Linux.Wifatch, il malware buono che veglia sul nostro router?

[Redazione di Hardware Upg]

Link all'Articolo: http://www.hwupgrade.it/articoli/sic...ter_index.html

Nel mare di codice malevolo presente in rete e nei nostri dispositivi, sembra che vi sia un'eccezione: Linux.Wifatch sembra in grado di proteggere in qualche modo alcuni router in cui è stato scovato, come se fosse un guardiano.

Click sul link per visualizzare l'articolo.

[bobafetthotmail]

Quote:

Originariamente inviato da articolo

qualcuno abbia pensato ad una sorta di vigilante, alla vigilia della rivoluzione Internet Of Things

35 giorni di applausi ininterrotti e standing ovation.
Se mette un bottone per le donazioni lo pago anche.

Quote:

Originariamente inviato da articolo originale

However, cryptographic signatures are verified upon the use of the back doors to verify that commands are indeed coming from the malware creator. This would reduce the risk of the peer-to-peer network being taken over by others.

Le backdoor qui richiedono una chiave crittografica di accesso, non sono le solite NSA-friendly.

Quote:

Originariamente inviato da articolo

Linux.Wifatch, questo il nome dato al presunto codice malevolo, è stato trovato proprio nel router di un ricercatore

+

Quote:

Originariamente inviato da articolo originale

We believe that most of Wifatch’s infections are happening over Telnet connections to devices using weak credentials.

Niubbi... niubbi ovunque.

[Pino90]

Questo tizio sta facendo un favore all'umanità praticamente!

[phaolo]

Haha fantastico il virus benevolo XD
Peccato per la backdoor però..

[lupin 3rd]

a parte il fatto che con un minimo di esperienza chiunque capirebbe che è meglio chiudere telnet sull'esterno (e, al massimo, lasciarlo aperto solo in locale), quello che mi chiedo è: in ambito domestico che senso avrebbe tenere abilitato telnet?

e comunque non sono d'accordo con l'articolo con il fatto del reset: nella stragrande maggioranza dei router, essendo il firmware salvato su memoria flash, il codice non rimane fisso come nel caso dei pc (che hanno gli hard disk) ma rimane nella memoria RAM. A mio avviso è sufficiente spegnere e riaccendere il router.

[bobafetthotmail]

Quote:

Originariamente inviato da lupin 3rd

e comunque non sono d'accordo con l'articolo con il fatto del reset: nella stragrande maggioranza dei router, essendo il firmware salvato su memoria flash, il codice non rimane fisso come nel caso dei pc (che hanno gli hard disk) ma rimane nella memoria RAM. A mio avviso è sufficiente spegnere e riaccendere il router.

Flash != ROM.

Se pwni il firmware abbastanza da disattivare servizi e patcharlo, vuol dire che hai lo stesso accesso di scrittura che ha il firmware stesso.

Il grosso dei router hanno una partizione scrivibile della flash dove tengono i settaggi (strano eh). La chiamano NVRAM, e vari malware ci piazzano un loro script per avviarsi quando si avvia il router.

Se guardi nell'articolo originale, questo malware ha un modulo che setta certi dispositivi per riavviarsi ogni settimana, e lo scrittore specula che sia per difenderli in mancanza di armi migliori.

Quindi se si riavviano ogni settimana, e un riavvio leva questo malware "buono", cosa li riavvia a fare?

[zappy]

lo voglio, lo voglio!!!
come si fa a farsi infettare?

[zappy]

Quote:

Originariamente inviato da bobafetthotmail

Niubbi... niubbi ovunque.

effettivamente, complimenti al "ricercatore" ed a symantec...

[v10_star]

Quote:

Originariamente inviato da zappy

effettivamente, complimenti al "ricercatore" ed a symantec...

symantec, o meglio conosciuta come "il virus giallo" come non dimenticare il sav corporate

a parte tutto, apprezzabile l'idea di chiudere il telnet, di portscanner che si imputano sulla 23 ce ne sono a bizzeffe su internet, quasi più del protocollo sip e se l'utonto non cambia la password di default beccarla da dizionario è solo una questione di (poco) tempo

[Therinai]

UN virus che chiude la sessione telnet sarebbe buono? Ma prima di scrivere certe scemenze vi scoccia scrivere telnet su google? Se, tra le altre milla mila cose, si possono pubblicare articoli e post è grazie a telnet, anche nel 2015!
Se ho bisogno di collegarmi ad un apparato per manutenzione e questo è infetto da questa roba io non posso fare una mazza se non mandare un tecnico nella sede d'interesse e fargli sostituire l'apparato... peccato che per far ciò ci vogliano come minimo ore! Mah, mi chiedo come si possa arrivare ad esternare tali assurdità. Per chi non ha ben chiaro di cosa si parli è un po' come dire ammazzo il segugio perché non mi attacchi le zecche, poi le prede me le vado a cercare per chilometri di sottobosco! Oppure mi amputo previamente un braccio perché se mi entra una scheggia sotto un unghia potrebbe potenzialmente andare in cancrena! Oppure do fuoco allo smartphone perché integra un gps e mi rende sempre localizzabile! E giah che ci siete staccate la targa dall'automobile! Ma che razza di scemenza...

