I router che usiamo a casa sono vulnerabili e ci espongono al furto di password, dati bancari e altre informazioni personali. La notizia arriva dalla società ISE (Independent Security Evaluations) che ha testato 13 modelli tra quelli in commercio, scoprendo che tutti sono vulnerabili ad attacchi locali, e undici anche a quelli remoti.
Non è la prima volta che il problema emerge, e in generale si tende a pensare che il rischio sia piuttosto basso, ma i ricercatori sostengono che "un avversario moderatamente preparato con accesso LAN o WLAN potrebbe penetrare in tutti e tredici i router". Un avverbio che dovrebbe metterci in guardia: chiunque potrebbe in effetti ottenere le conoscenze necessarie con un po' di studio, soprattutto se il gioco vale la candela.
Aggiungiamoci il fatto che la maggior parte delle persone non cambia i dati di accesso predefiniti per il router, ed ecco che il pericolo è più serio di quanto alcuni potrebbero pensare. Un criminale infatti non deve fare molti tentativi per entrare nel router come amministratore, se la password è quella impostata di fabbrica - di solito "admin", "1234" o altre varianti altrettanto semplici. Certo, le istruzioni suggeriscono di cambiarla appena finita la prima installazione, ma pochi lo fanno.
I dettagli tecnici scoperti da ISE per ora non sono disponibili, perché la società ha preferito informare prima Linksys, Belkin, Netgear e gli altri produttori presi in considerazione. Le aziende avranno così la possibilità di pubblicare aggiornamenti software prima che gli exploit diventino di dominio pubblico, e alcune lo hanno già fatto.
Sappiamo comunque che sono tre i tipi di attacco testati, sia in locale che in remoto: trivial (banale), non autenticato e autenticato. L'ultimo va a segno quasi sempre (25 su 26), ed è quello in cui l'intruso ha la password di amministrazione che, come abbiamo detto, spesso è fin troppo facile da individuare.
Per quanto riguarda l'attacco alla vittima, per sottrarre i dati, nella maggior parte dei casi i ricercatori hanno usato il cross-site request forgery - un metodo efficace per sottrarre da un computer i dati di autenticazione memorizzati nei cookie.
"Successivamente il nostro attacco standard prevedeva di resettare la password di amministrazione a un valore predefinito, o aggiungere un nuovo amministratore, e poi abilitare la gestione remota. Se questo non era possibile (per esempio il router chiede la vecchia password prima di accettare quella nuova) abbiamo usato altri metodi", hanno spiegato i ricercatori a Seth Rosenblatt di Cnet, per poi aggiungere che tali metodi alternativi per ora non saranno diffusi.
Non c'è molto che possiamo fare per difenderci da attacchi di questo tipo, perché il miglioramento della sicurezza dipende quasi interamente dai produttori del router, ma ci sono alcune buone abitudini che tutti possiamo mettere in pratica.
È una buona idea, per esempio, disabilitare la gestione remota del router, che è spesso attivata per default con i prodotti forniti dagli operatori telefonici. E poi cambiare i dati per l'accesso al router, perché i valori predefiniti sono noti a tutti (purtroppo alcuni modelli non permettono tale operazione). Un'altra cosa da fare è cambiare l'indirizzo IP, che di solito è sempre 192.168.1.1 o 192.168.1.2: questi sono ovviamente i valori più bersagliati dai criminali. Già con queste piccole precauzioni si ottiene un livello di sicurezza migliore.