VoIP and Hacking | Consulenza Documentazione

Ha fatto la sua comparsa in rete da pochi mesi un worm (denominato psyb0t) che presenta la novità di attaccare non già i soliti, strainflazionati pc windows bensì routers domestici dotati di Linux e processore MIPS. Si ritiene che il worm sia il primo della sua specie, ed alcuni ricercatori (DroneBL) hanno stimato che sia già riuscito ad infiltrare qualcosa come 100000 routers.
Il worm utilizza un attacco di tipo brute force, tramite un dizionario composto di 6000 usernames e 13000 passwords, cercando di indovinare quelli di servizi quali ssh e telnet lasciati aperti all’accesso wan. Non sfrutta pertanto qualche vulnerabilità software, bensì le povere politiche di sicurezza dell’utenza finale. Se la conseguenza fosse solo personale, la questione meriterebbe solamente una alzata di spalle. Dato che tuttavia il malcapitato router viene arruolato in una botnet, e che le botnets rappresentano la minaccia più grave che incombe attualmente su Internet, essa merita attenzione.
Il meccanismo d’ azione osservato è il seguente:

• Il router vulnerabile viene localizzato e connesso via Telnet
• Viene effettuato il login come root, accedendo alla shell
• Un eseguibile binario viene scaricato tramite wget (o in alternativa ftp o tftp) e mandato in esecuzione

L’esecuzione del binario fa in modo che il router si aggreghi alla botnet, effettuando le seguenti azioni:

• Viene impedita ogni ulteriore connessione telnet/ssh
• Viene stabilita una connessione ad un server IRC privato con un nickname casuale.
• Avviene una associazione ad un pre-determinato IRC channel allo scopo di ricevere comandi

Inoltre, una volta che il router compromesso abbia aderito alla botnet, inizierà la scansione della rete alla ricerca di altri router da infettare e arruolare nella botnet.
Per le sue caratteristiche, il problema interessa un ampio range di devices, tra cui molti modelli Linksys e Netgear, ma anche di altri vendors.
Dato che il filesystem di tali devices è readonly, qualsiasi file estraneo caricato verrà cancellato (a meno che non sia stato effettuato un reflash) ad ogni reboot, tuttavia moltissimi utenti lasciano il loro router DSL acceso 24 ore al giorno. Di conseguenza il numero degli hosts attivi della botnet rimarrà elevato in qualsiasi momento.

Concludendo, si tratta di una minaccia particolarmente insidiosa in quanto permette all’attaccante un alto grado di invisibilità, data la mancanza di effetti collaterali sui singoli PCs della rete locale, domestica o aziendale, che sta dietro al router. E’ inoltre molto difficoltosa da individuare, e la sola maniera di scoprirla consiste nel monitorare il traffico che entra ed origina dal router stesso.
E’ facile immaginare quanto possano rimanere interdetti degli utenti finali qualora il loro ISP comunicasse loro che i loro computers sono infettati da qualche virus quando la botnet fosse usata per svolgere attività di spamming.
Il rimedio, almeno quello, per fortuna, stavolta è banale.

Send post as PDF to