Re: Modifica parametri router da parte di un Hacker

>Archivio: Settembre 2002 ml@sikurezza.org
>Soggetto: Modifica parametri router da parte di un Hacker
>Mittente: Alberto
>Data: 11 Sep 2002 21:38:12 -0000
>
>Premesso che non sono un esperto di sicurezza, voglio raccontarvi quello
>che mi è successo stamattina.
>Un cliente mi chiama in ditta perchè non riesce più ad inviare la posta
>dalla sua rete aziendale.
>Esco per effettuare l'assistenza ed effettivamente la posta in uscita
>non viene recapitata visualizzando l'errore: "Relaying not allowed". La
>rete aziendale del mio cliente è "composta" da una diecina di client e
>un server (NT4 server) collegati ad internet mediante un semplice Router
>Zystel 202 impostato con una connessione a Tin.it. I client ricevono la
>posta tramite Pop3 da un provider che fornisce anche la gestione del
>sito internet e inviano posta tramite l'Smtp di tin.it (mail.tin.it). Il
>messaggio "Relaying not allowed" mi fa subito capire che è stato
>cambiato il provider di connessione ad internet (Tin.it) che non
>permette il relaying a mail.tin.it. Tento allora di connettermi tramite
>HyperTerminal al Router, ma mi accorgo con stupore che è stata
>modificata la password! Chiamo la Tin.it e dopo varie verifiche
>(controllo dell'indirizzo ip durante la connessione) si chiarisce che la
>connessione non avviene più tramite Tin.it. Inoltre tramite l'aiuto di
>un tecnico telecom, con un'apparecchiatura particolare riusciamo ad
>individuare il numero di telefono che compone il router. Si tratta di un
>provider (Atlanet), non della nostra provincia, che fornisce
>connettività internet. Chiamo allora Atlanet e mi risponde un tecnico
>che gentilmente mi spiega che probabilmente un hacker è riuscito ad
>entrare nella rete aziendale ad modificare i parametri di connessione ad
>internet ed inserire una password sul router. Lo scopo, secondo lui, era
>quello di poter navigare indisturbato sfruttando l'anonimato del
>collegamento.
>Adesso, premesso che solo io gestisco questa semplice rete aziendale, e
>nessun utente ha le capacità tecniche per fare questo tipo di modifiche,
>perchè un hacher dovrebbe modificarmi i parametri di connessione? Che
>vantaggio avrebbe collegare il router ad un'altro provider (a parte
>farci spendere soldi per delle chiamate interurbane)? non sarebbe stato
>più intelligente lasciare la connessione di tin.it così da non destare
>sospetti? Inoltre è possibile sfruttare questo tipo di attacco per fare
>una specie di ponte per poter navigare in anonimato (cioè a nome
>nostro?).
>Grazie per ogni possibile chiarimento.
>Alberto.

Nel nostro ufficio e' successa esattamente la stessa cosa.
Identica!!
Ora il router Zyxel prestige 128 plus chiama Atlanet e non piu' Tiscali, e
la pw e' stata cambiata (stupidamente era stato lasciato il default 1234).
La cosa strana e' che l'azienda che fornisce il software per studio
commercialista da tempo fa' pressioni per farci passare ad Atlanet e la
modifica del router e' accaduta subto dopo aver ricevuto degli aggiornamenti
del software ...
Che non si tratti di un attacco di un hacker??
Tra l'altro Atlanet non mi risulta fornire accessi gratuiti, quindi qualcuno
deve pur aver abilitato user e pw ....
Dulcis in fundo quel router non e' resettabile.....o per lo meno non sono
riuscito a trovare il sistema per farlo...
Ciao
Guido




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List