PDA

Visualizza versione completa : I software sandbox possono prevenire attacchi ROM0 al router?



mother
28-10-14, 15: 41
Uno dei più fastidiosi virus (quello della polizia) svolge un attacco ROM0 ai router con firmware non aggiornato e cambia i DNS impostando IP di server malevoli.
Essendo un tipo di attacco un po' strano rispetto i classici trojan/worm, una sandbox, per esempio sandboxie, previene questo tipo di attacco?

Un bel dubbio :shock

Clairvoyant
30-10-14, 20: 13
Ciao mother :hap

Se il cambio di DNS e di altro è dovuto ad un attacco ROM-0 una sandbox credo serva a poco, visto che se anche il codice malevolo viene eseguito in ambiente segregato le modifiche vengono apportate direttamente sul router.
Una volta ripulita la sandbox quello che c'era dentro viene eliminato ma le modifiche apportate sul router restano.

Per mitigare quel tipo di attacco devi aggiornare il firmware e/o agire sulle impostazioni del router.

Hai già provato a vedere qui (http://rom-0.cz/index/) se il tuo router è vulnerabile?


:bai

Kirk78
11-11-14, 18: 31
Ciao mother e benvenuta sul CT (http://www.collectiontricks.it/forum/sweetbar/Ct3642-mi-presento-collectiontricks.html)!
il virus della polizia di solito vengono intercettati dai comuni antivirus. Per la sicurezza consiglio comunque di acquistare un antivirus a pagamento, io consiglio Avira, perché è meglio pagare qualcosa al posto di perdere tempo o dati nella risoluzione dei problemi. imho.

Per quanto riguarda una sandbox concordo con Clairvoyant.

Se comunque hai problemi siamo con questi virus quì su CT ti possiamo aiutare.

Puoi comunque leggere http://www.collectiontricks.it/forum/security/Ct4938-virus-polizia-quando-non-si-riesce-bloccarlo.html

:bai

mother
15-02-15, 10: 27
Non ho il virus della polizia, te lo dico perchè scansiono regolarmente ed ho un certo livello di sicurezza. Non sono di certo il noob che si connette ad internet con solo l'antivirus.

Il router è vulnerabile e non trovo il firmware...
E' un router MyTech Facile (un po' datato in effetti): STD(P2F_85)_A04_(211380_3995)
Qui ci sono le schermate generiche di quel modello
MyTech Facile Device Information Router Screenshot - PortForward.com (http://screenshots.portforward.com/routers/MyTech/Facile/Device_Information.htm)

Monta un Trendchip come configurazione interna. Ho provato a scrivere alla tp-link in inglese, ma non rispondono.
Quelli italiani hanno il modulo di contatto che non funziona :boh

Download - Benvenuti in TP-LINK (http://www.tp-link.it/support/download/)

Non sono nemmeno riuscito ad individuare quale sia il sito web che mi cambia i DNS.
Non sempre l'IP dirottato è lo stesso. A volte si finisce nella finta pagina della polizia. Una volta ho visto la finta pagina dell'interpol :oo2 altre volte su DNS che aprono popup pubblicitari :shock (il che è impressionante perchè il browser ed adblock hanno il blocco dei popup ed un DNS non dovrebbe inviarmi altre azioni o comandi oltre quelli che richiedo)

Kirk78
18-02-15, 11: 15
Ciao mother.

Quelli italiani hanno il modulo di contatto che non funziona
Ti dirò che TP-LINK mi ha risposto - Supporto E-mail - Benvenuti in TP-LINK (http://www.tp-link.it/support/contact/) - anche per telefono, ma se il router NON ha finito il supporto tecnico, ma tentar non nuoce.
Sinceramente non ho trovato il tuo router e non ho capito se mytech è parte del nome o il produttore: quale è il codice prodotto del router?
Le schermate sembrano molto quelle di alcuni router TP-LINK ma magari è solo il firmware.

