Un ricercatore francese ha trovato una backdoor attiva in molti router Wireless commercializzati anche in Italia.

Router
Sta facendo molto discutere quando dichiarato dall’ex tecnico della CIA Edward Snowden al giornalista Glenn Greenwald, indicando che in molti router e server prodotti da Dell, Cisco, Samsung, Western Digital, Seagate, Maxtor ecc sono presenti delle backdoor richieste ai produttori dalla NSA (National Security Agency). Se per molti erano solo ipotesi, arriva la conferma da Eloi Vanderbeken, uno sviluppatore / ricercatore francese, che ha rilevato una Backdoor in diversi modelli di router Wireless.

A causa di una dimenticanza della password di amministrazione del proprio router, il ricercatore francese ha deciso di studiare per bene il proprio router fino ad arrivare ad una strana backdoor che consentiva da remoto di inviare senza alcuna autenticazione.
Segnalata la scoperta, alcuni sviluppatori hanno iniziato a controllare i propri router verificando che la  backdoor è presente anche in molti router prodotti da Cisco, Watchguard, Belkin, Linkys e Netgear ecc rilasciando anche una lista aggiornata che possiamo consultare da questa pagina.

A quanto pare attualmente ci sono più di 2.500 modelli di router che in omaggio ci regalano una bellissima backdoor, e parliamo solo di router, è possibile che ci siano anche “porte nascoste” anche in server, smartphone, tablet ecc. Tengo a precisare che la scoperta delle backdoor nei router risale da diversi mesi, personalmente ne sono venuto a conoscenza solo poche ore fa grazie alla segnalazione di un nostro lettore.
C’è da preoccuparsi??

Ringrazio il nostro lettore Paolo C. per la segnalazione

  • MrStallman .

    C’è da preoccuparsi sì! È molto verosimile. Stiamo assistendo ad una palese violazione della privacy degli USA per arricchire i loro database globali. Gli scopi reali sono ovviamente segreti e non promettono nulla di buono.

    • Renza Laracchia

      Nei piccoli paesi la gente perde metà la metà del
      suo tempo a spiare le cose degli altri e l’altra metà a riferire quello
      che ha scoperto o inventato.
      (Aristide Gabelli, Pensieri, 1886)
      ————
      Come vedi gli americani non hanno inventato nulla.
      😉

      • Andrea

        ma siiii, come tutte le cose che si evolvono; una volta si spettegolava che era un piacere nella piazza del paese, ora basta accendere i nostri bellissimi ed indispensabili dispositi eletrronici e il gioco è fatto. è l’evoluzione, il benessere, la crescita, l’occidentalismo sfrenato che non guarda in faccia a nessuno, nemmeno a quei milioni di bambini che nel mondo muoiono di fame e sete, di violenze e maltrattamenti….e poi ci si lamenta perchè veniamo spiati nel nostro quotidiano intimo amplesso elettronico…..

        • Renza Laracchia

          Parole sante..!!!

  • matteo

    io ho propio un netgear presente nell’elenco e a volte ha comportamenti strani, un pò da preccuparsi cè, ma cosa si può fare? nulla -_-

  • Justin Polidori

    Io ho un Netgear dgn 2200…molto male!

    • Angelo Giovanni Giudice

      Io pure! Ma guardando la lista si legge:
      Netgear DGN2200Bv3 (V1.1.00.23_1.00.23)
      Quindi deve essere la v3 del modello usato in Germania!
      il mio è:
      Netgear DGN2200 con firmware (V1.0.0.46_7.0.44) (quando non c’è scritta la versione è sempre il v1).
      Controlla che versione c’è scritta sotto al modem e comunque per essere infetto dovrebbe essere il modello della Germania (B)

      • Justin Polidori

        Netgear DGN2200v3 – Firmware : V1.1.00.23_1.00.23… Speriamo sia infetto solo quello della Germania allora!

