Come proteggere il tuo router dagli attacchi

Il tuo router — ovvero la scatola relegata in un angolo di casa tua che ti garantisce l’accesso a internet — è per molti versi decisamente più importante del tuo laptop o del tuo cellulare. Anche se non immagazzina direttamente nessuna delle tue informazioni personali, i tuoi dati sensibili lo attraversano ogni volta che accedi a qualunque servizio online, e possono essere rubati o manipolati se il router viene hackerato.

Un router compromesso può anche diventare una piattaforma da cui attaccare altri dispositivi connessi alla tua rete, come telefono o computer, o per dare il via a un attacco DoS contro qualche sito internet. Ciò potrebbe far finire il tuo indirizzo IP su una lista nera, e rallentare la connessione.

Essendo direttamente esposto al mondo esterno, il router è frequentemente bersaglio di attacchi, anche se invisibili. E a differenza del tuo telefono o del tuo portatile, il router non ha antivirus o altri software di sicurezza a proteggerlo.

Sfortunatamente, la maggior parte dei router sono scatole nere, e gli utenti hanno pochissimo controllo sulla loro configurazione, specialmente quando si parla di dispositivi forniti dai provider ai loro clienti. Ciò detto, ci sono alcune cose che un utente può fare per ridurre notevolmente il rischio di diventare vittima di qualche attacco.

Molte di queste procedure sono abbastanza semplici, ma altre richiedono competenze informatiche più avanzate. Per gli utenti meno abili, la soluzione più semplice potrebbe essere l’acquisto di router sicuri con aggiornamenti automatici, come Eero, Google OnHub, Norton Core, Bitdefender Box, o F-Secure Sense. Purtroppo però, questi router sono costosi, spesso richiedono degli abbonamenti annuali per certi servizi, e il loro livello di personalizzazione è piuttosto limitato. Inoltre, gli utenti di questi router devono necessariamente affidarsi alla buona fede dei venditori.

Se non hai intenzione di acquistare uno di questi modelli, o se possiedi già un router, qui troverai una guida dettagliata che ti mostrerà come metterlo in sicurezza, passo dopo passo.

Scegliere un router
Se preferisci optare per un router più economico o un modem più facilmente personalizzabile, evita di acquistarlo direttamente dal tuo provider. Questi dispositivi sono di solito prodotti in massa da compagnie esterne, e provvisti di firmware che il provider potrebbe non controllare. Le falle nella sicurezza possono quindi richiedere molto tempo per essere risolte, e in qualche caso non esserlo mai.

Alcuni provider obbligano gli utenti a usare dei dispositivi di gateway forniti da loro, perché già preconfigurati per assistenza in remoto; sono molti i casi in cui queste funzioni di gestione in remoto sono state implementate malamente, facilitando la vita agli hacker. Inoltre, gli utenti non possono disattivare gli accessi in remoto perché spesso non hanno il pieno controllo di questi dispositivi.

Le normative in merito cambiano da paese a paese. Negli Stati Uniti, le norme della Federal Communications Commission (FCC) in teoria impediscono ai provider di obbligare i propri utenti ad usare un modem o router in particolare, ma può comunque succedere. Ci sono anche dei casi in cui i provider permettono agli utenti di usare dispositivi a loro scelta, senza però specificare che alcuni servizi, tipo i VoIP, funzionano solo sui router da loro forniti.

Se il tuo provider non ti permette di usare un dispositivo di tua scelta sul suo network, chiedi almeno se il loro può essere configurato in modalità bridge per permetterti di installare anche il tuo router. La modalità bridge disabilita le funzioni di routing del loro dispositivo in favore del tuo. Inoltre, chiedi di poter disabilitare — se presente — il servizio di gestione in remoto.

Il mercato per i router domestici e per piccoli uffici è molto vario, perciò la scelta del giusto router dipenderà da vari fattori: il budget, la potenza di segnale wireless necessaria, il tipo di connessione a internet, ed eventuali funzioni aggiuntive, come le porte USB per collegare altri dispositivi di immagazzinamento dati, etc. In ogni caso, una volta scelti i candidati più papabili, è importante scegliere un produttore che prenda sul serio la questione della sicurezza.