Quando i DNS vengono modificati il comportamento del browser è imprevedibile e si è soggetti ad intrusioni anche del virus della polizia o altro. Scansionare regolarmente va benissimo, ma se non si ha un buon antivirus, o se si ha la sfortuna di essere una delle migliaia di persone che vengono infettate prima della scoperta di quella variante specifica di virus... c'è poco da fare: ci si infetta. :furious

Se è un router che ti è stato dato in comodato dal fornitore è lui che deve risolverti il problema per contratto o cambiarti il router con un non soggetto ad attacchi.

Prova a dare un'occhiata a http://www.collectiontricks.it/forum/security/Ct5934-attacchi-router-non-aggiornati-cambio-ip-casuale.html

Facci sapere. :bai

mother
18-02-15, 13: 20
Ciao mother.

Ti dirò che TP-LINK mi ha risposto - Supporto E-mail - Benvenuti in TP-LINK (http://www.tp-link.it/support/contact/) - anche per telefono, ma se il router NON ha finito il supporto tecnico, ma tentar non nuoce.
Sinceramente non ho trovato il tuo router e non ho capito se mytech è parte del nome o il produttore: quale è il codice prodotto del router?
Le schermate sembrano molto quelle di alcuni router TP-LINK ma magari è solo il firmware.
A quanto ho capito Mytech è l'azienda che lo produceva in cina e MediaKey è l'importatore in Italia.
E' un'assemblato che monta firmware TP-LINK, non un TP-LINK puro 100%
:triste maledizione a me per esser andato su una marca meno rinomata e dalla Cina.
Il router ha 6 anni, mi sa che è dura trovare del firmware.

Ho scoperto che il sito di Dotcom mega.co.nz usa script che agiscono proprio sulla falla della ROM0 del router per mettere un DNS di un server che ad ogni ricerca su firefox fa aprire una finestra popup di pubblicità (anche se si ha adblock).
I DNS dovrebbero essere i punti di accesso per l'invio di pacchetti dati nel web (http e https), il fatto che si inserisca un'informazione per far aprire una finestra popup mi sembra hacking di un certo livello.

Altri siti web ridirezionano a DNS che aprono la pagina del virus polizia (in un caso ho visto la pagina del virus interpol).

Ho scansionato il PC con più di un antivirus e non è infetto. Ho anche provato con un HDD esterno con W8.1 installato con Wintousb ed avvio da bios trasmite USB3 e con OS "vergine", una volta modificato il DNS nel router comunque si presentava il problema.
Il fatto che un router sia per così dire "infetto" è geniale perchè anche il miglior antivirus controlla il PC e non la periferica.
Non a caso Avast 1 mese fa ha buttato fuori un upgrade dell'antivirus che fa la scansione anche dei problemi di rete e non a caso mi segnala il problema alla ROM0 (ma non mi dice dove trovare il firmware).







Quando i DNS vengono modificati il comportamento del browser è imprevedibile e si è soggetti ad intrusioni anche del virus della polizia o altro. Scansionare regolarmente va benissimo, ma se non si ha un buon antivirus, o se si ha la sfortuna di essere una delle migliaia di persone che vengono infettate prima della scoperta di quella variante specifica di virus... c'è poco da fare: ci si infetta. :furious

Se il computer fosse infetto ad ogni connessione avrei la modifica, ed invece questa interviene solo se visito certi siti web.
Uno te l'ho indicato sopra.
Il mio dubbio originale era se la sandbox che previene l'installazione via web di malware possa bloccare un simile attacco.
Individuato un sito che lo esegue la risposta è no.
La sandbox di sandboxie rimane pulita mentre il router cambia DNS (poi credo agisca con exploit sul browser per far compiere azioni di redirect od apertura popup).

Sarebbe interessante comprendere se questo avviene lo stesso con un Comodo Ice Dragon che usa i DNS comodo, per vedere se prevalgono i DNS modificati del router o meno.
In alcuni casi credo prevalga il DNS di comodo e la pagina individuata come malevola venga bloccata.
Da notare che le pagine che si aprono non rientrano nelle pagine bloccate da malwarebytes pro, con la funzione di controllo di siti web nocivi (e credo nemmeno WOT o altre estensioni di safe browsing di avira, avast o bit defender).





