{"id":24838,"date":"2021-06-02T14:17:38","date_gmt":"2021-06-02T12:17:38","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=24838"},"modified":"2021-06-02T14:17:38","modified_gmt":"2021-06-02T12:17:38","slug":"rsa2021-hijacked-router","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/rsa2021-hijacked-router\/24838\/","title":{"rendered":"I router sono l’anello debole dello smart working in sicurezza"},"content":{"rendered":"

Se parliamo di sicurezza informatica, l\u2019aspetto peggiore del passaggio in massa allo smart working \u00e8 stata la perdita di controllo sulle reti locali a cui si collegano le postazioni di lavoro. Particolarmente pericolosi a questo proposito sono i router domestici dei dipendenti, che hanno essenzialmente sostituito l\u2019infrastruttura di rete gestita normalmente dagli specialisti IT. Alla RSA Conference 2021<\/a>, nel loro intervento dal titolo All your LAN are belong to us. Managing the real threats to remote workers<\/a><\/em>. (\u201cTutte le vostre LAN ci appartengono. Gestire le vere minacce per i lavoratori da remoto\u201d), i ricercatori Charl van der Walt e Wicus Ross hanno spiegato in che modo i criminali informatici possono attaccare i computer aziendali servendosi dei router.<\/p>\n

Perch\u00e9 i router domestici dei dipendenti possono essere un bel problema?<\/h2>\n

Anche se le politiche di sicurezza aziendali si occupano dell\u2019aggiornamento del sistema operativo di ogni computer dell\u2019azienda e di tutte le altre impostazioni rilevanti, i router domestici non rientrerebbero comunque nel raggio di controllo degli amministratori di sistema aziendali. Per quanto riguarda gli ambienti di lavoro a distanza, chi si occupa di sicurezza IT in azienda non pu\u00f2 sapere quali altri dispositivi sono collegati a una rete, se il firmware del router \u00e8 aggiornato e se la password che lo protegge \u00e8 forte (e se l\u2019utente continua a utilizzare la password di fabbrica).<\/p>\n

Questa mancanza di controllo \u00e8 solo una parte del problema. Un numero enorme di router domestici e SOHO hanno vulnerabilit\u00e0 note che i criminali informatici possono sfruttare per ottenere il controllo completo del dispositivo, portando a enormi botnet IoT come Mirai, che raggruppano decine e talvolta anche centinaia di migliaia di router hackerati da utilizzare per una variet\u00e0 di scopi.<\/p>\n

A questo proposito, vale la pena di ricordare che ogni router \u00e8 essenzialmente un piccolo computer con una qualche distribuzione di Linux. I criminali informatici possono fare molto con un router hackerato. Descriveremo ora solo un paio di esempi presi dal report dei due ricercatori.<\/p>\n

Hackerare una connessione VPN<\/h2>\n

Lo strumento principale che le aziende usano per compensare gli ambienti di rete inaffidabili dei lavoratori in smart working \u00e8 servirsi di una VPN (rete privata virtuale). Le VPN offrono un canale cifrato attraverso il quale i dati viaggiano tra il computer e l\u2019infrastruttura aziendale.<\/p>\n

Molte aziende usano le VPN in modalit\u00e0 split tunneling:<\/em> il traffico che va verso i server dell\u2019azienda (come la connessione RDP, Remote Desktop Protocol), passa attraverso la VPN e tutto il resto del traffico passa attraverso la rete pubblica non cifrata, il che normalmente \u00e8 una buona opzione. Tuttavia, un criminale informatico che ha preso il controllo del router pu\u00f2 creare un percorso DHCP (Dynamic Host Configuration Protocol) e reindirizzare il traffico RDP al proprio server. Anche se questo non li avvicina alla decifrazione della VPN, possono creare una finta schermata di login per intercettare le credenziali di connessione RDP. I truffatori di ransomware amano usare i protocolli RDP<\/a>.<\/p>\n

Caricare un sistema operativo esterno<\/h2>\n

Un altro abile scenario di attacco ai router hackerati coinvolge lo sfruttamento della funzionalit\u00e0 PXE (Preboot Execution Environment). Le moderne schede di rete usano il PXE per caricare un sistema operativo sui computer in rete. In genere, la funzione \u00e8 disabilitata ma alcune aziende la usano, ad esempio, per ripristinare da remoto il sistema operativo di un dipendente in caso di guasto.<\/p>\n

Un criminale informatico con il controllo del server DHCP su un router pu\u00f2 fornire alla scheda di rete di una workstation l\u2019indirizzo di un sistema modificato per il controllo da remoto. \u00c8 improbabile che i dipendenti se ne accorgano e che sappiano cosa stia realmente accadendo (soprattutto se sono distratti dalle notifiche di installazione degli aggiornamenti). Nel frattempo, i criminali informatici hanno pieno accesso al file system.<\/p>\n

Come rimanere al sicuro<\/h2>\n

Per proteggere i computer dei dipendenti da quanto abbiamo descritto e da tecniche di attacco simili, vi consigliamo di seguire questi suggerimenti:<\/p>\n