Expertii in securitate au descoperit un nou mod de atac ce poate afecta milioane de computere. O simpla pagina web poate fi creata pentru a manipula un router, folosit pentru conectarea a multiple computere la internet, astfel incat atacatorii sa obtina informatii personale si parole.
Conform cercetatorilor de la Universitatea Indiana si a companiei antivirus Symantec, oricine cu putina experienta poate cauta routere vulnerabile si modifica setarile critice astfel incat pagini reale sunt inlocuite cu unele false care cer informatii de login.
“Principala problema este ca nu poti vedea imediat ca este ceva in neregula” spune Sid Stamm, un candidat Ph.D. la Indiana University’s School of Informatics si unul dintre cercetatorii acestui proiect.
De exemplu, o victima nestiutoare ce introduce domain name-ul sitelui bancii ei poate fi intampinata de o pagina ce arata ca originalul, dar orice parola introdusa este trimisa direct la atacator.
La baza acest atac este o tehinca veche numita pharming. Dar Stamm si colegii sau au descoperit ca o pagina web poate fi folosita pentru a lansa un atac impotriva routerelor personale si manipula setarile referitoare la domain-name server. (Au mai existat speculatii conform carora acest tip de atac ar fi posibil insa cercetatorii spun ca sunt primii care au dovedit ca o pagina web poate fi folosita sa reconfigureze aceste setari pe router.) Tot ceea ce ii trebuie atacatorului este adresa IP interna a userului si parola pentru setarile de configurare ale routerului. Ambele, spune Stamm, pot fi usor aflate intr-un atac automat.
La inceput, atacatorul creaza o pagina web care sa atraga victimele prin continutul popular, cum ar fi poze cu celebritati, spune Zulfikar Ramzan, senior principal researcher la Symantec ce a lucrat de asemenea la proiect. Cat timp victima vizualizeaza pozele, codul invizibil de pe pagina inregistreaza adresa IP a victimei si acceseaza routerul cautand indicii ce i-ar putea dezvalui marca. Toate aceste cercetari nu creaza suspiciuni deoarece routerul crede ca sunt doar cereri legitime de informatie de pe calculatorul victimei.
Odata ce atacatorul determina marca routerului acesta poate deseori ghici parola deoarece multi oameni folosesc defaultul producatorului spune Stamm. Desi nu se stie exact cate routere duc lipsa de parole adecvate, un studiu informal publicat anul trecut in Journal of Digital Forensic Practice a aratat ca 50% dintre utilizatorii casnici ce au un broadband Internet Router ori au optat pentru parola default sau au dezactivat-o.
Odata cunoscute parola si adresa IP, atacatorul poate foarte usor sa schimbe domain-name serverul folosit de victima. “Este ca si cum atacatorul ti-a inlocuit cartea ta de telefoane cu una noua”, spune Ramzan. “Asa ca acum iei adrese din cartea de telefoane a atacatorului.”
Din fericire rezolvarea problemei este una simpla. “Cea mai usoara metoda de a te apara impotriva unui astfel de atac este ca schimbi parola,” spune Razman. Din nefericire, producatorii de routere nu obliga utilizatorii sa foloseasca parole noi deoarece vor ca software-ul lor sa fie usor de folosit.