quel punto basta avviare un
aggiornamento del firmware... evvai :P !
Post by Daniele Pinna (Ufficio)
Dovrebbe essere un firmware compatibile e modificato. Si dovrebbe
notare il logo differente?
Si certo, ci manca solo che chi modifica il firmware mettendoci dentro
le proprie backdoors ci metta pure un logo differente... che so, con
un bel triangolo rosso e giallo con la scritta "hackerato" :P suvvia,
pensaci un momento, chi fa queste cose cerca di passare inosservato !!
Post by Daniele Pinna (Ufficio)
Come è possibile che possa funzionare aggiornando via WAN?
ci sono più cose in cielo ed in terra... (semicit.)
Post by Daniele Pinna (Ufficio)
firmware precedente (ovviamente per la V.4) non si riusciva ad andare
avanti perché il firmware veniva rifiutato.
TP-Link ha cambiato il meccanismo di checksum del firmware e se quel
router era stato aggiornato, qualsiasi tentativo di caricare un firmware
precedente fallirebbe !! Idem nel caso in cui "qualcuno" caricasse un
firmware che modificasse il loader e/o i meccanismi di checksum
Post by Daniele Pinna (Ufficio)
Ho chiesto al cliente se per caso aveva provato ad aggiornare il
firmware ma ha detto di no (nemmeno sapeva che era possibile
aggiornarlo). Ho pensato ad un semplice guasto... ma se invece si è
trattato di un tentativo di aggiornamento dall'Esterno?
il cliente no, ma... :P
Daniele Pinna (Ufficio)
2014-05-20 16:32:01 UTC
Permalink
Post by ObiWan
It was Tue, 20 May 2014 12:36:10 +0200 when
Post by Daniele Pinna (Ufficio)
Però c'è da segnalare che alcuni produttori NON rilasciano firmware
se non c'è un aggiornamento. Per cui niente firmware da ricaricare
sopra.
beh... forzi il reload della stessa versione che hai :) !!
per "reload" non intendi il reset di fabbrica, giusto?
Di questi router non ho nessun file con il firmware.
Post by ObiWan
Post by Daniele Pinna (Ufficio)
http://www.kraun.it/pages/products/datasheet.shtml?product_code=KR.KQ&language=it
sarei curioso di sapere chi usa i router del Lidl :D
Perché Lidl? :-)
Post by ObiWan
Post by Daniele Pinna (Ufficio)
e comunque come fanno ad aggiornare il firmware da remoto?
nessun problema, tramite (t)ftp, ti resettano il router da remoto,
entrano con le credenziali di default ed a quel punto basta avviare un
aggiornamento del firmware... evvai :P !
OK, ma dovrei trovare qualcosa di diverso, ad esempio non troverei più
il logo Kraun nella schermata dei router Kraun.
Post by ObiWan
Post by Daniele Pinna (Ufficio)
Dovrebbe essere un firmware compatibile e modificato. Si dovrebbe
notare il logo differente?
Si certo, ci manca solo che chi modifica il firmware mettendoci dentro
le proprie backdoors ci metta pure un logo differente... che so, con
un bel triangolo rosso e giallo con la scritta "hackerato" :P suvvia,
pensaci un momento, chi fa queste cose cerca di passare inosservato !!
Ovviamente non pensavo a quello.
Presumo che hanno un firmware generico che va bene con quel tipo di
router, ma che non è brandizzato con il logo Kraun. Oppure hanno tutti i
firmware di tutti i produttori per tutte le versioni dei router?