Fai ricerche sulla storia della compagnia in questo ambito: come si è comportata in passato, quando sono state scoperte delle vulnerabilità nei suoi prodotti? Quanto velocemente rilascia le patch? Offrono servizi di assistenza dedicata esclusivamente ai reclami sulla sicurezza? Attua una politica di trasparenza sulle vulnerabilità o un programma bug bounty? Usa Google per cercare cose tipo “vulnerabilità dei router [nome del produttore]” o “exploit su router [nome del produttore]” e leggi i report degli esperti di sicurezza che hanno interagito con queste compagnie. Fai attenzione alle tempistiche con cui le compagnie hanno sviluppato e rilasciato patch una volta segnalata una vulnerabilità.

È importante anche riuscire a determinare, se possibile, per quanto tempo un dispositivo continuerà a ricevere aggiornamenti firmware una volta acquistato. Il ciclo vitale di questi prodotti sta diventando sempre più breve, e rischi di comprare un prodotto in vendita da un paio d’anni che diventerà obsoleto in un anno, o addirittura qualche mese. Non è una prospettiva consigliabile con un router.

Sfortunatamente, i produttori raramente pubblicano informazioni del genere sui loro siti, perciò per ottenerle potrebbe essere necessario chiamare o mandare una mail al servizio clienti della compagnia della tua zona, dato che garanzie e modelli possono differire. Puoi anche dare uno sguardo alla cronologia degli aggiornamenti firmware del router che intendi comprare, o di un router della stessa linea di prodotti, per avere un’idea della frequenza con cui la compagnia fornisce gli update.

Scegli un dispositivo su cui poter operare con firmware open-source come OpenWrt/LEDE, perché è sempre bello avere più opzioni e questi progetti di terze parti sono una bomba nel fornire supporto a dispositivi più vecchi e non più aggiornati dai produttori. Controlla la lista dei dispositivi che supportano queste realtà — OpenWrt, LEDE, DD-WRT, AdvancedTomato, Asuswrt-Merlin — per fare una scelta più informata.

Una volta scelto il router, arriva il momento della configurazione. Inizia con leggendo il manuale per capire come connetterti al dispositivo e accedere all’interfaccia amministratore. Solitamente, si ha bisogno di un computer e di un browser.

Cambia la password dell’admin
Lasciare il proprio router con la password di default è uno dei modi più semplici per diventare vittima di un attacco. Gli hacker usano botnet per cercare router poco sicuri e provano ad accedervi con le credenziali di default o con password deboli e facili da indovinare. Scegli una password complessa e, se possibile, cambia anche lo username dell’admin.

L’anno scorso, un botnet chiamata Mirai ha preso il controllo di oltre 250.000 router, telecamere IP e altri dispositivi simili connettendosi tramite Telnet e SSH, grazie a credenziali deboli. Il botnet è stato poi usato per dare il via a uno degli attacchi DoS peggiori della storia. Più recentemente, un clone di Mirai ha infettato oltre 100.000 modelli DSL in Argentina e altri paesi.

Rendi sicura l’interfaccia di amministrazione
Molti router permettono agli utenti di esporre l’interfaccia di amministrazione su internet per la gestione in remoto, e qualche dispositivo più vecchio non solo lo permette ma lo rende un’opzione di default. Questa è una pessima idea anche una volta cambiata la password, perché molte delle vulnerabilità dei router sono proprio nelle interfacce di amministrazione online.

Se non puoi farne a meno, informati su come installare un server VPN per connetterti in sicurezza al tuo network e gestire le operazioni tramite quella connessione. Molti router possono fungere da server VPN, ma a meno che tu non sappia configurare i VPN, affidarti a questa funzione potrebbe rendere il tuo dispositivo più suscettibile ad attacchi.

Al contrario di come molti sembrano credere, il dispositivo non può necessariamente considerarsi sicuro se l’interfaccia amministrativa non è esposta. Già da qualche anno, molti attacchi sono stati lanciati attraverso tecniche CSRF (Cross-Site Request Forgery). Questi attacchi dirottano il browser degli utenti che capitano su siti compromessi, e lo costringono a inviare richieste non autorizzate ai router tramite network.