Prova a dare un'occhiata a http://www.collectiontricks.it/forum/security/Ct5934-attacchi-router-non-aggiornati-cambio-ip-casuale.html

Facci sapere. :bai

Grazie, provo bloccando il DHCP (quindi fa fede il file host/DNS di windows?!) e mettendo un range all'ASL.

Speron ben

Kirk78
18-02-15, 14: 28
Comunque segnandoti tutti i vari settaggi filtri etc potresti anche provare a fare un reset e cambiare la password di accesso. Dovrebbe esserci. Questo prima di utilizzare l'ACL. Alle volte se il firmware non è aggiornato per evitare attacchi rom0 l'unica via è il reset! :furious

Se trovi un qualsiasi numero di modello (non il SN) sul router possiamo provare a cercare. Il fatto che non sia un "vero" TP-LINK non ti da la possibilità di chiamare il loro supporto :triste


maledizione a me per esser andato su una marca meno rinomata e dalla Cina.
Alle volte quando si ha pochi dindi, come me oggi, si opta per soluzioni lowcost :triste anche se anche le ditte cosiddette "rinomate" sono piene di falle e dopo 6 anni ti abbandonano :furious a meno che non compri dei router che costano come un PC!
Sulla sicurezza cerco di spendere qualcosina in più.

Disattivando il DHCP e inserendo te dei DNS a tua scelta quelli del router non dovrebbero essere presi in considerazione, infatti nel mio caso l'attacco aveva riattivato il DHCP sul router e io vedevo delle cose non buone. Per ora non ho più avuto problemi di redirect da router.... speriamo bene...

Per alcune infezioni, non credo che controllino il router, ci vogliono dei tool specifici perché "boicottano" gli antivirus installati. Alcune liveCD (base linux) possono controllare meglio, ma non tutte eliminano alcune infezioni. Esempio anche il buon Avira Rescue System attualmente aggiornato al 12 febbraio 2015.


The Avira Rescue System does not support a multi-boot scenario at this stage.
The product does not support multi-boot scenarios and the product does not scan and repair:
● Boot sectors
● Encrypted files
● Partitions

L'unica maniera di stare moooolto più tranquilli è quello di usare Linux. Attualmente scrivo da Ubuntu 14.

Facci sapere. :bai

mother
20-02-15, 11: 39
Allora, su mega.co.nz non noto cambiamenti di DNS, mentre prima me li faceva.

Ho dovuto riabilitare il DHCP perchè altrimenti non riuscivo a connettere 2 pc via wireless. Se ne connetteva uno solo.
Forse dovrei impostare un IP di rete fisso per restare col DHCP disattivato.
Rimango con l'ASL con un range limitato.

Ho provato a farmi un giro in sandbox in siti poco raccomandabili e non ho notato cambiamenti di DNS.
Speron ben.



Comunque segnandoti tutti i vari settaggi filtri etc potresti anche provare a fare un reset e cambiare la password di accesso. Dovrebbe esserci. Questo prima di utilizzare l'ACL. Alle volte se il firmware non è aggiornato per evitare attacchi rom0 l'unica via è il reset! :furious
Se faccio il reset torno alle condizioni di fabbrica e devo reinstallare la connessione.
Non so se aggiornando il firmware e facendo reset torno alle condizioni di fabbrica. Se così fosse potrei provare firmware a caso.
Di solito non è mai così.
L'attacco ROM0 non mi risulta che si approri di password, nè per l'accesso alle impostazioni del router, nè per la connessione internet (che tra l'altro è > 30 caratteri).



Se trovi un qualsiasi numero di modello (non il SN) sul router possiamo provare a cercare. Il fatto che non sia un "vero" TP-LINK non ti da la possibilità di chiamare il loro supporto :triste
sotto il modem ci sono i numeri di PN, SN, EAN, MAC.




