Pagina 1 di 2 12 UltimoUltimo
Mostra risultati da 1 a 10 di 16

Discussione: I software sandbox possono prevenire attacchi ROM0 al router?

  1. #1
    Data registrazione
    Sep 2014
    Messaggi
    16
    Grazie dati 
    1
    Grazie ricevuti 
    4
    Ringraziato in
    3 post

    I software sandbox possono prevenire attacchi ROM0 al router?

    Uno dei più fastidiosi virus (quello della polizia) svolge un attacco ROM0 ai router con firmware non aggiornato e cambia i DNS impostando IP di server malevoli.
    Essendo un tipo di attacco un po' strano rispetto i classici trojan/worm, una sandbox, per esempio sandboxie, previene questo tipo di attacco?

    Un bel dubbio

    Rispondi citando Rispondi citando

  2. # ADS
    Google Adsense Circuito Adsense
    Data registrazione
    da sempre
    Messaggi
    molti
     
  3. #2
    Data registrazione
    Oct 2009
    Messaggi
    255
    Grazie dati 
    173
    Grazie ricevuti 
    259
    Ringraziato in
    141 post

    Riferimento: I software sandbox possono prevenire attacchi ROM0 al router?

    Ciao mother

    Se il cambio di DNS e di altro è dovuto ad un attacco ROM-0 una sandbox credo serva a poco, visto che se anche il codice malevolo viene eseguito in ambiente segregato le modifiche vengono apportate direttamente sul router.
    Una volta ripulita la sandbox quello che c'era dentro viene eliminato ma le modifiche apportate sul router restano.

    Per mitigare quel tipo di attacco devi aggiornare il firmware e/o agire sulle impostazioni del router.

    Hai già provato a vedere qui se il tuo router è vulnerabile?



    Rispondi citando Rispondi citando

  4. #3
    Data registrazione
    Feb 2010
    Località
    NCC1701
    Messaggi
    3,822
    Grazie dati 
    1,307
    Grazie ricevuti 
    1,323
    Ringraziato in
    996 post

    Riferimento: I software sandbox possono prevenire attacchi ROM0 al router?

    Ciao mother e benvenuta sul CT!
    il virus della polizia di solito vengono intercettati dai comuni antivirus. Per la sicurezza consiglio comunque di acquistare un antivirus a pagamento, io consiglio Avira, perché è meglio pagare qualcosa al posto di perdere tempo o dati nella risoluzione dei problemi. imho.

    Per quanto riguarda una sandbox concordo con Clairvoyant.

    Se comunque hai problemi siamo con questi virus quì su CT ti possiamo aiutare.

    Puoi comunque leggere http://www.collectiontricks.it/forum...bloccarlo.html


    Rispondi citando Rispondi citando Il mio PC

  5. #4
    Data registrazione
    Sep 2014
    Messaggi
    16
    Grazie dati 
    1
    Grazie ricevuti 
    4
    Ringraziato in
    3 post

    Riferimento: I software sandbox possono prevenire attacchi ROM0 al router?

    Non ho il virus della polizia, te lo dico perchè scansiono regolarmente ed ho un certo livello di sicurezza. Non sono di certo il noob che si connette ad internet con solo l'antivirus.

    Il router è vulnerabile e non trovo il firmware...
    E' un router MyTech Facile (un po' datato in effetti): STD(P2F_85)_A04_(211380_3995)
    Qui ci sono le schermate generiche di quel modello
    MyTech Facile Device Information Router Screenshot - PortForward.com

    Monta un Trendchip come configurazione interna. Ho provato a scrivere alla tp-link in inglese, ma non rispondono.
    Quelli italiani hanno il modulo di contatto che non funziona

