Cercetătorii Şcolii de Inginerie Electrică, Electronică şi Informatică din cadrul Universităţii din Liverpool au demonstrat în premieră că reţelele Wi-Fi pot fi infectate cu un virus care se poate deplasa prin zone dens populate, la fel de eficient ca şi virusul gripei printre oameni. Echipa a proiectat şi simulat un atac cu un virus numit Chameleon şi a constatat nu numai că virusul s-ar putea răspândi rapid între case şi întreprinderi, dar a fost capabil să evite detectarea şi identificarea punctelor de acces Wi-Fi, protejate, de obicei, prin criptare şi parole.

CĂLĂTOR AERIAN Cercetătorii au simulat un atac la Belfast şi Londra, într-un cadru de laborator, şi au constatat că Chameleon s-a comportat ca un virus aerian şi ”a călătorit” prin întreaga reţea Wi-Fi, prin punctele de acces (AP), prin care se conectează la internet reţelele gospodăriilor sau firmelor private. Zonele care sunt mai dens populate aveau mai multe puncte de acces, mai aproape sau mai departe unul de altul, ceea ce înseamnă că virusul s-a propagat mai repede, în special în reţelele conectate pe o rază de 10-50 de metri. Când Chameleon a atacat un AP nu a afectat modul în care acesta lucra, dar a fost capabil să colecteze şi să raporteze acreditările tuturor celorlalţi utilizatori Wi-Fi care erau conectaţi la acesta. Virusul apoi a căutat alte AP-uri Wi-Fi, la care se putea conecta şi infecta.

Chameleon a fost capabil să evite detectarea de către sistemele actuale de detectare, pentru că acestea caută, de obicei, viruşi care sunt prezenţi pe internet sau calculatoare, dar Chameleon era prezent numai în reţeaua Wi-Fi. Deşi multe AP sunt suficient criptate şi protejate cu parolă, virusul pur şi simplu s-a mutat pentru a le găsi pe cele care nu erau puternic protejate, inclusiv cele care ofereau acces liber, în locuri cum ar fi cafenele şi aeroporturi. Conexiunile Wi-Fi sunt din ce în ce mai mult o ţintă pentru hackeri, din cauza vulnerabilităţilor de securitate deja bine documentate. Se presupunea, totuşi, până acum că nu este posibil să se dezvolte un virus care să poată ataca reţele Wi-Fi. Studiul cercetătorilor de la Liverpool va fi folosit pentru a dezvolta o nouă tehnică pentru a identifica atunci când un atac este posibil.

HACKERII AU DAT IAMA ÎN ROUTERE Experţii în domeniul securităţii cibernetice au descoperit o reţea de routere controlate de hackeri, ce ajunge la 300.000 de asemenea dispozitive din casele oamenilor şi birourile micilor companii. Descoperirea a fost făcută de experţii Team Cymru, fiind vorba de cea mai mare reţea de routere compromise semnalată până în prezent. Nu se ştie deocamdată ce intenţii au hackerii din spatele acestor atacuri. Într-un studiu recent, Team Cymru a precizat că a sesizat primele routere compromise ale unor producători cunoscuţi în luna ianuarie. Primele victime au fost din Europa de Est, dar în prezent numărul acestora este depăşit de cel al utilizatorilor afectaţi din Vietnam, precum şi din alte zone ale Europei.

Odată ce routerele sunt compromise, instrucţiunile interne sunt modificate şi utilizatorii de drept nu mai pot accesa internetul în mod curent. Hackerii îi pot redirecţiona pe utilizatori spre orice pagină cu reclame, o adevărată caznă pentru nervii celor din urmă. Routerele au fost compromise prin intermediul a două adrese IP ce aparţin unei companii de găzduire web din Londra. Steve Santorelli, din cadrul Team Cymru, a declarat că motivul înfiinţării reţelei de routere compromise rămâne unul misterios, deoarece atacatorii nu au profitat încă de pe urma intruziunii. Atacul seamănă cu unul desfăşurat în Polonia, unde routere aparţinând unor oameni obişnuiţi au fost redirecţionate către site-uri rău-intenţionate, controlate de hackeri ce doreau să pună mâna pe informaţiile bancare ale utilizatorilor. Team Cymru a contactat autorităţile cu privire la atacul cibernetic şi a transmis o listă cu IP-urile compromise către furnizorii de internet.

UN PROGRAM PENTRU TOATE Hackerii pot pătrunde în reţeaua wireless de acasă, în ciuda criptării WPA2. Pe 29 iulie 2010, în Las Vegas, SUA, la ora locală 10, reţelele private din lumea întreagă au devenit şi mai nesigure. Expertul în securitate Craig Heffner şi-a început discursul la conferinţa hackerilor Black Hat şi a demonstrat cât de uşor se pot ataca routerele din întreaga lume în ciuda criptării WPA2, lucru considerat până atunci imposibil. Gaura de securitate care îi afectează pe majoritatea producătorilor importanţi, inclusiv Linksys, Belkin şi Dell, este atât de simplu de exploatat încât şi utilizatorii obişnuiţi pot intra cu uşurinţă într-un router şi monitoriza traficul de date. Au nevoie doar de un site şi de programul Rebind al lui Craig Heffner.