Sulla sicurezza cerco di spendere qualcosina in più.
Infatti, anch'io uso sempre OS ed internet security originali.
Gli attacchi che infettano periferiche sono i peggiori (come i virus che cambiano MBR).



Disattivando il DHCP e inserendo te dei DNS a tua scelta quelli del router non dovrebbero essere presi in considerazione, infatti nel mio caso l'attacco aveva riattivato il DHCP sul router e io vedevo delle cose non buone. Per ora non ho più avuto problemi di redirect da router.... speriamo bene...
Il mio file host di windows con i DNS base non viene modificato, però prevale sempre il DNS indicato sul router, che viene modifcato quando visito certe pagine web indipendentemente che imposti l'opzione "DNS scelti dall'utente", impostando quelli google.
Installando un browser Comodo, per esempio Ice Dragon si forza il browser ad usare i DNS comodo. Il risultato è che il DNS del router rimanda ai DNS comodo che bloccano il caricamento della pagina malevola avviata dall'attacco hacking (per esempio la pagina del virus della polizia).
Però la soluzione è un paliativo perchè comunque si richiama il server malevolo.



Per alcune infezioni, non credo che controllino il router, ci vogliono dei tool specifici perché "boicottano" gli antivirus installati. Alcune liveCD (base linux) possono controllare meglio, ma non tutte eliminano alcune infezioni. Esempio anche il buon Avira Rescue System attualmente aggiornato al 12 febbraio 2015.
Se ti crei una USB con W8.1 dentro installato da zero, aggiornato e lo avii da BIOS al posto del C del computer, hai un OS vergine con cui analizzare il disco interno del PC.
La mia preoccupazione è se esistono malware con alterazione dell'UEFI o GPT, proprio come nel 2010 vennero fuori quelli che alteravano l'MBR ed erano piuttosto ostici da eliminare.




L'unica maniera di stare moooolto più tranquilli è quello di usare Linux. Attualmente scrivo da Ubuntu 14.

Facci sapere. :bai
Oddio, il 2014 è stato un bel sellshock anche per linux :ghgh
comunque si, in genere è più affidabile.

Ma se creo una live di Tails esiste un programma antivirus installabile in linux con definizioni per windows con cui scansionare un C con sotware e dati windows?

mother
20-02-15, 14: 32
Comunque su Computer Bild spiegano come farsi un router senza alimentatore con Arduino con auto-connessione a Tor
^_^''

Kirk78
24-02-15, 16: 01
sotto il modem ci sono i numeri di PN, SN, EAN, MAC.
Il MAC address non serve e neanche il SN (Serial Number). Potrebbe essere utile il PN (Part Number) o l'EAN (European Article Number).


il 2014 è stato un bel sellshock anche per linux
Puoi spiegare meglio? :boh

Ci sono parecchie liveCD per controllare alcuni (non tutti) i virus come Avira Rescue System detto sopra (Ubuntu). I virus sono praticamente solo per windows :ghgh


L'attacco ROM0 non mi risulta che si approri di password, nè per l'accesso alle impostazioni del router
In realtà, a quanto ho capito, è esattamente quello che fa: entra e modifica le impostazioni. Se non può entrare non può fare nulla. Imho.


Ho dovuto riabilitare il DHCP perchè altrimenti non riuscivo a connettere 2 pc via wireless. Se ne connetteva uno solo.
Forse dovrei impostare un IP di rete fisso per restare col DHCP disattivato.
Esatto se togli il DHCP devi necessariamente mettere gli IP fissi (diversi) sui vari computer. Tra me, la mia famiglia e il lavoro avrò 6-7 IP fissi diversi.

Se hai il DHCP attivo è molto probabile che il "primario" si quello indicato nel router.

:bai

mother
25-02-15, 15: 58
Il MAC address non serve e neanche il SN (Serial Number). Potrebbe essere utile il PN (Part Number) o l'EAN (European Article Number).