    Download - Benvenuti in TP-LINK

    Non sono nemmeno riuscito ad individuare quale sia il sito web che mi cambia i DNS.
    Non sempre l'IP dirottato è lo stesso. A volte si finisce nella finta pagina della polizia. Una volta ho visto la finta pagina dell'interpol altre volte su DNS che aprono popup pubblicitari (il che è impressionante perchè il browser ed adblock hanno il blocco dei popup ed un DNS non dovrebbe inviarmi altre azioni o comandi oltre quelli che richiedo)

    Rispondi citando Rispondi citando

  6. #5
    Data registrazione
    Feb 2010
    Località
    NCC1701
    Messaggi
    3,822
    Grazie dati 
    1,307
    Grazie ricevuti 
    1,323
    Ringraziato in
    996 post

    Riferimento: I software sandbox possono prevenire attacchi ROM0 al router?

    Ciao mother.
    Quelli italiani hanno il modulo di contatto che non funziona
    Ti dirò che TP-LINK mi ha risposto - Supporto E-mail - Benvenuti in TP-LINK - anche per telefono, ma se il router NON ha finito il supporto tecnico, ma tentar non nuoce.
    Sinceramente non ho trovato il tuo router e non ho capito se mytech è parte del nome o il produttore: quale è il codice prodotto del router?
    Le schermate sembrano molto quelle di alcuni router TP-LINK ma magari è solo il firmware.

    Quando i DNS vengono modificati il comportamento del browser è imprevedibile e si è soggetti ad intrusioni anche del virus della polizia o altro. Scansionare regolarmente va benissimo, ma se non si ha un buon antivirus, o se si ha la sfortuna di essere una delle migliaia di persone che vengono infettate prima della scoperta di quella variante specifica di virus... c'è poco da fare: ci si infetta.

    Se è un router che ti è stato dato in comodato dal fornitore è lui che deve risolverti il problema per contratto o cambiarti il router con un non soggetto ad attacchi.

    Prova a dare un'occhiata a http://www.collectiontricks.it/forum...p-casuale.html

    Facci sapere.

    Rispondi citando Rispondi citando Il mio PC

  7. #6
    Data registrazione
    Sep 2014
    Messaggi
    16
    Grazie dati 
    1
    Grazie ricevuti 
    4
    Ringraziato in
    3 post

    Riferimento: I software sandbox possono prevenire attacchi ROM0 al router?

    Citazione Originariamente scritto da Kirk78 Vedi messaggio
    Ciao mother.

    Ti dirò che TP-LINK mi ha risposto - Supporto E-mail - Benvenuti in TP-LINK - anche per telefono, ma se il router NON ha finito il supporto tecnico, ma tentar non nuoce.
    Sinceramente non ho trovato il tuo router e non ho capito se mytech è parte del nome o il produttore: quale è il codice prodotto del router?
    Le schermate sembrano molto quelle di alcuni router TP-LINK ma magari è solo il firmware.
    A quanto ho capito Mytech è l'azienda che lo produceva in cina e MediaKey è l'importatore in Italia.
    E' un'assemblato che monta firmware TP-LINK, non un TP-LINK puro 100%
    maledizione a me per esser andato su una marca meno rinomata e dalla Cina.
    Il router ha 6 anni, mi sa che è dura trovare del firmware.

    Ho scoperto che il sito di Dotcom mega.co.nz usa script che agiscono proprio sulla falla della ROM0 del router per mettere un DNS di un server che ad ogni ricerca su firefox fa aprire una finestra popup di pubblicità (anche se si ha adblock).
    I DNS dovrebbero essere i punti di accesso per l'invio di pacchetti dati nel web (http e https), il fatto che si inserisca un'informazione per far aprire una finestra popup mi sembra hacking di un certo livello.

    Altri siti web ridirezionano a DNS che aprono la pagina del virus polizia (in un caso ho visto la pagina del virus interpol).

