Il tuo router è sicuro?!

A cura di Raffaele Sommese
Il tuo router è sicuro?!
LinuxDay Napoli 2015
Studente presso Federico II
Nasce,Cresce e Naviga nella grande Rete
@raffysommy

Perché sono cosi forti:
● Alcuni Internet Service Provider Italiani(e non)
forniscono un modem/router in comodato d'uso
● Oggi analizzeremo la sicurezza di questi
dispositivi
● ...e i fantastici strumenti che LORO hanno a
disposizione per “entrarvi in casa”
IntroduzioneIntroduzione

Non ci sono solo loro.
PremessaPremessa

● I dispositivi forniti dagli ISP come TUTTI i
dispositivi di rete SoHo montano firmware linux-
based
● Sfortunatamente però si sono dimenticati
dell'esistenza della licenza GPL e non
ridistribuiscono il codice sorgente modificato.
Chissa che firmware montano?Chissa che firmware montano?

● Il vostro router è una porta d'accesso con un
tappeto rosso alla vostra lan domestica
● Vi affidate dunque ad un software closed che
gestisce e “vede” tutto il vostro traffico
● La TELEGESTIONE
Quali sono i pericoliQuali sono i pericoli

La telegestione (aka TR-089) è uno strumento
software che permette ai vostri internet service
provider di:
● Effettuare operazioni di manutenzione
● Diagnosticare problemi interni
● Distribuire aggiornamenti software al vostro
dispositivo
Che cos'è la TelegesitoneChe cos'è la Telegesitone

Attraverso la telegestione il vostro provider puo:
● Installare software di sniffing(tcpdump)
● Dirottare il vostro traffico in maniera trasparente
● Esporre su internet servizi dei vostri pc in lan
(es Servizi Vulnerabili)
Perchè la telegestione è il malePerchè la telegestione è il male

E purtroppo è la triste realtàE purtroppo è la triste realtà

I nostri “cari” provider dovrebbero offrire l'accesso
solo alle forze dell'ordine sotto mandato della
magistratura.
E se qualcun altro avesse accesso al sistema?
Accesso solo alle Forze
dell'ordine?
Accesso solo alle Forze
dell'ordine?

Alcuni anni fa su alcune serie di router di un ex
monopolista del mercato italiano è stata trovata
una falla che permetteva di ricavare la
passphrase d'accesso alla rete wi-fi....
DAL SSID
Casi PassatiCasi Passati

● La falla è presente nella serie di router Alice Gate VoIP
2 Plus Wi-Fi di ADB (ex Pirelli Broadband Solution)
● Le reti sono identificabili dal SSID Alice-xxxxxxxx
● Il Seriale è strutturato come 67905X1234567
La prima parte identifica la serie di router
X è una costante
La seconda parte cambia per ogni router secondo I
“magic number”
La falla WiFi nel dettaglioLa falla WiFi nel dettaglio

Esiste una relazione aritmetica tra seriale e SSID
SSID=A*SN+B
Ove A e B sono due numeri dipendenti dalla
particolare serie di router e SN è la parte variabile
del seriale.
Le serie di router vengono identificate con le
prime due cifre del SSID.
Seriali,Password e numeri magiciSeriali,Password e numeri magici

Come troviamo i numeri magici?Come troviamo i numeri magici?
{SN 1=(SSID1−B)/ A
SN 2=(SSID2−B)/A
A=
SSID 1−SSID 2
SN 1−SN 2
B=
SSID 2∗SN 1−SSID1∗SN 2
SN 1−SN 2

● Facciamo l'hash SHA256 di (MN+SN+MAC)
● Utilizziamo una speciale tabella di encoding
sostituendo all'hash il corrispettivo carattere
● I primi 24 byte rappresentano la WPA
Ora non andate girando a craccare le wifi :)
E la Wpa?E la Wpa?

Perché sono cosi forti:Tutto a portata di SmartphoneTutto a portata di Smartphone

● I router di 44 provider risultano essere
vunerabili ad attacchi di questo tipo.
● Tra cui tutti I maggiori provider italiani
● In molti casi è impossibile cambiare la
password del wifi poiché le impostazioni del
router sono bloccate.
Quanto è diffusa la falla wifi?Quanto è diffusa la falla wifi?

Dopo la falla WPA possiamo sfruttarne qualcun
altra?
● Attacco “Payload”
E se non mi trovo nelle vicinanze del router?
● Attacco CSRF
Si ma come “entro” nel router?Si ma come “entro” nel router?

● Inviando un opportuno payload al router su una
socket raw è possibile accedere al pannello di
controllo avanzato e a TELNET (con relativa
shell unix a disposizione)
● Lanciando uname -a scoprirete il fantastico
sistema operativo closed-”amodoloro”-source
del router*
Il Payload “delle meraviglie”Il Payload “delle meraviglie”
*solo se uname è presente in
alternativa cat /proc/version

● Vi è un ulteriore vulnerabilità su una pagina cgi
del router che permette l'esecuzione di un
attacco Cross-site request forgery
Attraverso quest'attacco è possibile
● Abilitare Telnet (anche dall'esterno!!!)
● Modificare I server DNS
● E tanto altro...
CSRF: The Ghost AttackCSRF: The Ghost Attack

● Il parametro POST stack_set della pagina
admin.cgi permette la scrittura diretta di
impostazioni sul file di configurazione del router
(discuss.conf)
● Es. Passando alla pagina il parametro
stack_set=(set (0 (path(admin/telnets/disabled))
(set(disabled(0))) ) )
Abilitiamo Telnet!
CSRF: Nel dettaglioCSRF: Nel dettaglio

● Modifichiamo il server dns interno in modo che
reindirizzi Google a un evil-ip
CSRF: Scenario di attaccoCSRF: Scenario di attacco

● Impostare una password all'interfaccia web del
router
● Usare IP e Porte non standard per l'interfaccia
del router (Impossibile con router “Brandizzati”)
CSRF: Modalità di difesaCSRF: Modalità di difesa

● Solo alcune versioni e serie di router sono
vulnerabili a questi attacchi
● Potrebbero esserci vulnerabilità ancora non
scoperte?
● Non sempre tutti I router vengono aggiornati
all'ultima versione
Il mio router è una scolapasta?Il mio router è una scolapasta?