        • Angelo Giovanni Giudice

          lo spero pure io, anche se il numero di versione è identico…. Magari hanno testato solo la versione Tedesca.. Bisogna vedere se c’è un modo per verificare la presenza dell’infezione da se.

    • diego

      io wnr2200 hai firmware stock o opensource?

      • Angelo Giovanni Giudice

        io Stock V1.0.0.46_7.0.44
        Per il v1 esiste firmware opensource? So che hanno rilasciato i sorgenti ma essendo con chipset Broadcom non sono completi. (tutta serie DGN2200vX e DGN2000)

        • diego

          non so sinceramente per i dgn io ho solo router wnr lo preso ieri sera da mia sorella comprato mai usato ora devo vedere che versione e

      • Justin Polidori

        2200v3 V1.1.00.23_1.00.23 Stock

  • luca

    Non oso immaginare cosa ci sia in smartphone e tablet ….

    • Renza Laracchia

      Osa Luca.. osa..!!!
      😉

  • LelixSuper

    Perfetto, e immagino che il firmware non sia opensource…

  • Andrea

    Che dire siamo tutti potenzialmente controllabili, ovviamente il problema risiede al livelli politici, indistriali ed economici, non penso che il loro scopo sia vedere cosa faccio, io misero internauta a caccia di filmini poxno o il mio vicino di casa che si scarica i film dal torrent…lo scopo è ben altro, prevedere ed in qualche modo controllare gli aspetti politici, industriali ed economici di un paese, poi sicuramente, come ci vogliono vendere la cosa, per scopo di sicurezza, anti terrorismo e bla bla bla…… Se poi vogliono sapere quante volte vado al cesso, fanno prima a chiedermelo ah ah ah

    • Dartagnan92

      credimi… i loro scopo è anche schedarci tutti…

      • Kraig

        Come se non bastasse facebook.

        • Dartagnan92

          hai ragione ma loro vanno oltre facebook… che a loro non basta.

          • Kraig

            Two balls! 🙁

  • Gustavo

    questo depone a favore delle distribuzioni che attivano il firewall in maniera predefinita, e che a volte ho sentito sbeffeggiare come inutili

  • Lorenzo_03

    Si può usare un router con firmware modificato come ho fatto io. In questo modo si tagliano a monte tutti i problemi, oltre ad aggiungere molte funzionalità ai router stessi:

    http://www.dd-wrt.com/site/index

    Saluti

    • ge+

      non tutti i modelli sono supportati, il mio no purtroppo; idem gon gargoyle e openwrt

      • flavio

        aggungo che il mio router con ddwrt non funziona fastweb,con open wrt invece si,misteri del routing:)

  • ale

    Basta chiudere la porta 32764 dal setup del firewall del router, se mai se volete controllare se il vostro router è incriminato basta fare una scansione con nmap, la cosa più grave è che le config di default dei router espongono l’ interfaccia web e telnet lato WAN, immaginatevi i rischi, soprattutto se uno tiene le password predefinite…

    • Cipo

      No, non basta. Ho aggiunto delle regole al firewall del mio Netgear, ma rimane vulnerabile lo stesso. La “fortuna” è che la porta 32764 è aperta solo lato LAN, nel mio modello. Molti altri modelli anche lato Internet. Un mio collega si è trovato il router resettato un po’ di volte, e insiste a non preoccuparsi… La soluzione su cui mi sto documentando è gettare nel cesso questo router e comprarne uno su cui installare DDWRT.
      Comunque, dai, Netgear ha reso disponibile un nuovo firmware prima di Pasqua. In questo la backdoor è stata nascosta meglio…

      • Alessandro

        Strano eppure io ho letto in giri con un po’ di ricerca che nemmeno DD-WRT (free Linux-based firmware for several wireless routers) è immune da backdoor.