[Manuel007]

Quote:

Originariamente inviato da Therinai

UN virus che chiude la sessione telnet sarebbe buono? Ma prima di scrivere certe scemenze vi scoccia scrivere telnet su google? Se, tra le altre milla mila cose, si possono pubblicare articoli e post è grazie a telnet, anche nel 2015!
Se ho bisogno di collegarmi ad un apparato per manutenzione e questo è infetto da questa roba io non posso fare una mazza se non mandare un tecnico nella sede d'interesse e fargli sostituire l'apparato... peccato che per far ciò ci vogliano come minimo ore! Mah, mi chiedo come si possa arrivare ad esternare tali assurdità.

Io spero che tu sappia che il telnet è altamente insicuro, in quanto la password non viene criptata e qualsiasi furbone che si piazza con uno sniffer ti becca la pwd. E poi penso anche che tu sappia che esiste un'alternativa molto migliore: SSH, quindi per favore, la prossima volta che devi fare manutenzione, usa SSH e non telnet

[Therinai]

Quote:

Originariamente inviato da Manuel007

Io spero che tu sappia che il telnet è altamente insicuro, in quanto la password non viene criptata e qualsiasi furbone che si piazza con uno sniffer ti becca la pwd. E poi penso anche che tu sappia che esiste un'alternativa molto migliore: SSH, quindi per favore, la prossima volta che devi fare manutenzione, usa SSH e non telnet

E dove lo piazza lo sniffer il furbone di turno? Posso informarmi quanto vuoi ma non ce li metto io i soldi per creare intere infrastrutture che servono sa il cielo quanta gente. E informati bene anche tu, una volta che hai user e psw per accedere a un apparato cosa ci fai? Ma non scriverlo, riflettici tutto il tempo che ti serve...

[bobafetthotmail]

Quote:

Se ho bisogno di collegarmi ad un apparato per manutenzione e questo è infetto da questa roba io non posso fare una mazza se non mandare un tecnico nella sede d'interesse e fargli sostituire l'apparato

uno degli scopi di questo malware è costringere le vittime ad usare un sistema sicuro.

Perchè se non capiscono da sole che usare telnet su internet è da incoscienti, inchiodarglielo è l'unica cosa che li convince.

Quote:

E dove lo piazza lo sniffer il furbone di turno?

dove entra la connessione di rete verso il macchinario.

Quote:

E informati bene anche tu, una volta che hai user e psw per accedere a un apparato cosa ci fai? Ma non scriverlo, riflettici tutto il tempo che ti serve...

Chiunque metta uno sniffer si assume che sappia cosa farci.
Poter controllare infrastrutture grosse alla bisogna è sempre utile o divertente.

[Therinai]

Quote:

Originariamente inviato da bobafetthotmail

uno degli scopi di questo malware è costringere le vittime ad usare un sistema sicuro.

Perchè se non capiscono da sole che usare telnet su internet è da incoscienti, inchiodarglielo è l'unica cosa che li convince.

dove entra la connessione di rete verso il macchinario.

Chiunque metta uno sniffer si assume che sappia cosa farci.
Poter controllare infrastrutture grosse alla bisogna è sempre utile o divertente.

Ma mica si accede da internet, c'è una vpn ovviamente, altrimenti veramente potrebbe accedervi chiunque.
quindi lo sniffing dove va fatto? Dal pc da dove effettuo l'accesso alla vpn?

[bobafetthotmail]

Quote:

Originariamente inviato da Therinai

Ma mica si accede da internet, c'è una vpn ovviamente, altrimenti veramente potrebbe accedervi chiunque.

Ehm, secondo me hai letto male l'articolo.

Il bersaglio qui sono sistemi networking e IoT gestiti da incoscienti o lasciati a configurazioni di default non sicure. COme avere un telnet per comunicare col router (da internet ma anche con una rete wifi magari con password deboli o recuperabili tramite altre falle tipo WPS), che è stupido.

Il malware blocca il telnet del router o di altri dispositivi di networking o IoT, oltre che sistemare altri problemi vari non menzionati.

"un "virus" che chiude da solo Telnet sul router "

Ha moduli vari a seconda del bersaglio, ma considerando il target dubito che faccia alcunchè a sistemi di infrastruttura o macchinari industriali, che si assume siano dietro una VPN/firewall appunto.