    Ho scansionato il PC con più di un antivirus e non è infetto. Ho anche provato con un HDD esterno con W8.1 installato con Wintousb ed avvio da bios trasmite USB3 e con OS "vergine", una volta modificato il DNS nel router comunque si presentava il problema.
    Il fatto che un router sia per così dire "infetto" è geniale perchè anche il miglior antivirus controlla il PC e non la periferica.
    Non a caso Avast 1 mese fa ha buttato fuori un upgrade dell'antivirus che fa la scansione anche dei problemi di rete e non a caso mi segnala il problema alla ROM0 (ma non mi dice dove trovare il firmware).




    Citazione Originariamente scritto da Kirk78 Vedi messaggio

    Quando i DNS vengono modificati il comportamento del browser è imprevedibile e si è soggetti ad intrusioni anche del virus della polizia o altro. Scansionare regolarmente va benissimo, ma se non si ha un buon antivirus, o se si ha la sfortuna di essere una delle migliaia di persone che vengono infettate prima della scoperta di quella variante specifica di virus... c'è poco da fare: ci si infetta.
    Se il computer fosse infetto ad ogni connessione avrei la modifica, ed invece questa interviene solo se visito certi siti web.
    Uno te l'ho indicato sopra.
    Il mio dubbio originale era se la sandbox che previene l'installazione via web di malware possa bloccare un simile attacco.
    Individuato un sito che lo esegue la risposta è no.
    La sandbox di sandboxie rimane pulita mentre il router cambia DNS (poi credo agisca con exploit sul browser per far compiere azioni di redirect od apertura popup).

    Sarebbe interessante comprendere se questo avviene lo stesso con un Comodo Ice Dragon che usa i DNS comodo, per vedere se prevalgono i DNS modificati del router o meno.
    In alcuni casi credo prevalga il DNS di comodo e la pagina individuata come malevola venga bloccata.
    Da notare che le pagine che si aprono non rientrano nelle pagine bloccate da malwarebytes pro, con la funzione di controllo di siti web nocivi (e credo nemmeno WOT o altre estensioni di safe browsing di avira, avast o bit defender).



    Citazione Originariamente scritto da Kirk78 Vedi messaggio
    Prova a dare un'occhiata a http://www.collectiontricks.it/forum...p-casuale.html

    Facci sapere.
    Grazie, provo bloccando il DHCP (quindi fa fede il file host/DNS di windows?!) e mettendo un range all'ASL.

    Speron ben

    Rispondi citando Rispondi citando

  8. #7
    Data registrazione
    Feb 2010
    Località
    NCC1701
    Messaggi
    3,822
    Grazie dati 
    1,307
    Grazie ricevuti 
    1,323
    Ringraziato in
    996 post

    Riferimento: I software sandbox possono prevenire attacchi ROM0 al router?

    Comunque segnandoti tutti i vari settaggi filtri etc potresti anche provare a fare un reset e cambiare la password di accesso. Dovrebbe esserci. Questo prima di utilizzare l'ACL. Alle volte se il firmware non è aggiornato per evitare attacchi rom0 l'unica via è il reset!

    Se trovi un qualsiasi numero di modello (non il SN) sul router possiamo provare a cercare. Il fatto che non sia un "vero" TP-LINK non ti da la possibilità di chiamare il loro supporto

    maledizione a me per esser andato su una marca meno rinomata e dalla Cina.
    Alle volte quando si ha pochi dindi, come me oggi, si opta per soluzioni lowcost anche se anche le ditte cosiddette "rinomate" sono piene di falle e dopo 6 anni ti abbandonano a meno che non compri dei router che costano come un PC!
    Sulla sicurezza cerco di spendere qualcosina in più.

    Disattivando il DHCP e inserendo te dei DNS a tua scelta quelli del router non dovrebbero essere presi in considerazione, infatti nel mio caso l'attacco aveva riattivato il DHCP sul router e io vedevo delle cose non buone. Per ora non ho più avuto problemi di redirect da router.... speriamo bene...