Puoi spiegare meglio? :boh

Bug sellshock (http://en.wikipedia.org/wiki/Shellshock_%28software_bug%29) che affliggeva da anni Linux
Giocavo sul fatto che è stata una grave falla scoperta sui sistemi non windows ed è stata uno shock (si chiama sellshock) per la community dhe sostiene che linux sia sicuro.

Non so se i virus siano solo per linux. Per esempio la falla ROM0 è insita nei router e non nell'OS.
I virus che modificano l'MBR agiscono sulla fortmattazione del disco, non sull'OS...
Ho troppo poco tempo per approfondire le mie conoscenze sull'argomento.
Inoltre spesso Windows è vulnerabile più per l'OS, per java od adobe flash. Linux monta altri software per simulare java e flash.
Adobe ha sicuramente più bug ed exploti di qualsiasi versione OS microsoft.
Speriamo che ora con html5 si dia un bel calcione ad adobe flash :ghgh


[QUOTE=Kirk78;217514]In realtà, a quanto ho capito, è esattamente quello che fa: entra e modifica le impostazioni. Se non può entrare non può fare nulla. Imho.

Entra senza avere nome utente e password proprio tramite la ROM0 che è liberamente consultabile...
Ora il test mi dice che non sono vulnerabile, prima si:
rom-0 test (http://rom-0.cz/index/)

Kirk78
26-02-15, 01: 58
Puoi spiegare meglio?
Posta l' SN e l'EAN e proviamo a vedere troviamo esattamente il prodotto.

Non so se i virus siano solo per linux.
No... solo per windows :ghgh

Bug sellshock
:m: mi era sfuggito.... magari posto in area GNU/Linux (http://www.collectiontricks.it/forum/gnu-linux-f38/) per chiedere chiarimenti. Comunque io non prendo informazioni su wk visto quello che hanno fatto contro P2P Forum Italia - Linux@P2P Forum Italia (http://linux.collectiontricks.it/wiki/P2P_Forum_Italia) .... almeno quella italiana.

Sono molto contento che adesso ti dica "probabilmente" non sei vulnerabile. Probabilmente è per via dell'ACL.

:bai

mother
28-02-15, 01: 11
ma perchè il commento precedente deve essere approvato da un moderatore? avrvo inserito SN ed EAN.

mother
28-02-15, 13: 03
Posta l' SN e l'EAN e proviamo a vedere troviamo esattamente il prodotto.

Riscrivo visto che il precedente messaggio sembra andato perso:
SN: 0917010396
EAN: 8033123411011



:m: mi era sfuggito.... magari posto in area GNU/Linux (http://www.collectiontricks.it/forum/gnu-linux-f38/) per chiedere chiarimenti. Comunque io non prendo informazioni su wk visto quello che hanno fatto contro P2P Forum Italia - Linux@P2P Forum Italia (http://linux.collectiontricks.it/wiki/P2P_Forum_Italia) .... almeno quella italiana.


Cos'ha fatto Wk (wikipedia?!) con p2pforum ?

Kirk78
28-02-15, 13: 32
Non saprei... magari chiedi ad Asterix. :boh
Comunque chiedo venia prima dico che il SN non serve e poi ti chiedo il SN.... intendevo il PN (part number) :ops: sai... la vecchiaia si sente. Scusami.

:bai

Kirk78
08-03-15, 16: 49
Scusami mi era sfuggito il tuo post. E mi ero sbagliato, ma è utile il [b]part number PN[/] e non il SN che dovrebbe essere quello specifico del tuo prodotto.
L'EAN identifica che è un codice a barre fatto in Italia (non chè italiano). Ma per ora non l'ho trovato.

Cos'ha fatto Wk (wikipedia?!) con p2pforum ?
http://www.collectiontricks.it/forum/sweetbar/Ct3323-petizione-per-non-cancellare-pagina-wikipedia-p2pforum.html

:bai