Luca Annunziata

Il router D-Link ha un buco nel firmware

Un hacker scova una backdoor nel proprio hardware. E ne individua di identiche in tutta una famiglia di prodotti. Non č ancora chiaro lo scopo del codice incriminato

Roma - Paranoia complottista o semplice curiosità, la comunità hacker ultimamente sta con le antenne alzate e prova a guardarsi attorno più e meglio che in passato: è così che si fanno delle scoperte peculiari, come quella pubblicata sulle pagine di devttys0 a firma di "Craig", che riporta per filo e per segno la descrizione di una backdoor scovata nel firmware del router taiwanese D-Link DIR-100. C'è una procedura che, se eseguita quando ci si trova nella LAN associata al router, permette di modificarne in modo incontrollato la configurazione.

Nella trattazione di Craig si parte dall'analisi del firmware del router, e dei suoi componenti: tra questi l'hacker sceglie di concentrarsi sulla funzione "alpha_auth_check" che descrive appunto le modalità di accesso previa autorizzazione al pannello di configurazione, e scavando scavando si arriva a comprendere qual è il percorso che seguono le varie funzioni richiamate per concedere i privilegi necessari a modificare le impostazioni. Il problema è che se l'user-agent del browser utilizzato per accedere al classico pannello di configurazione è settato su "xmlset_roodkcableoj28840ybtide" non c'è bisogno di inserire ID e password per proseguire.



"xmlset_roodkcableoj28840ybtide", letto al contrario, suona sinistramente come: edit by 04882 joel backdoor. Di fatto, probabilmente, uno dei programmatori D-Link o della società che ha sviluppato il firmware ha incluso una backdoor nel software per ragioni tecniche, così da permettere a specifiche applicazioni o funzioni di aggiornare autonomamente e automaticamente le impostazioni: il problema è che tutta la famiglia di router che condivide il firmware con il DR-100, tra gli altri DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+ e anche parrebbe un paio di device forniti da alcuni provider assieme all'abbonamento, è vulnerabile a questo tipo di backdoor che potrebbe complicare la vita a qualche amministratore di sistema.
Č bene chiarire che non si tratta di router impiegati in installazioni su scala aziendale, quanto piuttosto di prodotti destinati a casa e piccoli uffici: se nel primo caso, quindi, basta evitare che qualcuno si connetta alla LAN per arginare ogni vulnerabilità, nel secondo caso potrebbe essere più complicato venire a capo della faccenda in presenza di WiFi aperte al pubblico (per esempio in una reception o in una attività quale un bar o un ristorante). Al momento non ci sono indicazioni su che intenda fare l'azienda di Taiwan sulla questione.

Luca Annunziata
19 Commenti alla Notizia Il router D-Link ha un buco nel firmware
Ordina
  • per un buon 95% dei dlink c''e il sistema semplice per entrare;
    per il restante 5% conscious, limitando l'accesso a wifi e proteggendo la lan fisica si dovrebbe stare relativamente tranquilli, ..o no?
    non+autenticato
  • Backdoor governativa o possibilità dell'azienda del router di offrire eventualmente assistenza remota per "utonti"?
    Una cosa e' certa c'e' una backdoor e NON dovrebbe esserci !

    Ultimamente non ti puoi fidare ne' dei router ne dei software... qualche "traditore della causa" si trova perfino fra le fila del software libero Open Source!
    Mi riferisco al cosiddetto "Shopping Lens" introdotto nella versione 12.10 di Ubuntu !
    http://www.theregister.co.uk/2012/10/18/ubuntu_12_.../

    "Nella sua configurazione di default, la versione 12.10 si assume che gli utenti abbiano deciso di consentire alla casa madre di Ubuntu, Canonical di raccogliere i dati di ricerca degli utenti e gli indirizzi IP e di divulgare queste informazioni a terzi, tra cui Facebook, Twitter, BBC e Amazon, attirandosi le critiche da sostenitori della privacy"

    " According to the FSF, the adware introduced in version 12.10 violates users' privacy and "is one of the rare occasions in which a free software developer persists in keeping a malicious feature in its version of a program."

    " As of October 2012, Ubuntu sends personal data about users' searches to a server belonging to Canonical, which sends back ads to buy things from Amazon. This does not, strictly speaking, affect whether Ubuntu is free software, but it is a violation of users' privacy. It also encourages buying from Amazon, a company associated with DRM as well as mistreatment of workers, authors and publishers".

    http://www.gnu.org/distros/common-distros.html (citazione tratta dalla voce "Ubuntu GNU/Linux")

    This adware is one of the rare occasions in which a free software developer persists in keeping a malicious feature in its version of a program.
    According to Richard Stallman, founder of the Free Software Foundation and the GNU Project, Ubuntu contains spyware and should not be used by free software supporters. Citing concerns about data leaks, The Electronic Frontier Foundation has outlined a number of requested improvements for future versions, asking Ubuntu developers to "make sure that you respect your users' privacy and security."