    Per alcune infezioni, non credo che controllino il router, ci vogliono dei tool specifici perché "boicottano" gli antivirus installati. Alcune liveCD (base linux) possono controllare meglio, ma non tutte eliminano alcune infezioni. Esempio anche il buon Avira Rescue System attualmente aggiornato al 12 febbraio 2015.
    Citazione Originariamente scritto da Avira
    The Avira Rescue System does not support a multi-boot scenario at this stage.
    The product does not support multi-boot scenarios and the product does not scan and repair:
    ● Boot sectors
    ● Encrypted files
    ● Partitions
    L'unica maniera di stare moooolto più tranquilli è quello di usare Linux. Attualmente scrivo da Ubuntu 14.

    Facci sapere.

    Rispondi citando Rispondi citando Il mio PC

  9. #8
    Data registrazione
    Sep 2014
    Messaggi
    16
    Grazie dati 
    1
    Grazie ricevuti 
    4
    Ringraziato in
    3 post

    Riferimento: I software sandbox possono prevenire attacchi ROM0 al router?

    Allora, su mega.co.nz non noto cambiamenti di DNS, mentre prima me li faceva.

    Ho dovuto riabilitare il DHCP perchè altrimenti non riuscivo a connettere 2 pc via wireless. Se ne connetteva uno solo.
    Forse dovrei impostare un IP di rete fisso per restare col DHCP disattivato.
    Rimango con l'ASL con un range limitato.

    Ho provato a farmi un giro in sandbox in siti poco raccomandabili e non ho notato cambiamenti di DNS.
    Speron ben.


    Citazione Originariamente scritto da Kirk78 Vedi messaggio
    Comunque segnandoti tutti i vari settaggi filtri etc potresti anche provare a fare un reset e cambiare la password di accesso. Dovrebbe esserci. Questo prima di utilizzare l'ACL. Alle volte se il firmware non è aggiornato per evitare attacchi rom0 l'unica via è il reset!
    Se faccio il reset torno alle condizioni di fabbrica e devo reinstallare la connessione.
    Non so se aggiornando il firmware e facendo reset torno alle condizioni di fabbrica. Se così fosse potrei provare firmware a caso.
    Di solito non è mai così.
    L'attacco ROM0 non mi risulta che si approri di password, nè per l'accesso alle impostazioni del router, nè per la connessione internet (che tra l'altro è > 30 caratteri).

    Citazione Originariamente scritto da Kirk78 Vedi messaggio
    Se trovi un qualsiasi numero di modello (non il SN) sul router possiamo provare a cercare. Il fatto che non sia un "vero" TP-LINK non ti da la possibilità di chiamare il loro supporto
    sotto il modem ci sono i numeri di PN, SN, EAN, MAC.


    Citazione Originariamente scritto da Kirk78 Vedi messaggio
    Sulla sicurezza cerco di spendere qualcosina in più.
    Infatti, anch'io uso sempre OS ed internet security originali.
    Gli attacchi che infettano periferiche sono i peggiori (come i virus che cambiano MBR).

    Citazione Originariamente scritto da Kirk78 Vedi messaggio
    Disattivando il DHCP e inserendo te dei DNS a tua scelta quelli del router non dovrebbero essere presi in considerazione, infatti nel mio caso l'attacco aveva riattivato il DHCP sul router e io vedevo delle cose non buone. Per ora non ho più avuto problemi di redirect da router.... speriamo bene...
    Il mio file host di windows con i DNS base non viene modificato, però prevale sempre il DNS indicato sul router, che viene modifcato quando visito certe pagine web indipendentemente che imposti l'opzione "DNS scelti dall'utente", impostando quelli google.
    Installando un browser Comodo, per esempio Ice Dragon si forza il browser ad usare i DNS comodo. Il risultato è che il DNS del router rimanda ai DNS comodo che bloccano il caricamento della pagina malevola avviata dall'attacco hacking (per esempio la pagina del virus della polizia).
    Però la soluzione è un paliativo perchè comunque si richiama il server malevolo.