Nel 2015, un ricercatore noto come Kafeine ha identificato un attacco CSFR su larga scala, lanciato attraverso pubblicità fittizie su siti reali. Il codice dell’attacco era in grado di colpire oltre 40 modelli diversi di router, di vari produttori, e ha tentato di cambiare le loro configurazioni DNS (Domain Name System) tramite exploit o credenziali amministrative fallaci.

Sostituendo i server DNS configurati sui router con server controllati da loro, gli hacker possono indirizzare gli utenti verso versioni fittizie dei siti che cercano di visitare. È un attacco pericoloso, perché impossibile da identificare dalla barra degli indirizzi, a meno che il sito non usi il protocollo HTTPS. Ma anche in quel caso, gli hacker potrebbero usare altre tecniche, come lo stripping TLS/SSL, e molti utenti potrebbero non notare la mancanza del lucchetto verde. Nel 2014, attacchi di questo tipo sono stati usati per trafugare le credenziali bancarie di utenti in Polonia e Brasile.

Gli attacchi CSRF solitamente cercano di localizzare i router con indirizzi IP molto comuni, come 193.168.0.1 o 192.168.1.1, che i produttori configurano di default. In ogni caso, gli utenti possono cambiare l’indirizzo IP del loro router in altro, per esempio 192.168.33.1 o addirittura 192.168.33.22. Non c’è nessuna ragione tecnica per cui il router non possa usare un indirizzo diverso dal primo fornito dal netblock IP, e questo semplice cambiamento può fermare molti attacchi CSRF.

Ci sono anche altre tecniche che gli hacker potrebbero combinare con il CSRF per scoprire l’indirizzo LAN IP di un router, anche se non si tratta di quello di default. Tuttavia, alcuni router permettono di limitare l’accesso alle interfacce di amministrazione a indirizzi IP sconosciuti.

Se questa opzione è disponibile, puoi configurare gli indirizzi a cui è permesso l’accesso, anche se diversi da quelli automaticamente assegnati al tuo computer tramite il Dynamic Host Configuration Protocol (DHCP). Per esempio, configura il DHCP in modo che ti fornisca indirizzi dal 192.168.33.50 al 192.168.100, ma specifica che solo l’indirizzo 192.168.33.101 può accedere all’interfaccia amministrativa.

Questo indirizzo non sarà mai assegnato automaticamente a un dispositivo, ma potrai configurare manualmente il tuo computer perchè lo usi quando avrai bisogno di accedere alle impostazioni del router. Dopo aver fatto le tue modifiche, basterà reimpostare l’assegnazione automatica tramite DHCP.

Inoltre, se possibile, configura l’interfaccia del router in modo che utilizzi il protocollo HTTPS, e accedi alla stessa usando sempre la modalità incognito, così che nessuna sessione autenticata che potrebbe essere sfruttata da un CSRF rimanga attiva nel browser, e non consentire la memorizzazione di username e password.

Disattiva i servizi a rischio
Servizi come Telnet e SSH (Secure Shell), che forniscono accesso da linea di comando ai dispositivi, non dovrebbero mai essere esposti ad internet, e dovrebbero anche essere scollegati dal network se non strettamente necessari. Più in generale, ogni servizio che non viene usato dovrebbe essere disattivato, per ridurre le possibilità di attacco.

Nel corso degli anni, i ricercatori in materia di sicurezza informatica hanno trovato su router accessibili via Telnet o SSH molti account “backdoor” non registrati che garantivano il completo controllo di questi dispositivi. Dal momento che non c’è modo per l’utente medio di stabilire se nel proprio router esistano o meno account di questo genere, disattivare questi servizi è la soluzione migliore.

Un altro servizio potenzialmente problematico è l’Universal Plug and Play (UPnP), che permette ai dispositivi di rilevarsi a vicenda sui network, condividendo le loro configurazioni per poter installare automaticamente servizi di condivisione dati e streaming multimediale.

Molte vulnerabilità di questo tipo sono state trovate nei router domestici negli ultimi anni, permettendo attacchi anche di grave entità. Come per Telnet e SSH, servizi di questo tipo non dovrebbero mai essere esposti alla rete, e disattivati in toto se non assolutamente necessari. Non c’è un modo semplice per capire se il tuo UPnP viene utilizzato da altri dispositivi sul network per creare delle falle nel firewall del router, ed è così che molte videocamere IP, baby monitor, e simili compaiono su internet senza che i loro proprietari se ne accorgano. Altri servizi suscettibili di vulnerabilità, che dovrebbero essere subito disinstallati, sono il Simple Network Management Protocol (SNMP), l’Home Network Administration Protocol (HNAP) e il Costumer Premises Equipment WAN Management Protocol (CWMP), noto anche come TR-069.

SNMP è usato più che altro nelle grandi aziende, perciò molti router domestici non hanno questa funzione, ma qualcuno sì, in particolar modo quelli forniti direttamente dai provider. Nel 2014, alcuni ricercatori Rapid7 hanno scoperto falle SNMP in quasi mezzo milione di dispositivi, e ad aprile due ricercatori hanno scoperto una vulnerabilità SNMP in 78 modelli di modem di 19 produttori diversi, inclusi Cisco, Technicolor, Motorola, D-Link e Thomson. Quel singolo difetto avrebbe potuto permettere a molti hacker di accedere ad informazioni sensibili e password Wi-Fi di vari dispositivi, e modificare la loro configurazione.

HNAP è un protocollo amministrativo che si trova solo nei dispositivi di alcuni produttori. Nel 2010, un gruppo di ricercatori ha trovato falle di questo tipo in alcuni router D-Link, e nel 2015 un worm chiamato The Moon ha usato informazioni rubate grazie ad HNAP per infettare router Linksys grazie ad un’altra vulnerabilità di sistema. CWMP o TR-069 è un protocollo di gestione in remoto usato dai provider, e difetti d’installazione sono stati usati da Mirai l’anno scorso per infettare o mandare in crash modem DSL in Irlanda, Regno Unito e Germania. Sfortunatamente, non c’è solitamente modo per l’utente di disattivare questo protocollo, cosa che suggerisce ancora una volta di evitare i router forniti dai provider.

Abbiamo incontrato Salvatore Aranzulla, il leader italiano dei tutorial tecnologici, in un contesto fuori dall'ordinario: il laboratorio di una pasticceria milanese.

Una cosa è certa: gli hacker sempre più spesso attaccano i router da network locali, usando computer o cellulari infetti come piattaforma di lancio. Negli ultimi anni i ricercatori hanno trovato programmi malware in Windows e Android, progettati specificatamente per hackerare router collegati a network locali. Ciò è molto utile per gli hacker, perché i dispositivi infetti vengono collegati dai loro proprietari a network diversi, garantendo accesso a router altrimenti sicuri.

La società di sicurezza McAfee ha trovato anche un trojan bancario chiamato Pinkslipbot, che trasforma i computer infetti in server proxy accessibili, tramite UPnP, direttamente da internet, per automatizzare l’inoltro di informazioni sensibili.

I documenti Vault7 pubblicati da WikiLeaks quest’anno descrivono una serie di strumenti, a quanto pare utilizzati dalla CIA per hackerare i router e sostituire il loro firmware con uno progettato per spiare sul traffico dati. Tra questi, un exploit chiamato Tomato, che può estrapolare la password amministrativa di un router tramite UPnP, e un firmware chiamato CherryBlossom, che funzionerebbe sui router prodotti da 10 diverse aziende.

Sfortunatamente, durante la produzione molte aziende non includono gli attacchi da network locale nei loro test di sicurezza, lasciando quindi ampio spazio di manovra a varie tipologie di hacker. Perciò spesso tocca all’utente determinare quali servizi siano o meno attivi, e disattivarli quando possibile.

Gli utenti posso monitorare il loro router all’interno del loro network, cercando falle di ogni tipo, con molti strumenti. Uno dei più popolari è Nmap, la cui interfaccia grafica viene chiamata Zenmap. Fare la stessa cosa al dir fuori del LAN è più complesso, perché si potrebbe andare incontro a parecchie beghe legali in molte giurisdizioni. Non è raccomandabile usare il proprio computer per questo tipo di operazioni, ma si possono usare servizi online come ShieldsUP o Pentest-Tools.com che lo fanno al posto tuo.

