La maggior parte dei router Wi-Fi e dei gateway di rete utilizzati dai clienti domestici non sono assolutamente sicuri. Alcuni sono così vulnerabili agli attacchi che dovrebbero essere buttati fuori, ha detto un esperto di sicurezza alla conferenza degli hacker HOPE X a New York.

“Se un router viene venduto presso [una nota catena di negozi di elettronica con un logo blu e giallo], non vuoi comprarlo”, ha detto al pubblico il consulente informatico indipendente Michael Horowitz.

“Se il tuo router ti viene fornito dal tuo provider di servizi Internet [ISP], non vuoi nemmeno usarlo, perché ne regalano milioni e questo li rende un obiettivo primario sia per le agenzie di spionaggio che per i cattivi”, ha aggiunto

Horowitz consigliava ai consumatori attenti alla sicurezza di passare a router commerciali destinati alle piccole imprese, o almeno di separare i propri modem e router in due dispositivi separati. (Molte unità”gateway”, spesso fornite dagli ISP, possono fungere da entrambe le cose.) In mancanza di una di queste opzioni, Horowitz ha fornito un elenco di precauzioni che gli utenti potrebbero prendere.

  • Un router VPN potrebbe essere il modo migliore per proteggere il Wi-Fi di casa

Problemi con i router consumer

I router sono i cavalli di battaglia essenziali ma non annunciati delle moderne reti di computer. Eppure pochi utenti domestici si rendono conto che i router sono in realtà computer a tutti gli effetti, con i propri sistemi operativi, software e vulnerabilità.

“Un router compromesso può spiarti”, ha detto Horowitz, spiegando che un router sotto un il controllo dell’attaccante può organizzare un attacco man-in-the-middle, alterare i dati non crittografati o inviare l’utente a siti Web”gemello malvagio”mascherati da webmail o portali bancari online usati spesso.

Molti dispositivi gateway domestici di livello consumer non avvisano gli utenti se e quando gli aggiornamenti del firmware diventano disponibili, anche se tali aggiornamenti sono essenziali per correggere le falle di sicurezza, ha osservato Horowitz. Alcuni altri dispositivi non accetteranno password più lunghe di 16 caratteri: la lunghezza minima per la sicurezza delle password oggi.

Universal Pwn and Play

Milioni di router in tutto il mondo hanno il protocollo di rete Universal Plug and Play (UPnP) abilitato sulle porte con connessione a Internet , che li espone ad attacchi esterni.

“UPnP è stato progettato per le LAN [reti locali] e, in quanto tale, non ha sicurezza. Di per sé, non è un grosso problema”, Horowitz disse.

Ma, ha aggiunto,”UPnP su Internet è come sottoporsi a un intervento chirurgico e far lavorare il medico sulla gamba sbagliata.”

Un altro problema è l’Home Network Administration Protocol ( HNAP), uno strumento di gestione che si trova su alcuni vecchi router di livello consumer che trasmette informazioni sensibili sul router sul Web all’indirizzo http://[indirizzo IP del router]/HNAP1/e garantisce il pieno controllo agli utenti remoti che forniscono nomi utente amministrativi e password (che molti utenti non cambiano mai dalle impostazioni di fabbrica).

Nel 2014, un worm chiamato TheMoon ha utilizzato il protocollo HNAP per identificare i router vulnerabili del marchio Linksys a cui potrebbe diffondersi. (Linksys ha rilasciato rapidamente una patch del firmware.)

“Appena arrivi a casa, questo è qualcosa che vuoi fare con tutti i tuoi router”, Horowitz ha detto alla folla esperta di tecnologia.”Vai a/HNAP1/e, si spera, non riceverai alcuna risposta, se questa è l’unica cosa positiva. Francamente, se ricevi una risposta, butterei via il router.”

  • La configurazione di un router virtuale è modo perfetto per condividere le tue connessioni

La minaccia WPS

La cosa peggiore è Wi-Fi Protected Setup (WPS), un funzionalità di facile utilizzo che consente agli utenti di aggirare la rete password e connettere i dispositivi a una rete Wi-Fi semplicemente inserendo un PIN di otto cifre stampato sul router stesso. Anche se la password di rete o il nome della rete vengono modificati, il PIN rimane valido.

“Questo è un enorme problema di sicurezza cancellato”, ha affermato Horowitz.”Quel numero di otto cifre ti farà entrare nel [router] in ogni caso. Quindi un idraulico viene a casa tua, capovolge il router, scatta una foto della parte inferiore e ora può accedere alla tua rete per sempre.”

Quel PIN di otto cifre non è nemmeno di otto cifre, ha spiegato Horowitz. In realtà sono sette cifre più una cifra di checksum finale. Le prime quattro cifre vengono convalidate come una sequenza e le ultime tre come un’altra, risultando in soli 11.000 codici possibili invece di 10 milioni.

“Se WPS è attivo, puoi entrare nel router”, ha detto Horowitz.”Devi solo fare 11.000 ipotesi”, un compito banale per la maggior parte dei computer e degli smartphone moderni.