    Citazione Originariamente scritto da Kirk78 Vedi messaggio
    Per alcune infezioni, non credo che controllino il router, ci vogliono dei tool specifici perché "boicottano" gli antivirus installati. Alcune liveCD (base linux) possono controllare meglio, ma non tutte eliminano alcune infezioni. Esempio anche il buon Avira Rescue System attualmente aggiornato al 12 febbraio 2015.
    Se ti crei una USB con W8.1 dentro installato da zero, aggiornato e lo avii da BIOS al posto del C del computer, hai un OS vergine con cui analizzare il disco interno del PC.
    La mia preoccupazione è se esistono malware con alterazione dell'UEFI o GPT, proprio come nel 2010 vennero fuori quelli che alteravano l'MBR ed erano piuttosto ostici da eliminare.


    Citazione Originariamente scritto da Kirk78 Vedi messaggio
    L'unica maniera di stare moooolto più tranquilli è quello di usare Linux. Attualmente scrivo da Ubuntu 14.

    Facci sapere.
    Oddio, il 2014 è stato un bel sellshock anche per linux
    comunque si, in genere è più affidabile.

    Ma se creo una live di Tails esiste un programma antivirus installabile in linux con definizioni per windows con cui scansionare un C con sotware e dati windows?

    Rispondi citando Rispondi citando

  10. #9
    Data registrazione
    Sep 2014
    Messaggi
    16
    Grazie dati 
    1
    Grazie ricevuti 
    4
    Ringraziato in
    3 post

    Riferimento: I software sandbox possono prevenire attacchi ROM0 al router?

    Comunque su Computer Bild spiegano come farsi un router senza alimentatore con Arduino con auto-connessione a Tor
    ^_^''

    Rispondi citando Rispondi citando

  11. #10
    Data registrazione
    Feb 2010
    Località
    NCC1701
    Messaggi
    3,822
    Grazie dati 
    1,307
    Grazie ricevuti 
    1,323
    Ringraziato in
    996 post

    Riferimento: I software sandbox possono prevenire attacchi ROM0 al router?

    sotto il modem ci sono i numeri di PN, SN, EAN, MAC.
    Il MAC address non serve e neanche il SN (Serial Number). Potrebbe essere utile il PN (Part Number) o l'EAN (European Article Number).

    il 2014 è stato un bel sellshock anche per linux
    Puoi spiegare meglio?

    Ci sono parecchie liveCD per controllare alcuni (non tutti) i virus come Avira Rescue System detto sopra (Ubuntu). I virus sono praticamente solo per windows

    L'attacco ROM0 non mi risulta che si approri di password, nè per l'accesso alle impostazioni del router
    In realtà, a quanto ho capito, è esattamente quello che fa: entra e modifica le impostazioni. Se non può entrare non può fare nulla. Imho.

    Ho dovuto riabilitare il DHCP perchè altrimenti non riuscivo a connettere 2 pc via wireless. Se ne connetteva uno solo.
    Forse dovrei impostare un IP di rete fisso per restare col DHCP disattivato.
    Esatto se togli il DHCP devi necessariamente mettere gli IP fissi (diversi) sui vari computer. Tra me, la mia famiglia e il lavoro avrò 6-7 IP fissi diversi.

    Se hai il DHCP attivo è molto probabile che il "primario" si quello indicato nel router.


    Rispondi citando Rispondi citando Il mio PC

Tags per questo thread

Segnalibri

Regole di scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
Cookies:direttiva 2009/136/CE (E-Privacy)

Il sito utilizza cookies propri e di terze parti per maggiori informazioni faq - Termini di servizio - Cookies
Il forum non puo' funzionare senza l'uso dei cookies pertanto l'uso della community è vincolato dall'accettazione degli stessi, nel caso contrario siete pregati di lasciare la community, proseguendo la navigazione acconsenti all’uso dei cookie