Metti in sicurezza il tuo network Wi-FI
Quando arriverà il momento di configurare la rete, scegli una passphrase complessa, nota anche come Pre-shared Key (PSK) – considera un minimo di 12 caratteri alfanumerici e simboli speciali – e usa sempre il protocollo di sicurezza WPA2 (Wi-Fi Protected Access II). WPA e WEP non sono sicuri, e non andrebbero mai usati.

Disattiva il Wi-Fi Protected Setup (WPS), una funzione che permette ai dispositivi di connettersi al network grazie a un PIN stampato su un adesivo o schiacciando fisicamente un pulsante sul router. Alcune di queste installazioni sono suscettibili di attacco, e non è facile stabilire quali.

Alcuni router offrono l’opzione di creare un network ospiti isolato dal resto del LAN, che puoi usare per permettere ad amici ed altri visitatori di usare la tua connessione senza rendere nota la tua password Wi-Fi. Questi ospiti potrebbero anche non avere cattive intenzioni, ma i loro dispositivi potrebbero essere infetti, perciò non è una buona idea permettergli l’accesso all’intera rete. Dal momento che i loro dispositivi potrebbero essere usati anche per attaccare direttamente il tuo router, sarebbe meglio se non usassero per nulla la tua connessione. Ma forse potrebbe essere un tantino difficile da spiegare a loro.

Aggiorna il firmware del tuo router
Pochissimi router sono completamente aggiornati in automatico, ma alcuni permettono di controllare manualmente gli aggiornamenti disponibili o notificano via e-mail la disponibilità di nuovi aggiornamenti. Sfortunatamente, queste funzioni potrebbe non funzionare più in futuro, quando i produttori effettueranno dei cambiamenti sui loro server e URL senza prendere in considerazione i modelli più vecchi. Perciò, è sempre meglio controllare periodicamente il sito del produttore per gli aggiornamenti.

Per gli esperti
Se disabiliti l'UPnP ma desideri comunque che un servizio di LAN sia accessibile da internet – per esempio un server FTPS (FTP Secure) sul tuo computer domestico – dovrai installare manualmente la funzione tra le impostazioni del tuo router. Nel caso, dovresti seriamente prendere in considerazione di restringere il campo di indirizzi IP a cui è permesso connettersi al servizio, visto che molti router permettono di farlo. Inoltre, non dimenticare i rischi del rendere questi servizi accessibili dall’esterno, specie quando non criptano il traffico.

Se non lo usi per gli ospiti, il network ospite del tuo router può essere utile per separare alcuni dispositivi dal tuo LAN. Molti possono essere gestiti da app o cloud, per cui non hanno bisogno di una linea diretta con il tuo telefono dopo la configurazione iniziale.

Fare questo protegge il tuo computer da dispositivi più vulnerabili e i dispositivi più vulnerabili dal tuo computer, nel caso diventi infetto. Ovviamente, se decidessi di usare così il tuo network ospite, sarebbe meglio cambiare la password e smettere di condividerlo con altre persone.

Altre procedure simili possono essere portate a termine tramite i VLAN (virtual local area network), ma non sempre questa funzione è disponibile nei router domestici, a meno che non si appoggino a firmware come OpenWRT/LEDE, DD-WRT o AdvancedTomato. Questi sistemi operativi a base Linux per i router sbloccano funzionalità avanzate di network, e usarli potrebbe migliorare notevolmente la sicurezza del tuo dispositivo, perché i loro sviluppatori tendono a migliorarli più in fretta dei produttori di router.

Tuttavia, è bene ricordare che usare un firmware esterno su un router sicuramente ne annullerà la garanzia, e se non usato correttamente, potrebbe anche rendere il dispositivo meno sicuro di prima. Non provarci se non hai la giusta esperienza e la piena comprensione del rischio in gioco.

Seguire le raccomandazioni di questa guida ridurrà significativamente le possibilità che il tuo router diventi vittima di attacchi automatici, o venga usato per lanciare attacchi DDoS. Ovviamente, se un sofisticato hacker con avanzate conoscenze e abilità dovesse decidere di prendersela proprio con te, ci sarebbe ben poco da fare. Ma perché non rendergli la cosa un po’ più difficile?

Ringraziamenti speciali vanno a Jacob Holcomb e Rick Ramgattie di Independent Security Evaluators, e Craig Young di Tripwire, per aver revisionato le parti tecniche della guida e aver fornito i loro consigli.