Con l’abbattimento dei prezzi e la presenza sempre più numerosa di computer in casa – alcune famiglie possiedono un pc a persona – in questi anni si è diffuso l’utilizzo di un accessorio chiamato router.
Un router è un dispositivo che permette la condivisione di un unico abbonamento internet – generalmente a banda larga, ADSL – tra due o più computer. Letteralmente in italiano il termine router viene tradotto con instradatore e questo perchè il compito che svolge è quello di reindirizzare e instradare il traffico in entrata/uscita dal pc verso internet e viceversa. Un router trasmette pacchetti di dati selezionando il pc che ne fa richiesta.
Tecnicamente le azioni che svolge rientrano nel livello 3 dell’architettura OSI (Open System Interconnection) ovvero dell’ente che si occupa di standardizzare le comunicazioni. A questo livello appartiene la gestione del protocollo di comunicazione TCP/IP.
Per un utilizzo condiviso della rete, aziendale o domestica che sia, il router è un dispositivo fondamentale, la sua assenza non permetterebbe a due computer connessi alla stella linea di navigare contemporaneamente.
La spiegazione fatta in precedenza spero abbia chiarito che cos’è un router e cosa fa ma lo scopo di questo articolo, invece, è un altro. E’ di qualche giorno fa la notizia del rilevamento (da parte di chi monitorizza la rete) di un nuovo worm in grado di minacciare gli internauti. Questo worm non attacca direttamente il pc, ma il dispositivo di connessione che si utilizza: il router.
La minaccia è denominata Psyb0t, chiamata anche Network Bluepill, e attualmente colpisce 10 modelli Netgear, 30 modelli di router Linksys e vari modelli di cable e DSL modem (semplici modem di connessione).
Che caratteristiche ha e cosa fa nello specifico Psyb0t?
La caratteristica principale è quella di essere invisibile all’utente, non viene rilevato attraverso una scansione con l’antivirus proprio perchè infetta un componente esterno.
L’azione principale è quella di reindirizzare pacchetti dati verso altri siti con il solo scopo di operare un attacco DoS, questo è possibile in quanto il worm abbina la nostra connessione ad altre creando una vera e propria rete di computer (botnet). Sembrerebbe che l’obbiettivo attuale sia quello di infettare 100.000 dispositivi, sono stati colpite già 80.000 unità!
Una volta che il router è infettato, se si tenta di eseguire l’accesso all’interfaccia di configurazione (amministrazione) questo viene negato e non solo, anche le porte numero 80, 22 e 23 del computer non funzionano più. Queste porte gestiscono il traffico internet, appartengono al protocollo HTTP.
Purtroppo essendo una nuova minaccia al momento non ci sono soluzioni. Arriveranno quanto prima perchè di sicuro i produttori dei router a rischio staranno lavorando per rilasciare un aggiornamento firmware in grado di mettere in sicurezza i loro prodotti.
Una misura cautelativa che si può cominciare a prendere è quella di cambiare i dati d’accesso al dispositivo, di non lasciare le impostazioni di default della casa costruttrice. Questi dati (solitamente admin e password) vengono usati per settare il router e sono quelli che si inseriscono nella schermata che compare quando sul browser digitiamo ad esempio l’indrizzo 198.162.0.1 dove le ultime due cifre possono cambiare a seconda del modello e della marca. Un ulteriore passa avanti è quello di fare, se possibile, un test sulle porte di comunicazione del pc. Quest’ultimo provvedimento non è semplice e non può essere eseguito con un software interno al computer, ma cercando in rete è possibile trovare dei siti che analizzano come e con quali porte ci connettiamo durante la navigazione.
Sul forum parliamo di virus nel topic Virus la piaga di internet.
Scritto da Mac La Mente