● Ad oggi sono presenti centinaia di falle nei
router dei maggiori
produttori(Dlink,Netgear,Belkin ecc)
● Molte falle sono state risolte con nuovi
aggiornamenti (chi li fa?) o con semplici tweak.
● Molti router però sono ancora vulnerabili!!
E I router Commerciali?E I router Commerciali?

Perché sono cosi forti:Troppe Vulnerabilità?Troppe Vulnerabilità?

Potere di Richard Matthew Stallman vieni a me
Allora non c'è salvezza?Allora non c'è salvezza?

OpenWrt è un sistema operativo embedded
basato su kernel linux e principalmente
utilizzato su dispositivi di rete.
OpenWrtOpenWrt

● l progetto fu inizialmente sviluppato per il solo
WRT54G per il quale Linksys rilascio i sorgenti.
● Un gruppo di sviluppatori decise dunque di
riscrivere il sistema da zero per la suddetta
piattaforma e così nel 2005 naque OpenWrt
OpenWrt:StoriaOpenWrt:Storia

I componenti principali di OpenWrt sono:
● Kernel Linux
● Util-Linux
● Uclibc
● Busybox
Tutti i componenti sono ottimizzati per le limitate
risorse hardware a disposizione
OpenWrt:Componenti PrincipaliOpenWrt:Componenti Principali

● Openwrt è configurabile attraverso una
command-line shell(ash) e attraverso 2
interfacce web: Luci e X-wrt
● Vi sono circa 4000 pacchetti installabili a
seconda delle varie architetture
● I pacchetti vengono gestiti dal package
manager opkg
OpenWrt:Nel dettaglioOpenWrt:Nel dettaglio

● Openwrt può essere installato su numerosi tipi
di device quali
router,gateway,cpe,antenne,smarphone(Neo
FreeRunner).
● Openwrt gira su architetture ARM (e la sua
variante little endian ARMel) e MIPS (con la sua
variante little endian MIPSel)
● Openwrt può essere eseguito anche su normali
computer basati su architettura x86
OpenWrt:PiattaformeOpenWrt:Piattaforme

● Andiamo sulla Table of Hardware e vediamo se
il nostro router è compatibile con OpenWrt
● Flashiamo il nuovo firmware
● Enjoy :)
Hack your router!Hack your router!

● Molti device usano driver closed, e dunque non
sono compatibili con OpenWrt o lo sono solo “in
parte”.
● Il vostro provider VINCOLA l'uso di alcuni
servizi al suo router proprietario (ex. Telefonia
Voip)
● I problemi aumentano con le connessioni in
VDSL
Hack your router!:ProblemiHack your router!:Problemi

● Tutti i telco nostrani che offrono la connessione
in VDSL (offerte “fibra”) rendono la vecchia
linea RTG una fantasmagorica linea VOIP
● Le credenziali voip della VOSTRA linea
telefonica non vi vengono fornite
● Se usate un router proprietario perdete la
telefonia
La questione VDSLLa questione VDSL

● Sniffare il traffico lato wan del vostro router e
catturare le credenziali
● Recuperare le credenziali dalla configurazione
del router (“Sbloccandolo”)
● Chiedere al vostro amico che lavora per la telco
XYZ
VDSL:Possibili (Pericolose)
Soluzioni
VDSL:Possibili (Pericolose)
Soluzioni

● Alcune di quelle azioni portano alla violazione
dei Termini di Servizio della vostra linea o del
comodato del vostro router
● Gli ISP vi vendono il prodotto non informandovi
che siete obbligati ad usare il loro router
Chi ha ragione e chi torto?Chi ha ragione e chi torto?

● Un gran numero di router che gestiscono il
traffico tra gli AS risulta essere vulnerabile.
● Le falle sono riconducibili alle applicazioni di
monitoraggio vecchie di 20 anni!
● Spesso è possibile trovare le credenziali di
accesso su Google!
Internet è gestita con router che si
bucano in 10 minuti
Internet è gestita con router che si
bucano in 10 minuti

● Fortunatamente molte falle sono accessibili
solo da reti interne.
● Queste falle rimangono comunque un
potenziale rischio di sicurezza e un ipotetico
attaccante potrebbe mettere fuori uso parti di
internet per qualche ora.
Perchè non accade nulla?Perchè non accade nulla?

● Affidiamo i nostri pacchetti a soluzioni closed
che potrebbero esporli ad occhi indesiderati.
● Non c'è consapevolezza dei rischi connessi ai
dispositivi di rete.
● L'Internet of Things sarà connesso a dispositivi
“vulnerabili”?
Conclusioni&RiflessioniConclusioni&Riflessioni

● NaLug
● Tutti gli amici de ilpuntotecnicoeadsl
Fonti:
www.ilpuntotecnicoeadsl.com
http://disse.cting.org/2012/09/02/alice-gate-agpf-csr
Riferimenti&RingraziamentiRiferimenti&Ringraziamenti

Il tuo router è sicuro?!

More Related Content

What's hot

Similar to Il tuo router è sicuro?!

Il tuo router è sicuro?!

Editor's Notes