      • ale

        Puoi chiudere la porta incriminata, ovviamente dal lato lan non la puoi chiudere, ma dal lato WAN si (al limite se non c’è l’ opzione per chiuderla imposta il port forwarding di quella porta verso un ip inesistente, come faccio spesso con la 80 nei router dove non c’è la possibilità di chiudere l’interfaccia web lato WAN)

        Poi se sei fortunato magari il tuo router è supportato da openWRT (il mio no, è ancora work in progress)

    • ge+

      per testare la porta 32764 sul vostro router ho trovato questa guida

      http://blogs.computerworld.com/network-security/23443/how-and-why-check-port-32764-your-router

      • diego

        test superato netgear wnr2200,ma mi da fastidio lo stesso anche se non ho niente da nascondere:)

  • Cipo

    La storia non è finita qua. A Pasqua quel ricercatore ha esaminato il firmware che Netgear ha rilasciato per tappare il buco, e ha trovato di nuovo la backdoor, solo nascosta meglio.
    http://arstechnica.com/security/2014/04/easter-egg-dsl-router-patch-merely-hides-backdoor-instead-of-closing-it/

    C’è da preoccuparsi? Certo! Nel log del mio router ogni tanto trovo che qualcuno ha provato a fare una scansione della porta 32764. Chiunque può connettersi senza bisogno di autenticazione e far danni. Per “fortuna” il mio è tra quelli con la porta in ascolto solo lato LAN.

  • ge+

    ormai la web privacy è irrimediamilmente compromessa, l’unica via d’uscita è utilizzare esclusivamente componentistica che monti software aperto (pc, cellulari router) ed utilzzare internet lo stretto necessario

    Sarei interessato ad installare openwrt o affini sul mio router, sapete se può essere molto rischioso? (non vorrei rischiare di spu**anare tutto, visto che non l’ho mai fatto)

  • Kraig

    Sputtanamento generale bello e buono!
    Ho controllato la lista e il mio router (Netgear DGN1000) ne è infetto, però non mi va di cambiare/aggiornare il firmware per via di un eventuale fallimento nell’aggiornamento. Non mi posso permettere un altro router!

    • Dartagnan92

      meglio aggiornare… se non va via la corrente mentre che aggiorni non succede nulla…

      • Kraig

        Sai che fortuna ho io…

      • brian

        vieno a dirlo al mio tplink che e fermo da un mese con le luci lampeggianti:)

  • sonia

    ma scusate, non è più semplice mettere il cavo Ethernet?
    ecco fatto, nessuno spia più nulla-

    • MoMy

      Infatti io ho attaccato il cavo del telefono direttamente senza cavo ethernet. :p

    • lucio

      non si connettono tramite wi fi ma il router stesso è compromesso

    • esa

      E il cavo eternet per navigare dove lo colleghi, alla stufa a legna? *facepalm*

  • guerino

    non si potrebbe fare una Class action contro i produttori di questi router per violazione della privacy e vendita di un prodotto non conforme …

    • TopoRuggente

      Si bravo …. se fosse possibile sai alla Microsoft che ridere !!!

  • Dartagnan92

    Ho un DGN2200v4 che adesso è spento a prendere polvere… sostituito con un TP-Link TD-W8970… devo sperare che questo non abbia backdoor… TP-Link non è menzionata ma non si sa mai…

    • mattia

      hai quei freeze di internet che parlano nei forum o hai la versione 1.3 e sopra?

      • Dartagnan92

        ho la versione 1.2 e non ho nessun freeze, è sempre stabile e veloce, comunque non esiste nessuna versione 1.3

        • mattia

          a ok forse avro capito male uno scriveva che con aggiornamento alla versione 1.3 si dovevano risolvere i problemi

    • diego freschi

      Volevo prendere il TD-W8970, ma non l’ho trovato nella mia zona, e non avevo voglia di ordinarlo on-line. Cosi ho preso il DGN2200v4, però ha una portata del wi-fi ridotta rispetto ad una versione precedente, la quale aveva le antenne esterne. Il wi-fi del TD-W8970 come si comporta rispetto al DGN2200v4, la copertura è migliore?