A quel punto potrei anche preoccuparmi poco dei Kraun dato che è un
prodotto rimarchiato disponibile solo in Italia, e quindi poco diffuso
all'estero... a differenza dei vari D-link, TP-link etc.
Post by ObiWan
Post by Daniele Pinna (Ufficio)
Come è possibile che possa funzionare aggiornando via WAN?
ci sono più cose in cielo ed in terra... (semicit.)
:-)
Post by ObiWan
Post by Daniele Pinna (Ufficio)
Ho chiesto al cliente se per caso aveva provato ad aggiornare il
firmware ma ha detto di no (nemmeno sapeva che era possibile
aggiornarlo). Ho pensato ad un semplice guasto... ma se invece si è
trattato di un tentativo di aggiornamento dall'Esterno?
il cliente no, ma... :P
Quindi poteva trattarsi di un attacco dall'esterno con tentativo di
aggiornamento del firmware...
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
unknown
2014-05-21 09:01:05 UTC
Permalink
Post by Daniele Pinna (Ufficio)
Ho aggiunto il punto 3.1 (con i credit ;-) ) e anche il punto 8 per la
verifica della protezione ACL.
Io intanto continuo a risistemare 2 router al giorno, ultimi dns
farlocchi trovati 23.253.94.129.
Reimposto DNS, imposto ACL ed incrocio le dita per il futuro.
Anche Tp-link sà del problema
http://www.tp-link.com/EN/article/?faqid=569
Tutti i router vulnerabili sono pressochè identici, cambia marca e
modello ma sono tutti prodotti dalla stesso produttore.
Basta vedere le schermate e rendersene conto.
Max
Daniele Pinna (Ufficio)
2014-05-21 10:20:43 UTC
Permalink
Post by unknown
Post by Daniele Pinna (Ufficio)
Ho aggiunto il punto 3.1 (con i credit ;-) ) e anche il punto 8 per la
verifica della protezione ACL.
Io intanto continuo a risistemare 2 router al giorno, ultimi dns
farlocchi trovati 23.253.94.129.
Reimposto DNS, imposto ACL ed incrocio le dita per il futuro.
Anche Tp-link sà del problema
http://www.tp-link.com/EN/article/?faqid=569
Aggiornato la mia pagina inserendo questi modelli.

Fortunatamente non sono presenti i miei router e fra quelli che ho
venduto c'è solo un modello (TD-W8961ND)
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
unknown
2014-05-21 11:09:48 UTC
Permalink
Post by Daniele Pinna (Ufficio)
Post by unknown
Post by Daniele Pinna (Ufficio)
Ho aggiunto il punto 3.1 (con i credit ;-) ) e anche il punto 8 per la
verifica della protezione ACL.
Io intanto continuo a risistemare 2 router al giorno, ultimi dns
farlocchi trovati 23.253.94.129.
Reimposto DNS, imposto ACL ed incrocio le dita per il futuro.
Anche Tp-link sà del problema
http://www.tp-link.com/EN/article/?faqid=569
Aggiornato la mia pagina inserendo questi modelli.
Fortunatamente non sono presenti i miei router e fra quelli che ho venduto
c'è solo un modello (TD-W8961ND)
La lista di tplink, ti assicuro, non è esaustiva. Da aggiungere anche
modelli della Intellinet.

ObiWan
2014-05-18 15:50:39 UTC
Permalink
Post by Daniele Pinna
Forse può essere utile ai meno esperti questo articolo che ho
pubblicato nel mio sito, dove viene spiegato a grandi linee come
effettuare il reset del router e l'applicazione delle ACL.
http://www.dapinna.com/notizie/30-avvisi-di-sicurezza/106-vulnerabilit%C3%A0-router-una-possibile-soluzione.html
il problema è che, in alcuni casi, la backdoor permette, tramite
l'invio di pacchetti opportunamente "confezionati" di resettare il
router (credenziali default ed accesso da wan) e quindi anche se si
impostano delle ACL non si risolve la faccenda; non solo, in altri casi
l'eventuale vulnerabilità/backdoor viene sfruttata per rimpiazzare il
firmware del router con una versione che permetta l'accesso e la
gestione remota indipendentemente da quanto impostato dall'utente che,
a quel punto, dopo aver riconfigurato il router, si sentirà falsamente
al sicuro
Bowlingbpsl
2014-05-20 10:35:54 UTC
Permalink
Post by Daniele Pinna
[cut]
Forse può essere utile ai meno esperti questo articolo che ho
pubblicato nel mio sito, dove viene spiegato a grandi linee come
effettuare il reset del router e l'applicazione delle ACL.
http://www.dapinna.com/notizie/30-avvisi-di-sicurezza/106-vulnerabilit%C3%A0-router-una-possibile-soluzione.html
Beh... ti ringrazio.
Abbiamo bisogno di divulgatori, che ci facciano un riassunto.

