Linux.Wifatch, il malware buono che veglia sul nostro router?

Linux.Wifatch, il malware buono che veglia sul nostro router?

Nel mare di codice malevolo presente in rete e nei nostri dispositivi, sembra che vi sia un'eccezione: Linux.Wifatch sembra in grado di proteggere in qualche modo alcuni router in cui è stato scovato, come se fosse un guardiano.

di pubblicato il nel canale Sicurezza
 
19 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Therinai05 Ottobre 2015, 22:07 #11
Originariamente inviato da: Manuel007
Io spero che tu sappia che il telnet è altamente insicuro, in quanto la password non viene criptata e qualsiasi furbone che si piazza con uno sniffer ti becca la pwd. E poi penso anche che tu sappia che esiste un'alternativa molto migliore: SSH, quindi per favore, la prossima volta che devi fare manutenzione, usa SSH e non telnet


E dove lo piazza lo sniffer il furbone di turno? Posso informarmi quanto vuoi ma non ce li metto io i soldi per creare intere infrastrutture che servono sa il cielo quanta gente. E informati bene anche tu, una volta che hai user e psw per accedere a un apparato cosa ci fai? Ma non scriverlo, riflettici tutto il tempo che ti serve...
bobafetthotmail05 Ottobre 2015, 22:19 #12
Se ho bisogno di collegarmi ad un apparato per manutenzione e questo è infetto da questa roba io non posso fare una mazza se non mandare un tecnico nella sede d'interesse e fargli sostituire l'apparato
uno degli scopi di questo malware è costringere le vittime ad usare un sistema sicuro.

Perchè se non capiscono da sole che usare telnet su internet è da incoscienti, inchiodarglielo è l'unica cosa che li convince.

E dove lo piazza lo sniffer il furbone di turno?
dove entra la connessione di rete verso il macchinario.

E informati bene anche tu, una volta che hai user e psw per accedere a un apparato cosa ci fai? Ma non scriverlo, riflettici tutto il tempo che ti serve...
Chiunque metta uno sniffer si assume che sappia cosa farci.
Poter controllare infrastrutture grosse alla bisogna è sempre utile o divertente.
Therinai05 Ottobre 2015, 22:27 #13
Originariamente inviato da: bobafetthotmail
uno degli scopi di questo malware è costringere le vittime ad usare un sistema sicuro.

Perchè se non capiscono da sole che usare telnet su internet è da incoscienti, inchiodarglielo è l'unica cosa che li convince.

dove entra la connessione di rete verso il macchinario.

Chiunque metta uno sniffer si assume che sappia cosa farci.
Poter controllare infrastrutture grosse alla bisogna è sempre utile o divertente.

Ma mica si accede da internet, c'è una vpn ovviamente, altrimenti veramente potrebbe accedervi chiunque.
quindi lo sniffing dove va fatto? Dal pc da dove effettuo l'accesso alla vpn?
bobafetthotmail05 Ottobre 2015, 23:02 #14
Originariamente inviato da: Therinai
Ma mica si accede da internet, c'è una vpn ovviamente, altrimenti veramente potrebbe accedervi chiunque.
Ehm, secondo me hai letto male l'articolo.

Il bersaglio qui sono sistemi networking e IoT gestiti da incoscienti o lasciati a configurazioni di default non sicure. COme avere un telnet per comunicare col router (da internet ma anche con una rete wifi magari con password deboli o recuperabili tramite altre falle tipo WPS), che è stupido.

Il malware blocca il telnet del router o di altri dispositivi di networking o IoT, oltre che sistemare altri problemi vari non menzionati.

"un "virus" che chiude da solo Telnet sul router "

Ha moduli vari a seconda del bersaglio, ma considerando il target dubito che faccia alcunchè a sistemi di infrastruttura o macchinari industriali, che si assume siano dietro una VPN/firewall appunto.

E comunque, se questo che è benigno riuscisse ad arrivare ai tuoi sistemi vuol comunque dire che ci arrivano anche quelli cattivi, quindi il problema resta la tua rete/VPN/firewall/chessò più che questo malware in sè.
Therinai05 Ottobre 2015, 23:15 #15
Originariamente inviato da: bobafetthotmail
Ehm, se c'è una VPN non c'è ragione di scaldarsi.
Quello tuo è un sistema sicuro perchè la telnet non vede internet neanche per sbaglio (e infatti mi sembrava strano).