      • luca

        avendo prima un tplink 841nd con antenne esterne e ora un netgear wnr2200 senza ti posso confermare che tplink superiore per copertura ma il netgear si sta comportando meglio come prestazioni lo solo posizionato sopra la libreria per avere stessa copertura del tplink fissato al muro
        p.s.stessa casa stessi dispositivi

    • TopoRuggente

      Io ho un TL-WR941N che è risultato pulito…

  • unoacaso

    sai che botnet?

  • unaltroacaso

    Anche senza backdoor nel router, rete internet e rete telefonica sono un colabrodo. E un ex-ministro si e’ recentemente scottato anche con skype.

  • Stefano

    Ho dato una letta alle fonti e al repository su GitHub.
    Mi è venuto un dubbio: stando alle informazioni su GitHub, solo pochi di quei 2500 modelli (5 per la precisione, di cui uno “open” nel vero senso della parola) mettono a disposizione questa bellissima backdoor ad internet.
    Per gli altri la backdoor è disponibile solo se connessi alla rete locale: dunque se l’NSA volesse sfruttarla, dovrebbe prima recarsi a casa mia, o sbaglio?

    • Simone

      Perché se venissero da te, non li ospiteresti?
      Che fine ha fatto il senso di ospitalità tipico del popolo italiano?
      😛

      • Stefano

        Volevo infatti capire per quante persone devo mettere su la pasta 🙂

        • Simone

          In realtà non è proprio come dici tu. Su arstechinca l’articolo dice: “There are some limitations to the use of the backdoor. Because of the format of the packets—raw Ethernet packets, not Internet Protocol packets—they would need to be sent from within the local wireless LAN, or from the Internet service provider’s equipment. But they could be sent out from an ISP as a broadcast, essentially re-opening the backdoor on any customer’s router that had been patched.”
          Quindi pacchetti che vengono anche dall’ISP…

          • Stefano

            Infatti chiedevo conferma. In sostanza la backdoor può essere sfruttata o da qualcuno connesso localmente dalla rete, o dal provider (che volendo potrebbe già filtrare di suo i dati dell’utenza).

            Non mi metto nemmeno a cercare nella lista se la Vodafone Station ha questa backdoor o no. Ti informano già preventivamente che si lasciano una porta aperta per avere accesso al router ed “effettuare aggiornamenti”.

          • Stefano

            Dimenticavo, grazie per la spiegazione!

  • giacomo

    “il ricercato francese ha deciso di studiare”

    ricercato? di già?

  • nel mio router se mi collego alla porta 32764 per qualche istante mi viene fuori una pagina bianca con una strana scritta (MMcSŸŸŸŸ) e subito dopo firefox mi da il messaggio “la connessione è stata annullata”

    è presente la backdoor? il mio router è un linksysWAG200G

    eccodi seguito l’immagine dello screenshot della pagina che viene visualizzata per qualche istante (riunite il link dopo i . )

    oi59. tinypic. com/2visepu. jpg

    EDIT: credo che il mio linksys abbia la backdoor infatti provando a puntare alla porta 32764 sull’ip 10.80.80.2 (IP del mio router linksys) mi dice che la porta è aperta, la cosa bella è che se faccio una scansione generale delle porte aperte, quella porta non risulta aperta, ma se la testo direttamente si.

    va be poco male tanto ora lo uso solo come switch e non come router, visto che da qunado ho messo un’ADSL wireless, mi hanno montato l’antenna con integrato un router in cui quella porta è chiusa e quindi anche se NSA o chi volesse vedere il mio traffico sfruttando la backdoor del mio linksys, non potrebbe comunque visto che il router dell’antenna Wireless bloccherebbe la connessione

  • biosniper

    ho tenuto una serpe in casa….
    stasera quando torno il mio router mi sentirà…:-0

  • elisa

    scusa la domanda forse ingenua ma se il mio router con backdoor lo collego al mio modem fornito dal provider internet il backdoor funziona lo stesso?cioe si collegano al router senza bisogno del modem?

