[HACK] Los routers domesticos se convierten en objetivo criminal

[merce]

24/01/08 18:14:05


LOS "ROUTERS" DOMÉSTICOS SE CONVIERTEN EN OBJETIVO CRIMINAL


Mercè Molist
Primero fueron los servidores corporativos, después los ordenadores
domésticos y, ahora, los "routers" ADSL presentes en cada vez más
hogares. Los creadores de código malicioso han descubierto en estos
aparatos un nuevo objetivo a atacar. El hecho de que sean pequeños
ordenadores, que estén siempre encendidos y poco protegidos los
convierte en piezas fáciles y atractivas.


Las pasadas Navidades, en México, se vivió lo que algunos expertos
en seguridad temían: el primer caso real de modificación masiva de
la configuración de "routers" domésticos, para usarlos en estafas de
"phishing". Aunque no hay datos de su alcance, se cree que fue muy
rentable para los criminales, que lo han repetido en diversas
oleadas. La empresa Symantec afirma en su blog corporativo: "Ahora
que se ha realizado por primera vez este ataque, habrá otros".

Symantec lo había predicho un año antes: un código malicioso podría,
vía web o correo electrónico, tomar el control de un "router"
doméstico. En el caso mexicano, se hizo por correo. No había que
pinchar en ningún adjunto, sólo con visualizar el mensaje, en HTML,
era suficiente. Este contenía diversos comandos que, al ser
interpretados por el programa de correo, "cobraban vida" y cambiaban
la configuración del "router".

El ataque iba dirigido a los "routers" 2wire, muy populares en
México porque la operadora Telmex los regala a sus clientes, sin
clave de acceso. Así, el código tenía paso franco para inyectar
nuevas instrucciones al aparato, de forma que cuando la víctima
teclease en su navegador la dirección del más importante banco
mexicano, Banamex, el "router" la llevaría a otro sitio con la misma
apariencia. Todos los datos que allí se introdujesen irían directos
a los criminales.

Al ser un nuevo tipo de ataque, ningún antivirus lo detecta. Algunos
afectados explican su caso en el blog de VirusTotal, como Ileana:
"He sido una de las ingenuas que abrió la tarjeta del gusanito, en
un día me robaron 3 veces. Mi pregunta es qué hago ahora, qué debo
buscar en mi computadora para eliminar las direcciones falsas, mi
antivirus no me registra ningún virus y también, cómo reconfiguro mi
2wire??". Según el centro de seguridad mexicano UNAM-CERT, la
empresa responsable no ha dado aún una solución.

Los programas maliciosos que asaltan "routers" no son una novedad,
explica Bernardo Quintero, de Hispasec Sistemas, pero hasta ahora no
se habían usado para fraudes masivos: "Un atacante puede, realizando
un barrido por Internet, buscar una vulnerabilidad concreta en un
"router" que le permita acceder a la red o redes que hay detrás de
él, previsiblemente corporativas. Eso siempre ha existido, pero
nunca se había hecho un ataque masivo dirigido al cliente final, con
un "router" doméstico".

Lo que hace atractivos a estos aparatos es que son pequeños
ordenadores con un sistema operativo propio que, explica Quintero,
"permite configuraciones de alto nivel como redirigir el tráfico
para que llegue al atacante, abrir una puerta en el "router" para
acceder a los ordenadores que conectan a través de él, hacer ataques
de denegación de servicio, hospedar contenidos, etc". Al estar
siempre encendidos y tener contraseñas débiles o por defecto son de
fácil acceso.

Los expertos coinciden en imaginar el próximo paso: un gusano que se
autopropague de "router" a "router", sin intervención humana. Sólo
precisaría estar programado para atacar una marca muy popular y usar
un ordenador como pasarela a través del cual entraría en el primer
"router", como se ha hecho en México. Una vez tomada esta posición,
escanearía millones de direcciones IP a la búsqueda de otros
aparatos vulnerables, en los que se introduciría automáticamente a
través de Internet o por sus conexiones inalámbricas.

Un reciente estudio de la Universidad de Indiana avisa contra este
posible escenario, destacando la especial vulnerabilidad de las
conexiones inalámbricas, más inseguras porque o no están protegidas
o usan el sistema de cifrado WEP (Privacidad Equivalente a
Cableado), fácilmente atacable de forma automatizada. Así, el gusano
saltaría de un "router" a otro a través de las ondas aunque, según
Quintero, "su vida de propagación sería muy limitada, a no ser que
haya una concentración de "routers" de un mismo modelo en un área
geográfica".

A nadie se le escapa que las redes de ordenador "zombies" o
"botnets", la peor plaga en la actualidad, nacieron también primero
en la imaginación de los investigadores, para hacerse fatalmente
reales meses después. La única defensa por el momento contra los
ataques a "routers" domésticos es cambiar las contraseñas que vienen
por defecto y proteger sus conexiones inalámbricas con el sistema
seguro WPA (Acceso Protegido Wi-Fi).

Para ello, hay que acceder al router desde el ordenador, tecleando
en el navegador la dirección facilitada por el fabricante, por
ejemplo 192.168.1.100, o instalando los programas del CD que
acompaña al aparato. Después de introducir el nombre de usuario y
contraseña que indique el fabricante, aparece una interfaz con
diferentes opciones, entre ellas cambiar la contraseña del router y
acceder a las opciones "Wireless" (Inalámbricas).

Dentro del menú "Wireless" hay un submenú "WPA". Se indica al router
que active esta autenticación, con protocolo WPA-PSK y privacidad
TKIP, y se introduce la contraseña deseada para WPA, a ser posible
de más de seis caracteres, mezclando mayúsculas, minúsculas y
números. Esta recomendación es extensible a todas las contraseñas,
también la del router. La Wi-Fi Alliance creó la protección WPA para
corregir las múltiples deficiencias del anterior sistema, WEP, a la
espera de la implantación del estándar 802.11i.


Ataques Phishing/Pharming Explotando Vulnerabilidades en Ruteadores
2Wire
http://www.seguridad.unam.mx/vulnerabilidadesDB/?vulne=5534

Nuevo método de fraude bancario
http://blog.hispasec.com/laboratorio/255

Pharming y phishing aprovecha vulnerabilidad de routers ADSL
http://www.hispasec.com/unaaldia/3312

Drive-by Pharming in the Wild
http://www.symantec.com/enterprise/security_response/weblog/2008/01/driveby_pharming_in_the_wild.html

WiFi flu: viral router attack could hit whole cities
http://arstechnica.com/news.ars/post/20080102-wireless-router-security-flaws-could-fuel-viral-outbreak.html

Wi-Fi Protected Access
http://es.wikipedia.org/wiki/Wi-Fi_Protected_Access




Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provide this notice is preserved.