Home / Modem router Adsl / Router adsl: tutti spiati con la backdoor

Router adsl: tutti spiati con la backdoor

Router adsl: tutti spiati con la backdoor

Oggi vogliamo raccontarvi una storia degna di un romanzo cyberpunk, ma badate bene: tutto e successo (e accade) davvero!

Nell’ormai lontano settembre 2007, quasi sette anni fa un giovane programmatore, per fare pratica con la gestione delle porte TCP, decide di scrivere uno scanner, ossia on programma che contatta tutte le porte di un certo dispositivo per verificare quasi di queste siano aperte o meno.

In pratica, vuole realizzare una propria versione di Nmap (http://nmap.org).

Scritto il codice, ovviamente decide di provarlo.

Decide di testarlo sul proprio router, per verificare quali porte siano aperte verso la WAN, cioè verso l’esterno (e dunque accessibili a chiunque, da qualsiasi parte del mondo).

A questo punto nota qualcosa di strano: oltre alle classiche porte aperte, come la 60 (per accedere ai server Web), la 21 (per lo scambio file via FTP) ed altre standard, compare una fantomatica porta 32764.

Fa una ricerca in Rete, ma nessuno sembra conoscere l’utilità di questa porta che, tra 1’altro, non si può nemmeno chiudere!

Chiede aiuto sul forum Linuxquestions.org, ma nessuno ha la più pallida idea di cosa si tratti.

La questione, dunque, cade ben presto nel dimenticatoio, visto chc nessuno è in grado di dare una risposta, ed il codice sorgente del firmware (il sistema operativo) del router non è stato rilasciato dal produttore.

Sei anni ed alcuni mesi più tardi l’hacker Eloi Vanderbeken, che si occupa di reverse engineering, si trova a casa propria, seduto davanti al computer con un router Linksys «AG200G.

Un po’ di tempo prima, aveva inserito una password per l’accesso all’interfaccia Web del router e, essendo paranoico come tutti gli esperti di sicurezza informatica, ne aveva scelta una piuttosto lunga e complessa.

Il problema è che in questo momento non riesce a ricordarla: ha hisogno di modificare le impostazioni del router per potersi connettere ad Internet, però non vuole resettarlo, perderebbe le miriadi di impostazioni settate con fatica.

Più per per non lasciare nulla di intentato, piuttosto che credendo di ottenere davvero qualcosa, esegue una scansions delle porte del router: in fondo, la porta 23 di telnet potrebbe essere ancora aperta e, probabilmente, accessibile da rete locale senza bisogno di inserire password.

Nell’elenco che Nmap gli restituisce, però, appare il misterioso numero 32764.

Eloi non ha la più pallida idea di cosa si tratti, quindi prova ad aprire con il browser web la pagina relativa a questa porta, cioè scrive nella barra dell’indirizzo 192.168.1.1:32764.

Anche provandoci più volte ottiene sempre una pagina bianca con la parola ScMM seguita da alcuni caratteri casuali.

La questione comincia a farsi interessante: cosa significano quelle strane lettere? E, sopratttttto, a Cosa servono?

Appena Eloi riesce ad ottenere una connessione internet, comincia a fare qualche ricerca.

Incappa nel forum Linuxquestions.org, e in un paio di altri siti che si pongono la stessa domanda, ma finora nessuno sembra avere capito cosa stia succedendo.

Decide quindi di analizzare il codice binario del firmware del router per cercare riferimenti alla porta TCP 32764.

Il problema, infatti, e che Linksys non ha rilasciato i sorgenti del sistema operativo e purtroppo i file binari sembrano introvabili sul sito del produttore.

Per fortuna, riesce a contattare un utente che si era fatto spedire il firmware binario direttamente da Linksys, e può quindi fornirlo ad Eloi, il quale comincia subito ad estrarre i vari programmi.

Il file.bin o itug che rappresenta il firmware di un router, infatti, non è altro che una immagine disco, che viene scritta sulla memoria interna.

Questa, concettualmente, funziona come il disco rigido di un PC, anche se la sua struttura fisica è più simile a quella di una pendrive.

Il file del firmware rappresenta dunque un’immagine disco, come può essere un file ISO per i DIM, e contiene una vera e propria tabella delle partizioni: una delle partizioni (solitamente non sono più di 4) contiene il filesystem del sistema operativo, un classico sistema GNL/Linux con tutte le sue cartelle e sottocartelle.

In una directory specifica sono inseriti i progranmmi eseguibili: c’è nè uno per eseguire la connessione ADSL, uno che assegna gli IP ai computer della rete locale, ecc.

Eloi lavora con un sistema GNI1/Linux, quindi può facilmente scorrere il contenuto del filesystem estratto dal firmware del router tramite il comando da terminate grep -R bind ./ , i grep Binary, che elenca tutti i file binari, cioè i progranmri presenti.

Avrebbe potuto cercare direttamente la parola ScNlil, ma i file sono scritti con una codifica diversa dalla standard “Little Endian”, quindi deve andare a tentoni.

Nell’elenco dei programmi eseguibili salta subito all’occhio u file con il nome piuttosto strano: scfgmgr.

Cominciando a leggere il codice binario di questo programma, Eloi si rendle conto che è proprio questo a tenere aperta la porta 32764.