Pero'... mi avete fatto venire "voglia" di un router con dd-wrt.
O di un Fritz.

(non mi piace l'idea che qualcuno possa aver rimpiazzato il firmware con
uno "tarocco", per quanto non molto probabile)

Fabrizio
ObiWan
2014-05-20 15:42:23 UTC
Permalink
It was Tue, 20 May 2014 12:35:54 +0200 when
Post by Bowlingbpsl
Pero'... mi avete fatto venire "voglia" di un router con dd-wrt.
O di un Fritz.
Hmm... meglio il primo, tutto sommato non ci tengo a far sapere i fatti
miei ai tizi del CCC (http://www.ccc.de/en/home) ... per carità, non
sto dicendo che i Fritz abbiano delle backdoors, ci mancherebbe, sono
teutonicamente perfetti, lungi da me l'idea di affermare chissà cosa

<evil-grin>
Post by Bowlingbpsl
(non mi piace l'idea che qualcuno possa aver rimpiazzato il firmware
con uno "tarocco", per quanto non molto probabile)
il tuo "non molto probabile" evidenzia una scarsa conoscenza di tali
problematiche; niente di che, ci mancherebbe, non è un peccato mortale;
ma sono ormai ANNI che girano exploits per sfondare i routers e per
caricarci sopra firmware "tarocco"; addirittura ci sono degli script
automatici che vanno giù alla "vai che vai bene" e, se riescono ad
entrare caricano il firmware anche se non è compatibile; con il
risultato netto che la vittima di turno si ritrova con un fermaporte;
in altri casi il "replace" è riscontrabile dal fatto che, di botto, le
credenziali sono al default e la WiFi è aperta o ha impostazioni che
non sono quelle precedenti
Daniele Pinna (Ufficio)
2014-05-20 16:34:40 UTC
Permalink
Post by Bowlingbpsl
Post by Daniele Pinna
[cut]
Forse può essere utile ai meno esperti questo articolo che ho
pubblicato nel mio sito, dove viene spiegato a grandi linee come
effettuare il reset del router e l'applicazione delle ACL.
http://www.dapinna.com/notizie/30-avvisi-di-sicurezza/106-vulnerabilit%C3%A0-router-una-possibile-soluzione.html
Beh... ti ringrazio.
Abbiamo bisogno di divulgatori, che ci facciano un riassunto.
Prego :-)
Post by Bowlingbpsl
Pero'... mi avete fatto venire "voglia" di un router con dd-wrt.
O di un Fritz.
Be la voglia di un dd-wrt l'abbiamo in molti :-)
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
ObiWan
2014-05-21 07:28:12 UTC
Permalink
It was Tue, 20 May 2014 18:34:40 +0200 when
Post by Daniele Pinna (Ufficio)
Be la voglia di un dd-wrt l'abbiamo in molti :-)
hai visto qui http://www.myopenrouter.com/ :) ?
Daniele Pinna (Ufficio)
2014-05-21 10:23:14 UTC
Permalink
Post by ObiWan
It was Tue, 20 May 2014 18:34:40 +0200 when
Post by Daniele Pinna (Ufficio)
Be la voglia di un dd-wrt l'abbiamo in molti :-)
hai visto qui http://www.myopenrouter.com/ :) ?
No... visto ora e segnato :-)
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
Continua a leggere su narkive:
Loading...