    http://www.zdnet.com/free-software-father-declared.../

    http://www.theregister.co.uk/2012/12/07/stallman_o.../

    (ulteriori citazioni,articoli ed approfondimenti su wikipedia versione inglese http://en.wikipedia.org/wiki/Ubuntu_%28operating_s...
    paragrafo "Controversy" nella voce "ubuntu")



    qui c'e' Stallmann che ci spiega tutto:


    insomma teniamo gli occhi aperti ed informiamoci !
    non+autenticato
  • Condivido. Io utilizzo ubuntu 12.04 e presto passerò a mint 13 maya - mate perchè credo che la Canonical si stia dimenticando del motivo per cui è nato l'open source. Comunque il bello del software libero è dovuto anche al fatto che di un sistema operativo puoi fare un fork, come è stato fatto dagli sviluppatori di mint con ubuntu. Geek
    non+autenticato
  • - Scritto da: Nome e cognome
    > Condivido. Io utilizzo ubuntu 12.04 e presto
    > passerò a mint 13 maya - mate perchè credo che la
    > Canonical si stia dimenticando del motivo per cui
    > è nato l'open source. Comunque il bello del
    > software libero è dovuto anche al fatto che di un
    > sistema operativo puoi fare un fork, come è stato
    > fatto dagli sviluppatori di mint con ubuntu.
    > Geek

    io pure sto usando la 12.04 LTS... ho aggiornato dalla versione 10.04 LTS
    alla 12.04 LTS ... e non credo che lo aggiornero' ulteriormente se prima Ubuntu non ritorna sulla retta via... sono in molti a parlarmi di mint come alternativa ad ubuntu... se decido di cambiare distro (e se Ubuntu e "l'astronauta africano" continuano su questa strada ignorando le critiche ...e' abbastanza certo) penso che stavolta passero' direttamente a Debian... ma cmq prima mi riservo di provare mint dato che ne parlano in molti come di una buona alternativa ad ubuntu...
    non+autenticato
  • - Scritto da: Nome e cognome
    > Condivido. Io utilizzo ubuntu 12.04 e presto
    > passerò a mint 13 maya - mate

    eh ma mint è derivata da ubuntu... per cui mi sa che sei punto e a capo...

    molto meglio allora debian (*solo* il repository 'main') + mate...


    > perchè credo che la
    > Canonical si stia dimenticando del motivo per cui
    > è nato l'open source.

    ehm... no...
    l'opensource (a differenza del software libero) è nato con lo scopo dichiarato di fare soldi, per cui canonical non fa altro che interpretare "al meglio" lo spirito "open"...
    non+autenticato
  • - Scritto da: Franky

    > qui c'e' Stallmann che ci spiega tutto:
    >

    Ma questa è una stronzata! Ma nooo, ma che STRONZ......
    Hmmmm... ops, sbagliato video... Rotola dal ridere
    non+autenticato
  • - Scritto da: ...
    >
    >
    > Ma questa è una stronzata! Ma nooo, ma che
    > STRONZ......
    >
    > Hmmmm... ops, sbagliato video... Rotola dal ridere

    (Il video e' quello corretto...parla specificamente di questa cosa...
    se lo guardi tutto...e non i primi 30 secondi..)

    Secondo te e' normale che Canonical "spii" l'utente tenendo traccia della navigazione dell'utente ed invii i dati della navigazione ad Amazon facebook twitter BBC (che non ho capito ancora che se ne fa la BBC dei dati della mia navigazione...) in un software Open source ?
    Stallmann ha ragione...!!!Altro che storie !
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: Franky
    > - Scritto da: ...
    > >
    > >
    > > Ma questa è una stronzata! Ma nooo, ma che
    > > STRONZ......
    > >
    > > Hmmmm... ops, sbagliato video... Rotola dal ridere
    >
    > (Il video e' quello corretto...parla
    > specificamente di questa
    > cosa...
    > se lo guardi tutto...e non i primi 30 secondi..)
    >
    > Secondo te e' normale che Canonical "spii"
    > l'utente tenendo traccia della navigazione
    > dell'utente ed invii i dati della navigazione ad
    > Amazon facebook twitter BBC (che non ho capito
    > ancora che se ne fa la BBC dei dati della mia
    > navigazione...) in un software Open source
    > ?
    > Stallmann ha ragione...!!!Altro che storie !

    Era un "inside joke" che solo che frequenta PI regolarmete potrebbe capire. Occhiolino
    non+autenticato
  • Dal log del server:
    209.126.230.72 - - [14/Oct/2013:11:06:54 +0000] "GET / HTTP/1.0" 200 7040 "-" "xmlset_roodkcableoj28840ybtide"

    P.S. Ora GMT, ossia ora legale italiana -2
    non+autenticato
  • Dovresti meravigliarti se fosse stato diversamente, un routerello è una occasione molto ghiotta per sfruttare potenzialmente una piccola rete invece che un solo "zombie".
    non+autenticato
  • - Scritto da: umby
    > Dal log del server:
    > 209.126.230.72 - - [14/Oct/2013:11:06:54 +0000]
    > "GET / HTTP/1.0" 200 7040 "-"
    > "xmlset_roodkcableoj28840ybtide"
    >
    > P.S. Ora GMT, ossia ora legale italiana -2
    eh ebbe'...Sorride la notizia e' di sabato... e poi e' stata pure slashdottata
    non+autenticato
  • il DIR-100...
    Tutti gli altri della serie supportano "openwrt"....
    E.. passa la paura...

    A bocca aperta
    non+autenticato
  • e' carina come notizia... si, l'avevo letta domenica mattina, ma l'articolo di P.I. non e' male (piu ricco del solito).

    Aggiungerei solo che
    a)il tizio "del partner d-link" menzionato nella backdoor, parrebbe lui http://www.joesdata.com/executive/Joel_Liu_4213130... . Ovviamente non ci sono prove certe.
    b) anche se era gia menzionata in un forum russo nel 2010, senza reverse engineering del binario, non avevano capito cosa fosse/come usarla
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)