    • zio bill

      penso di no ma generalmente i router sono modem adsl router

      • elisa

        infatti il mio fornito da fastweb e sia modem che router wi fi pero nel 2014 fornire ancora router con wifi g e copertura scarsa senza contare i vecchi contratti con limiti dei ip ho preferito fare un piccolo investimento personale con un router n dual band

    • teoricamente no, visto che per accedere al tuo router, il modem del tuo provider dovrebbe lasciare aperta quella porta verso l’IP del tuo router.

      però nel caso in cui il modem lasci passare tutte le richieste su qualsiasi IP a quel punto penso che potrebbero tranquillamente sfruttare la backdoor visto che il dispositivo non è protetto da un firewall e quindi la porta è accessibile

    • TopoRuggente

      No perchè avresti bisogno di una specifica regola di forwarding o di aver messo il tuo router (interno) in DMZ!!!

      Ricordi il vecchio Emule che bisognava “aprire le porte”, ecco diciamo che il router interno per ricevere pacchetti dall’esterno dovrebbe prima aprire una porta nel router esterno.

  • kali

    ma in pratica come si esegue un test del proprio router?
    Possibile che nessuno dei fritz!Box sia nella lista?
    Oltre a DD-WRT che altri FW open esistono ??
    Tnx

    • per effettuare il test sul tuo router fai una scansione con nmap sulla porta 32764 all’indirizzo del router e ti restituisce se la porta è aperta o chiusa

      ad esempio io con questo comando ho verificato se la porta indicata era aperta sul mio linksys WAG200G

      nmap -p 32764 10.80.80.2

      e questo è il risultato

      32764/tcp open unknown

      quindi la porta è aperta, ma tanto a me non importa visto che ora lo uso solo come switch e sono dietro ad un altro router con la porta chiusa

    • TopoRuggente

      Esistono Openwrt e Tomato.

      Non so come vadano, entrambi sono troppo grossi per il mio WRT54G.

  • Rocco 26

    ho un problema molto grosso mi serve una mano…

    ho un router fallato dalla NSA per lavoro ho la necessità di visionare e scaricare filmati duri per gente dura che dura volvevo apere se corro qualche rischio
    grazie

    • di certo a loro non interessa se scarichi roba illegale o materiale di altro genere, inoltre loro sono in america e non credo possono far nulla a te che sei italiano a meno che non scoprono che sei un potenziale terrorista per l’america.

      potrei sbagliarmi, ma a meno che cio che fai non mette in pericolo la sicurezza USA a loro non importa nulla

      • Marco

        Si ti sbagli perché per gli USA il business del controspionaggio e dello spionaggio industriale è 1000 volte più strategico e fondamentale rispetto al problema terrorismo che usa ben altri canali…

  • sonia

    domanda : ma se io uso la rete TOR questa porta con spioncino, come si comporta?

    • lamberto

      immagina quello che accade a lampedusa con i nordafricani e moltiplicano per 1000….

  • laura

    una precisazione roberto ma snowden e un ex dipendente del NSA della sede nel hawai e non della CIA,almeno da quello che ho capito:)

  • TopoRuggente

    In casa ho 4 router, quello connesso ad internet (fornito dal provider), il Tplink interno che fa il vero lavoro di router, e due linksys ribassati a estensore di segnale e hub ethernet.

    Solo quello ribassato a hub è affetto !!!!

    • ArchTux

      Da quello che avevo letto mi pareva di capire che la porta della backdoor è accessibile solo dalla rete locale e non dall’ indirizzo pubblico… puoi confermare?
      Perchè se così fosse non mi sembra un gran vantaggio per l’NSA…

  • Guest

    Anche D-link posso confermare..

    • Nzx

      e dicci, quali ricerche hai condotto?

      • Guest

        le stesse che conduci te per ritrovare il tuo vero padre :’3

        • Guest

          Rispetto

No more articles