Poi, c’è la porta di rete 32764, che il ricercatore di sicurezza francese Eloi Vanderbeken nel 2013 ha scoperto essere stata lasciata aperta sul gateway router venduti da diversi marchi importanti.

Utilizzando la porta 32764, chiunque su una rete locale, che include l’ISP di un utente, potrebbe assumere il pieno controllo amministrativo di un router e persino eseguire un ripristino delle impostazioni di fabbrica, senza password.

La porta è stata chiusa sulla maggior parte dei dispositivi interessati in seguito alle rivelazioni di Vanderbeken, ma in seguito ha scoperto che poteva essere facilmente riaperta con un pacchetto di dati appositamente progettato che poteva essere inviato da un ISP.

“Questo è ovviamente fatto da un’agenzia di spionaggio, è incredibile”, ha detto Horowitz.”È stato deliberato, non c’è dubbio.”

Come bloccare il router di casa

Il primo passo verso la sicurezza del router di casa, ha detto Horowitz, è assicurarsi che il router e il modem via cavo non siano un unico dispositivo. Molti ISP affittano tali dispositivi a doppio scopo ai clienti, ma quei clienti avranno poco controllo sulle proprie reti domestiche. (Se hai bisogno di un tuo modem, dai un’occhiata ai nostri consigli per il miglior modem via cavo.)

“Se ti venisse data una singola casella, che la maggior parte delle persone credo chiami gateway”, ha detto Horowitz,”dovresti essere in grado di contattare l’ISP e fargli sminuire la scatola in modo che funge solo da modem. Quindi è possibile aggiungere il proprio router.”

In seguito, Horowitz ha consigliato ai clienti di acquistare un router Wi-Fi/Ethernet commerciale di fascia bassa, come il Pepwave Surf SOHO, che viene venduto al dettaglio per circa $ 200 (anche se fai attenzione ai prezzi), piuttosto che un router che può costare fino a $ 20.

È improbabile che i router di livello commerciale abbiano UPnP o WPS abilitati. Il Pepwave, ha osservato Horowitz, offre funzionalità aggiuntive, come i rollback del firmware nel caso in cui un aggiornamento del firmware vada storto. (Molti router di fascia alta, specialmente quelli destinati ai giocatori, offrono questo anche.)

Indipendentemente dal fatto che un router sia di livello commerciale o di consumo, ci sono diverse cose, che variano da facili a difficili, che gli amministratori di rete domestica possono fare per assicurarsi che i loro router siano più sicuri.

Semplici correzioni per il router wireless di casa

Modifica le credenziali amministrative dal nome utente e dalla password predefiniti. Sono le prime cose che un attaccante proverà. Il manuale di istruzioni del tuo router dovrebbe mostrarti come farlo. In caso contrario, cercalo su Google.

Rendi la password lunga, sicura e univoca e non renderla simile alla normale password per accedere alla rete Wi-Fi.

Cambia il nome della rete, o SSID, da”Netgear”,”Linksys”o qualunque sia l’impostazione predefinita a qualcosa di unico, ma non dargli un nome che ti identifichi.

“Se vivi in ​​un appartamento edificio nell’appartamento 3G, non chiamare il tuo SSID’Appartamento 3G'”, ha scherzato Horowitz.”Chiamalo’Appartamento 5F.'”

Attiva gli aggiornamenti automatici del firmware se sono disponibili. I router più recenti, inclusa la maggior parte dei router mesh, aggiorneranno automaticamente il firmware del router.

Abilita il wireless WPA2 crittografia in modo che solo autorizzato gli utenti possono accedere alla tua rete. Se il tuo router supporta solo il vecchio standard WEP, è il momento per un nuovo router.

Abilita il nuovo standard di crittografia WPA3 se il router lo supporta. A partire dalla metà del 2021, tuttavia, solo i router e i dispositivi client più recenti (PC, dispositivi mobili, dispositivi smart-home) lo fanno.

Disabilita Wi-Fi Protected Setup, se il tuo router te lo consente.

Configura una rete Wi-Fi ospite e offri il suo utilizzo ai visitatori, se il tuo router dispone di tale funzionalità. Se possibile, imposta la rete ospite in modo che si spenga da sola dopo un determinato periodo di tempo.

“Puoi attivare la rete ospite e impostare un timer e tre ore dopo si spegne da sola”ha detto Horowitz.”Questa è davvero una bella funzionalità di sicurezza.”

Se hai un sacco di smart-home o Dispositivi Internet of Things, è probabile che molti di loro non saranno terribilmente sicuri. Collegali alla rete Wi-Fi ospite anziché alla rete principale per ridurre al minimo i danni derivanti da qualsiasi potenziale compromissione di un dispositivo IoT.

Non utilizzare la gestione del router basata su cloud se il produttore del router lo offre. Invece, cerca di capire se puoi disattivare quella funzione.

“Questa è davvero una pessima idea”, ha detto Horowitz.”Se il tuo router lo offre, non lo farei, perché ora ti affidi a un’altra persona tra te e il tuo router.”

Molti sistemi”mesh router”, come Nest Wifi e Eero , sono interamente cloud-dependent e possono interfacciarsi con l’utente solo tramite app per smartphone basate su cloud.

Mentre questi modelli offrono miglioramenti della sicurezza in altre aree, ad esempio con gli aggiornamenti automatici del firmware, potrebbe valere la pena cercare un router in stile mesh che consenta l’accesso amministrativo locale, come Netgear Orbi.

Correzioni del router domestico moderatamente difficili

Installa il nuovo firmware quando diventa disponibile. Ecco come i produttori di router installano le patch di sicurezza. Accedi regolarmente all’interfaccia amministrativa del tuo router per verificare: ecco una guida con ulteriori informazioni .

Con alcune marche, potrebbe essere necessario controllare il sito Web del produttore per gli aggiornamenti del firmware. Ma tieni a portata di mano un router di backup se qualcosa va storto. Alcuni router ti consentono anche di eseguire il backup del firmware corrente prima di installare un aggiornamento.

Imposta il tuo router per utilizzare la banda a 5 GHz per il Wi-Fi invece del più standard 2.4-Banda GHz, se possibile, e se tutti i tuoi dispositivi sono compatibili.

“La banda a 5 GHz non arriva fino alla banda a 2,4 GHz”, ha affermato Horowitz.”Quindi, se c’è qualche cattivo nel tuo quartiere a un isolato o due di distanza, potrebbe vedere la tua rete a 2,4 GHz, ma potrebbe non vedere la tua rete a 5 GHz.”

Disabilita il telecomando accesso amministrativo e disabilitare l’accesso amministrativo tramite Wi-Fi. Gli amministratori devono connettersi ai router solo tramite Ethernet cablata. (Ancora una volta, questo non sarà possibile con molti router mesh.)

Suggerimenti avanzati sulla sicurezza del router per utenti esperti di tecnologia

Modifica le impostazioni per l’interfaccia Web amministrativa , se il tuo router lo consente. Idealmente, l’interfaccia dovrebbe imporre una connessione HTTPS sicura su una porta non standard, in modo che l’URL per l’accesso amministrativo sia qualcosa di simile, per usare l’esempio di Horowitz,”https://192.168.1.1:82″invece del più standard”http://192.168.1.1″, che per impostazione predefinita utilizza la porta standard Internet 80.

Utilizzare la modalità di navigazione in incognito o privata del browser quando si accede all’interfaccia amministrativa in modo che il il nuovo URL impostato nel passaggio precedente non viene salvato nella cronologia del browser.

Disabilita PING, Telnet, SSH, UPnP e HNAP, se possibile. Tutti questi sono protocolli di accesso remoto. Invece di impostare le porte pertinenti su”chiuse”, impostale su”stealth”in modo che non venga data alcuna risposta a comunicazioni esterne non richieste che potrebbero provenire da aggressori che sondano la tua rete.

“Ogni singolo router ha un’opzione non rispondere ai comandi PING”, ha detto Horowitz.”È assolutamente qualcosa che vuoi attivare: una grande funzionalità di sicurezza. Ti aiuta a nasconderti. Naturalmente, non ti nasconderai dal tuo ISP, ma ti nasconderai da qualche ragazzo in Russia o in Cina.”

Cambia il server DNS (Domain Name System) del router dal server dell’ISP a uno gestito da OpenDNS (208.67.220.220,  208.67.222.222), Google Public DNS (8.8. 8.8, 8.8.4.4) o Cloudflare (1.1.1.1, 1.0.0.1).

Se stai usando IPv6, gli indirizzi OpenDNS corrispondenti sono 2620:0:ccc::2 e 2620:0:ccd::2, quelli di Google sono 2001:4860:4860::8888 e 2001:4860:4860::8844 e quelli di Cloudflare sono 2606:4700:4700::1111 e 2606:4700:4700::1001.

Usa un rete privata virtuale (VPN ) router per integrare o sostituire il router esistente e crittografare tutto il traffico di rete.

“Quando dico router VPN, intendo un router che può essere un client VPN”, ha affermato Horowitz.”Quindi, ti iscrivi con una società VPN e tutto ciò che invii tramite quel router passa attraverso la loro rete. Questo è un ottimo modo per nascondere ciò che stai facendo dal tuo provider di servizi Internet.”

Molti router Wi-Fi domestici possono essere”flash”per eseguire firmware open source, come il Firmware DD-WRT, che a sua volta supporta il protocollo OpenVPN in modo nativo. La maggior parte delle migliori VPN supportano anche OpenVPN e forniscono istruzioni su come impostare i router open source per utilizzarli.

Infine, usa la porta Shields Up di Gibson Research Corp.-servizio di scansione su https://www. grc.com/shieldsup. Testerà il tuo router per centinaia di vulnerabilità comuni, la maggior parte delle quali può essere mitigata dall’amministratore del router.

[Questa storia è stata originariamente pubblicata nel luglio 2014 e da allora è stata aggiornata con nuove informazioni.]

Categories: IT Info