E comunque, se questo che è benigno riuscisse ad arrivare ai tuoi sistemi vuol comunque dire che ci arrivano anche quelli cattivi, quindi il problema resta la tua rete/VPN/firewall/chessò più che questo malware in sè.

[Therinai]

Quote:

Originariamente inviato da bobafetthotmail

Ehm, se c'è una VPN non c'è ragione di scaldarsi.
Quello tuo è un sistema sicuro perchè la telnet non vede internet neanche per sbaglio (e infatti mi sembrava strano).

Se proprio ti va di sfiga ti infetta il router, patcha qualche exploit e blocca il telnet del router (che sarà già disattivato spero), ma non blocca le porte telnet dal firewall, che gli frega del traffico telnet locale (o via VPN)?

Il bersaglio qui sono sistemi networking e IoT gestiti da incoscienti o lasciati a configurazioni di default non sicure, non credo che sia particolarmente interessato a fare alcunchè con macchinari industriali vari che va già grassa che non devi usare una seriale-over-ethernet

Ma telnet non può essere disattivato, è più conveniente investire in altri sistemi di sicurezza che rinunciarvi. Ma tecnicamente la macchina su rete su vpn può essere infettata da agenti esterni, poi il malintenzionato di turno non ci fa molto, ma il manutentore di turno ci perde tempo perché non può telnettare il suo apparato. Chiaro che se rendo telnettabile il mio router o il mio server casalingo sono un pirla... e poi al riguardo le mie conoscenze arrivano fino ad un certo punto, tipo io ho un modem router fornito dal mio provider, e che ne so se è telnettabile, e ne caso lo posso disattivare? A boh, che ne so

[bobafetthotmail]

Ehm, secondo me hai letto male l'articolo.

Il malware blocca il telnet del router o di altri dispositivi di networking o IoT, oltre che sistemare altri problemi vari non menzionati.

"un "virus" che chiude da solo Telnet sul router "

Ha moduli vari a seconda del bersaglio, ma considerando il target dubito che faccia alcunchè a sistemi di infrastruttura o macchinari industriali, che si assume siano dietro una VPN/firewall appunto.

E comunque, se questo che è benigno riuscisse ad arrivare ai tuoi sistemi vuol comunque dire che ci arrivano anche quelli cattivi, quindi il problema resta la tua rete/VPN/firewall/chessò più che questo malware in sè.

[v10_star]

a parte che qui si parlava appunto di ambiente tutt'al più soho, quindi stiamo calmini...

e aggiungo che ai pirla che mi chiedono di aprire http, telnet, ftp su reti di clienti per raggiungere i loro cacchio di dispositivi rispondo picche: non apro buchi perchè tu sei rimasto agli anni 90!

già il pptp l'ho bannato da mo, figuriamoci lasciare aperto il telnet

[frankie]

Come si fa a capire se si è infaetti?
Quale è la lista dei router coinvolta?
Cosa faccio se il mio produttore aggiorna i firmware per router come samsung fa per gli smartphone ?
Queste forse son le vere domande

[bobafetthotmail]

Quote:

Originariamente inviato da Therinai

poi il malintenzionato di turno non ci fa molto

In passato forse, adesso quelle chiavi di accesso (alla backdoor che installa nel sistema) vengono vendute sul mercato nero, insieme ai dati personali e a tutto il resto dei dati rubati.

Chi le compra in genere ha scopi più particolari che rompere le scatole ai manutentori.

Quote:

Originariamente inviato da frankie

tipo io ho un modem router fornito dal mio provider, e che ne so se è telnettabile, e ne caso lo posso disattivare? A boh, che ne so

Quindi sei te l'anello debole se ti connetti da lì, non dare colpe...
Lo sai configurare un router?
sennò vedi sotto per sostituirlo con qualcosa di più sicuro.

Quote:

Come si fa a capire se si è infaetti?

Attiva il telnet del router e prova a connetterti in telnet, vedi se te lo blocca.

Quote:

Quale è la lista dei router coinvolta?

secondo me devi pagare symantec, questo tipo di notizie servono a far pubblicità a loro perchè aziende poi li assoldino come consulenti e li paghino per aiutarli a risolvere il problema riscontrato.

Quote:

Cosa faccio se il mio produttore aggiorna i firmware per router come samsung fa per gli smartphone ?

Prendi un router puro (non un modem-router) supportato da dd-wrt (famoso firmware di terze parti tenuto aggiornato e con maggiori features dei firmware stock), e usi quello che hai ora solo come modem in bridging, o compri un modem ethernet da usare in bridging con questo router con dd-wrt.