Se proprio ti va di sfiga ti infetta il router, patcha qualche exploit e blocca il telnet del router (che sarà già disattivato spero), ma non blocca le porte telnet dal firewall, che gli frega del traffico telnet locale (o via VPN)?

Il bersaglio qui sono sistemi networking e IoT gestiti da incoscienti o lasciati a configurazioni di default non sicure, non credo che sia particolarmente interessato a fare alcunchè con macchinari industriali vari che va già grassa che non devi usare una seriale-over-ethernet

Ma telnet non può essere disattivato, è più conveniente investire in altri sistemi di sicurezza che rinunciarvi. Ma tecnicamente la macchina su rete su vpn può essere infettata da agenti esterni, poi il malintenzionato di turno non ci fa molto, ma il manutentore di turno ci perde tempo perché non può telnettare il suo apparato. Chiaro che se rendo telnettabile il mio router o il mio server casalingo sono un pirla... e poi al riguardo le mie conoscenze arrivano fino ad un certo punto, tipo io ho un modem router fornito dal mio provider, e che ne so se è telnettabile, e ne caso lo posso disattivare? A boh, che ne so
bobafetthotmail05 Ottobre 2015, 23:25 #16
Ehm, secondo me hai letto male l'articolo.

Il malware blocca il telnet del router o di altri dispositivi di networking o IoT, oltre che sistemare altri problemi vari non menzionati.

"un "virus" che chiude da solo Telnet sul router "

Ha moduli vari a seconda del bersaglio, ma considerando il target dubito che faccia alcunchè a sistemi di infrastruttura o macchinari industriali, che si assume siano dietro una VPN/firewall appunto.

E comunque, se questo che è benigno riuscisse ad arrivare ai tuoi sistemi vuol comunque dire che ci arrivano anche quelli cattivi, quindi il problema resta la tua rete/VPN/firewall/chessò più che questo malware in sè.
v10_star05 Ottobre 2015, 23:29 #17
a parte che qui si parlava appunto di ambiente tutt'al più soho, quindi stiamo calmini...

e aggiungo che ai pirla che mi chiedono di aprire http, telnet, ftp su reti di clienti per raggiungere i loro cacchio di dispositivi rispondo picche: non apro buchi perchè tu sei rimasto agli anni 90!

già il pptp l'ho bannato da mo, figuriamoci lasciare aperto il telnet
frankie06 Ottobre 2015, 00:00 #18
Come si fa a capire se si è infaetti?
Quale è la lista dei router coinvolta?
Cosa faccio se il mio produttore aggiorna i firmware per router come samsung fa per gli smartphone ?
Queste forse son le vere domande
bobafetthotmail06 Ottobre 2015, 07:49 #19
Originariamente inviato da: Therinai
poi il malintenzionato di turno non ci fa molto
In passato forse, adesso quelle chiavi di accesso (alla backdoor che installa nel sistema) vengono vendute sul mercato nero, insieme ai dati personali e a tutto il resto dei dati rubati.

Chi le compra in genere ha scopi più particolari che rompere le scatole ai manutentori.

Originariamente inviato da: frankie]tipo io ho un modem router fornito dal mio provider, e che ne so se è
Quindi sei te l'anello debole se ti connetti da lì, non dare colpe...
Lo sai configurare un router?
sennò vedi sotto per sostituirlo con qualcosa di più sicuro.

Come si fa a capire se si è infaetti?
Attiva il telnet del router e prova a connetterti in telnet, vedi se te lo blocca.

[QUOTE]Quale è la lista dei router coinvolta?
secondo me devi pagare symantec, questo tipo di notizie servono a far pubblicità a loro perchè aziende poi li assoldino come consulenti e li paghino per aiutarli a risolvere il problema riscontrato.

Cosa faccio se il mio produttore aggiorna i firmware per router come samsung fa per gli smartphone ?
Prendi un router puro (non un modem-router) supportato da dd-wrt (famoso firmware di terze parti tenuto aggiornato e con maggiori features dei firmware stock), e usi quello che hai ora solo come modem in bridging, o compri un modem ethernet da usare in bridging con questo router con dd-wrt.
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^