Ţinta programului este pagina de configurare a routerului. Prin intermediul acesteia, are acces la cheia de criptare a reţelei şi poate redirecţiona şi monitoriza întregul trafic de reţea, pentru că, de obicei, paginile de configurare ale routerelor pot fi accesate doar dinspre reţeaua internă. Cererile de acces din afara reţelei sunt blocate de router ca o măsură-standard de siguranţă. Programul lui Heffner ocoleşte aceste măsuri, folosind o eroare de programare comună din firmware-ul routerelor mai multor producători. În primă instanţă, hackerul creează un site aparent legitim, cu caracteristici perfect normale. Acest site va avea o adresă IP de la furnizorul de internet. La registratorul de la care a cumpărat domeniul va trebui să configureze acest server ca fiind numele serverului şi să-l folosească drept DNS primar pentru domeniul respectiv.

UN ATAC PERFID Prin diferite metode, victima este atrasă către site-ul proaspăt pus la punct. Să nu uităm că victima navighează pe internet din spatele unui router. Browser-ul victimei apelează serverul cu pricina şi în primă instanţă are nevoie de adresa IP a acestuia, pe care o află cu o interogare DNS. Serverul respectiv, care este în acelaşi timp şi Name Server, pe care este instalată şi rulează aplicaţia Rebind, va răspunde cu propria adresă IP. Odată aflată adresa IP, browser-ul va efectua o cerere către serverul HTTP de pe acel server. Rebind detectează interogarea, reţine adresa IP a routerului şi redirecţionează răspunsul către un subdomeniu generat aleatoriu al serverului fals. Această redirecţionare implică o a doua interogare DNS. De această dată, Rebind va răspunde cu două adrese IP: propria adresă şi cea determinată anterior, adresa publică a routerului victimei. În acest moment poate reîncepe ”conversaţia” dintre browser-ul victimei şi Rebind. Aplicaţia va trimite către browser o secvenţă de cod JavaScript, iar apoi va bloca accesul pe portul 80 folosit, în general, de serverele HTTP. Codul JavaScript ajuns în browser este executat şi, în urma sa, browser-ul interoghează din nou subdomeniul. Însă accesul pe portul 80 tocmai a fost blocat. În consecinţă, conexiunea este refuzată folosindu-se protocolul inferior HTTP, respectiv TCP şi către sistemul victimei este trimis un pachet de tipul reset (TCP RST), adică o reiniţializare a conexiunii. Şi cum primul IP este blocat, sistemul-victimă va încerca al doilea IP pe care îl are la dispoziţie, adică adresa externă a routerului.

PROTECŢIE LA ÎNDEMÂNĂ Atacatorul poate din acest moment să acceseze routerul victimei şi să trimită comenzi către codul JavaScript care se află încă în browser-ul acesteia. Primul pas este făcut de codul JavaScript, care se conectează de această dată pe portul 81 al serverului. Răspunsurile serverului, respectiv ale lui Rebind, la aceste cereri sunt chiar comenzile (cererile HTTP către routerul victimei). Browser-ul le execută şi retrimite către Rebind conţinutul ”conversaţiei” cu routerul, care la rândul său o prezintă atacatorului. Din acest moment, atacatorul poate face schimbările pe care le doreşte pe routerul victimei. Poate redirecţiona traficul printr-un server pe care îl controlează sau poate deveni, la rândul său, parte a reţelei victimei. Însă, pentru ca tot acest scenariu să devină un atac încununat de succes, are nevoie de o mică informaţie: parola de la pagina de configurare a routerului. Şi aici atacatorul se bazează pe una dintre trăsăturile omului: lenea. După spusele unui insider care lucrează la unul din marii producători de routere, cei mai mulţi utilizatori folosesc şi după instalarea şi configurarea routerului aceleaşi date de autentificare cu care este livrat aparatul: genul de perechi admin/admin sau admin/1234. Este evident că un atacator care pune la cale un atac atât de perfid va şti cu siguranţă care sunt parolele implicite pentru tot felul de routere.

Pe cât de complicat pare atacul, pe atât de simplă este protecţia împotriva lui: parola implicită trebuie schimbată cu una care să fie sigură din punct de vedere criptografic. Adică minimum zece caractere, atât alfa, cât şi numerice, dar şi caractere speciale. Spre deosebire de alte ocazii, este destul de sigur să vă scrieţi parola pe hârtie şi să o lipiţi de router. Va fi sigură atâta vreme cât nu vă sparge cineva locuinţa. Puteţi determina şi dacă routerul este vulnerabil la un astfel de atac într-un mod foarte simplu. Aflaţi adresa IP externă a acestuia de pe un serviciu de genul whatismyip.com. Introduceţi adresa respectivă în bara de adrese a browser-ului şi apăsaţi Enter. Dacă vedeţi pagina de configurare a routerului, înseamnă că el este vulnerabil la acest tip de atac. Poate ar fi timpul să schimbaţi parola din 1234 în 4321!?