Router Tp-Link hackerato

gdemis · 2021-07-13T15:59:36+00:00

Racconto la mia esperienza, magari può essere utile a qualcuno: premetto che ho sempre dato fiducia a questo brand per il rapporto qualità/prezzo per cui non...

gdemis

AntonioSolida Temo che non siamo stati gli unici sfortunati ma il problema era diffuso se hanno apportato velocemente queste modifiche, ne parlava l'assistenza tp-link ad inizio post

mariocos

gdemis Essendo nei precedenti firmware abilitato di default l'acesso telnet, credo sia sufficiente quello a gestire da remoto il modem senza dover necessariamente usare la gestione remota attraverso la gui.

gdemis

[cancellato] Per lo meno quelli che non hanno un autenticazione multifattore per il login via web o almeno un minimo di sistema per limitare i tentativi di login esempio il semplice captcha

[cancellato]

gdemis A prescindere dalle autenticazioni... vengono scoperte pressoché a cadenza mensile quando non settimanali falle sulle interfacce di amministrazione che espongono anche attacchi non autenticati.

Queste configurazioni, inutile negarlo, sono nate per essere una comodità, non una interfaccia robusta per essere abusata da una esposizione incontrollata.

E non parlo di TPLink eh, sia chiaro... tutte le interfacce di amministrazione sono così. Anche di marche da big€ nell'enterprise.

gdemis

mariocos io ho impostato "casa" come username per cui anche facilmente identificabile.

mariocos

gdemis In ogni caso sembra un attacco mirato a questa tipologia di modem e anche di rete, infatti entrambi abbiamo subito il furto dei dati VoIP su rete Tim. Considerato che nel tuo caso hai accertato alcune modifiche nella configurazione del modem mi sembra un attacco fatto da persone "esperte" e probabilmente difficile da evitare per una persona con poco esperienza in quest'ambito come nel mio caso.

mariocos

Adesso personalmente sono preoccupato poiché vorrei una risposta celere da Tim ma a distanza di 24h dall'email dove allego la denuncia non hanno ancora risposto. gdemis nell'email dove segnalavano l'abuso le hanno chiesto anche un intervento tecnico per certificare la sicurezza della rete? Nel caso come hai fatto? Hai contatto una ditta come richiesto nell'email?

[cancellato]

[cancellato] vero vero, d'altra parte la porta più robusta è quella che non c'è.

gdemis

mariocos Ne una ne l'altra secondo me, questo tipo di attacchi sfruttano delle metodologie e vulnerabilità frequenti come diceva @[cancellato] che sono facilmente reperibili in ambienti dedicati a questa "attività", per cui chi vuole perpetrarle può seguire tranquillamente una procedura senza dover conoscere bene la materia networking, il livello di sicurezza messo in atto sicuramente segue l'ambito di applicazione, io il Tp-Link l'ho installato a casa dei miei e attivato l'amministrazione remota semplicemente pensando: non hanno neanche un portatile ma solo la fire stick e il cellulare, se anche dovessero entrare nella rete cosa potrebbero fare? Mi è proprio sfuggita l'idea che avrebbero potuto fare chiamate Voip internazionali sfruttando la linea di casa, in ambito aziendale non darei mai dispositivi di questa fascia o farei impostazioni di gestione remota in questo modo, purtroppo neanche gli utenti casalinghi sono al sicuro oggi quindi bisognerebbe applicare le best practices di ambito corporate anche a casa.

gdemis

mariocos La relazione tecnica relativamente a quanto successo e le remediation messe in atta l'ho fatta io con la carta intestata della mia azienda lavorando in ambito informatico, per cui con inclusa la denuncia fatta ai carabinieri hanno confermato velocemente che non ci sarebbero stati addebiti di quelle chiamate in fattura, in altro caso dovresti interpellare una società informatica e chiedere un intervento e dichiarazione simile. A noi Tim aveva detto che bisogna fare tutto entro 10gg altrimenti procedono con la fatturazione delle chiamate.

mariocos

gdemis Potrei sapere in quale zona lavora, visto che sto riscontrando difficoltà nel trovare una ditta/tecnico che faccia questo lavoro.
Eh si... mi hanno dato 10gg di tempo per procedere a inviare la documentazione richiesta dal momento in cui hanno inviato i tabulati cioè il 27/07.

gdemis

mariocos Noi siamo a Milano, lavoriamo esclusivamente su clienti aziendali però, se è della zona le posso nel caso lasciare un contatto di un collaboratore che ha la sua attività di assistenza informatica e gestisce anche gli utenti privati.

mariocos

gdemis Io sono di Castellammare di Stabia (Napoli), quindi niente da fare direi.

gdemis

mariocos Sicuramente le operazioni da fare sono: aggiornamento del firmware (trascrivere prima i dati di configurazione Voip visto che poi la password verrà nascosta), reset del router alle impostazioni di default, riconfigurazione e verifica delle ACL introdotte che il nuovo firmware, sicuramente la gestione remota non andrà più attivata. Per quanto riguarda le credenziali Voip Tim non da la possibilità di cambiarle (ho fatto più chiamate all'assistenza tecnica) per cui anche se qualcuno da qualche parte sulla terra ha le nostre credenziali finchè non potrà riottenere l'accesso alla rete non potrà farci niente. Queste operazione andranno documentate nella relazione da inviare a Tim.

simonebortolin

gdemis per cui anche se qualcuno da qualche parte sulla terra ha le nostre credenziali finchè non potrà riottenere l'accesso alla rete non potrà farci niente.

per fortuna che sono limitate alla porta sull'ONU o all'albero😇

mariocos

gdemis Io nell'email ho proposto di reinstallare il modem fornito in comodato d'uso, che pur essendo malfunzionante dovrebbe essere sufficiente a dimostrare la sicurezza della rete. In ogni caso seguirò sicuramente il suo consiglio, grazie mille. Personalmente non riattiverò le chiamante internazionali evitando quindi che possa essere addebitato il costo della chiamata malevola.

[cancellato]

simonebortolin per fortuna che sono limitate alla porta sull'ONU o ~~all'albero~~ all'ONT ID.

fixed 😛

Emmeci

Comunque interessante che esista ancora il phreaking, pensavo fosse morto a metà degli anni '90

gdemis

Emmeci Le centrali telefoniche sono ancora oggetto di attacco, con quelle di un noto produttore che inizia con la P ad esempio (visto con i miei occhi) se le pubblichi su web per la gestione remota (con la sua applicazione e porte dedicate) in poche ore qualcuno sarà riuscito ad ottenere l'accesso e configurare un interno Voip remoto per fare chiamate internazionali.

massie

handymenny Sì, certo. E la cosa può essere utile.

handymenny

massie Sì certo, non metto in discussione l'utilità, ma mi aspettavo che di default ne accettassero solo una e che l'app TIM telefono usasse un tipo di autenticazione diversa

Alex78

Rivolgo la mia domanda a chi è stato vittima di questi raggiri.
Le password amministrative del router - ovvero quelle che si usano per accedere alla web gui - sono state cambiate? Sono state fornite dall'operatore telefonico? O erano quelle di default?

OperationOne

Alex78 era stato tutto ovviamente modificato, password non erano estremamente complesse ma comunque non banali. adesso è tutto abbastanza più robusto, però attenderei comunque un aggiornamento firmware da @TP-Link_Italia_Support per ulteriore tranquillità...

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile