Redirigir el enrutador

Los expertos en seguridad han descubierto un nuevo tipo de ataque informático que podría afectar a millones de personas en todo el mundo. Se puede crear un sitio web simple para manipular los enrutadores domésticos, que se utilizan para conectar varias computadoras domésticas a Internet, de modo que los estafadores puedan recopilar información personal y contraseñas.





Código pícaro: Los investigadores de seguridad han demostrado que es posible un nuevo tipo de ataque informático. El código oculto en una página web se puede utilizar para infiltrarse en los enrutadores domésticos y cambiar la configuración del nombre de dominio.

Según investigadores de Universidad de Indiana y la empresa de software antivirus Symantec , cualquier persona con un poco de habilidad puede buscar enrutadores domésticos vulnerables y cambiar configuraciones críticas para que los sitios web reales se reemplacen en secreto con páginas falsas que solicitan información de inicio de sesión.

El gran problema es que no puede ver de inmediato que hay un problema, dice Tribu Sid , un Ph.D. candidato de la Escuela de Informática de la Universidad de Indiana y uno de los investigadores del proyecto.

Por ejemplo, una víctima desconocida que escribe el nombre de dominio de su banco puede ser recibida por una página que parece legítima. Pero cualquier información de inicio de sesión y contraseña que se ingrese en esa página irá directamente al estafador.

En esencia, el ataque es una vieja táctica llamada pharming. Pero Stamm y sus colegas encontraron un nuevo giro: una página web, dicen, puede usarse para lanzar un ataque contra enrutadores domésticos y manipular la configuración del servidor de nombres de dominio. (Ha habido especulaciones previas de que este tipo de ataque podría ser posible, pero los investigadores dicen que son los primeros en demostrar que una página web puede usarse para reconfigurar estas configuraciones particulares en el enrutador). Todo lo que el atacante necesita es el usuario interno. Dirección de Protocolo de Internet (IP) y la contraseña para los ajustes de configuración en el enrutador. Ambos, dice Stamm, a menudo se pueden adquirir fácilmente en un ataque remoto y automatizado.

Primero, el atacante crea una página web para atraer a las víctimas con contenido popular, como fotos de celebridades, dice Zulfikar Ramzan , investigador principal senior de Symantec que también trabajó en el proyecto del enrutador. Mientras la víctima ve las imágenes, un código invisible captura la dirección IP del usuario y sondea el enrutador, en busca de pistas que puedan revelar su marca. Una imagen del logotipo de la empresa, por ejemplo, generalmente se guarda en el enrutador. Todo este hurgar no genera ninguna señal de alerta porque el enrutador cree que son solo solicitudes legítimas de información de la computadora de la víctima.

Una vez que el atacante determina la marca del enrutador, a menudo puede adivinar la contraseña de configuración porque muchas personas usan la contraseña predeterminada del fabricante, dice Stamm. Si bien no se sabe exactamente cuántos enrutadores carecen de contraseñas de configuración adecuadas, un estudio informal publicado el año pasado en el Revista de práctica forense digital descubrió que el 50 por ciento de los usuarios domésticos con un enrutador de Internet de banda ancha optaron por el predeterminado o no tenían ninguna contraseña. (Los enrutadores tienen otra contraseña opcional para evitar que los forasteros usen una red inalámbrica, y la gente tampoco suele emplear ese sistema de contraseña. Pero es la contraseña de configuración la que se usa específicamente en este ataque).

Con la contraseña de configuración y la dirección IP, el atacante puede cambiar fácilmente qué servidor de nombre de dominio utiliza la víctima como directorio de Internet. Es como si el atacante hubiera reemplazado su directorio telefónico por uno nuevo, dice Ramzan. Así que ahora está obteniendo direcciones de la guía telefónica del atacante.

La próxima vez que la víctima visite el sitio web de su banco, por ejemplo, el navegador web podría ser redirigido a un sitio de imitación. Este sitio falso, administrado por el atacante, se utiliza para capturar la información de inicio de sesión y contraseña de la víctima.

Ramzan insiste en que esto no requeriría mucha habilidad. Este ataque en particular es muy poderoso en ese sentido. El atacante no tiene que ser tan técnicamente sofisticado para montarlo.

Afortunadamente, solucionar el problema también es sencillo. La forma más fácil de defenderse de este tipo de ataque es cambiar la contraseña [de configuración del enrutador], dice Ramzan. Desafortunadamente, los fabricantes de enrutadores no requieren que los usuarios establezcan nuevas contraseñas porque quieren que su software sea fácil de usar.

Querían simplificar el proceso, por lo que lo hicieron para que la gente no fuera realmente incitada o animada a cambiar la contraseña, dice Ramzan. Mi sensación es que es un cambio bastante fácil de realizar [para las empresas de enrutadores].

Otra solución sencilla: haga que la contraseña predeterminada sea única. La contraseña podría, por ejemplo, establecerse inicialmente en el número de serie del producto. Si bien el atacante aún podría intentar adivinar el número de serie, cada intento fallido de inicio de sesión alertaría al usuario con un mensaje de error.

Pero Ramzan dice que la raíz del problema no es la contraseña de configuración. El problema real es que una página web se puede utilizar para reconfigurar la configuración de un enrutador. Eso, dice, es lo que los expertos en seguridad deberán abordar en el futuro.

Los investigadores de enrutadores dicen que aún no han visto a nadie lanzar un ataque de este tipo y esperan que su trabajo genere conciencia para que las personas cambien sus contraseñas antes de que se convierta en un problema real.

Es un descubrimiento interesante, dice Jeff Gennari, analista de seguridad de Internet con CIERTO , un centro de coordinación de seguridad informática establecido por varias agencias federales de EE. UU., incluido el Departamento de Defensa de EE. UU., y dirigido por el Instituto de Ingeniería de Software de la Universidad Carnegie Mellon. Descubrir este tipo de problemas de configuración pone de manifiesto lo complicada que puede ser la seguridad.

esconder