Non solo: vede anche che, a causa di come è stato costruito il programma, è possibile inviare a quella porta una serie di pacchetti TCP/IP e causare un “buffer overflow” con cui leggere il contenuto della memoria del router, inclusa la password di amministrazione.

Sembrerebbe un errore di programmazione, Eloi scava a fondo: scopre così che il programma scfmgr consente 1’esecuzione di comandi di sistema a chiunque invii appositi pacchetti dalla porta TCP 32764, senza bisogno di alcuna autenticazione!

In pratica, è una “backdoor”, ed estremamente pericolosa per giunta, considerando che chiunque e in grado di ottenere di fatto una “shell di sistema” con privilegi di amministrazione.

Gli unici requisiti per ottenere questo potere assoluto?

Conoscere l’esistenza di questa backdoor e l’indirizzo IP della vittima.

Ottenuto l’accesso al router, per esempio, si può decidere di intercettare tutto il traffico web. E c’e da chiedersi se non sia stato fatto, visto che la backdoor e in circolazione da almeno sette anni e che le agenzie hanno da sempre avuto interesse a spiare gli utenti sul Web.

Appena Eloi pubblica la sua scoperta (dicembre 2013), su Internet si comincia a parlare della questione, portando alla luce 1’esistenza della stessa backdoor in diversi altri router (anche di produttori differenti).

Esplode lo scandalo, ma si tratta di un’esplosione “controllata”, sia perchè gli utenti non comprendono la gravità della violazione della privacy che hanno subito (parliamo di migliaia, se non milioni di utenti), sia perchè i produttori di router inviano immediatamente nuove versioni dei firmware chiudendo la porta 32764.

A febbraio 2011 la situazione sembrava essersi calmata, ma pochi mesi più tardi, ad aprile 2014, Eloi fa un’altra scoperta. Già nelle prime settimane del 2014 si era capito che la backdoor fosse stata progettata da Sercomm, un’azienda che scrive firmware per molti produttori di dispositivi connessi a Internet (il bug, infatti, è noto come “hug Serconun”).

E ben presto questa vulnerabilità si era diffusa nei router di diversi costruttori, fino a raggiungere quasi una ventina di modelli, con almeno 6.000 dispositivi vulnerabili in giro per il mondo.

La grande diffusione di questa backdoor ha fatto sospettare che non si trattasse di un “errore”, ma di un deliberato tentativo (riuscito) di violare la privacy degli utenti.

Come ricorda sempre l’hacker Richard Stallman, quando si scopre una vulnerabilità è importante capire se il progranuna ha un bug (inteso come errore di progranmazione) oppure e un bug (cioè una cimice, strumento fatto appositamente per 1’intercettazione).

Proprio sospettando che l’inserimento della backdoor fosse deliberato, Eloi controlla un’altro router vulnerabile, it Netgear DGN1000.

Questa volta, però, analizza la nuova versione del firmware, quella che a detta del produttore contiene la correzione al bug.

Effettivamente, la nuova versione sembra non avere più la porta 32764 aperta.

Ma se davvero la backdoor fosse intenzionale, potrebbe essere stata nascosta e in qualche modo resa riattivabile tramite una qualche sequenza segreta.

Eloi comincia quindi a leggere il codice binario di questa versione del firmware e si accorge che il file scfgingr è ancora presente, ma è diverso.

Non è un boon segno!

Leggendo il codice binario è evidente che il programma, in apparenza, non faccia più nulla; anzi, non viene nemmeno caricato all’avvio del router.

Ma può essere attivato esattamente con la stessa modalità di prima (cioè in ascolto sulla porta 32764) semplicementc lanciandolo con l’opzione -f, è sufficiente una rapida ricerca tra il codice binario degli altri programini presenti nel firmware del router per scoprire che scfgmgr f viene chiamato dall’eseguibile ft_toohs.

Eloi pubblica anche questa nuova scoperta, e noi decidiamo di verificarla: dopo avere scaricato il file .zip ed averlo estratto sul PC, andiamo a cercare il file fr_tools, presente nella cartella sbin.

Lo apriamo con un editor esadecimale e conunciamo a leggerne il contenuto.

Intorno alla riga 2840 compare una routine che resta in ascolto di i L n pacchetto di tipo “ethernet NFTP” (quindi con un collegamento via cavo con il router).

Se il pacchetto contiene l’hash (Una funzione matematica che trasforma un testo in un altro) della parola DGN1000 (che, guarda caso, e il nome del router) viene eseguito il comando /usr/shin/scfgmgr f&.

In poche parole abbiamo scoperto che non solo nella nuova versione del firmware la backdoor è ancora presente il bug (anche se disttivato), ma che può essere riattivato in qualsiasi memento con 1’invio di un apposito pacchetto (operazione che, in teoria, può essere eseguita anche dal provider telefonico e dunque da remoto).

A questo punto è ormai evidente che la presenza della backdoor è deliberata, non può più trattarsi di un errore.

La domanda, piuttosto è: in questo caso ce ne siamo accorti, ma in quali e quanti altri router sono presenti backdoor simili, protetti dal rifiuto da parte dei produttori di rilasciare il codice sorgente completo?

E quindi, quanti sono gli utenti il cui diritto alls privacy è stato realmente violato?

Voto
Ti è stato utile?
[Media: 0]

Cerca prodotto in offerta

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *