En la newsletter de ciberseguridad de ayer (ya sabe, solo son 3 dólares al mes) comentaba el surgimiento de Leep, una nueva botnet que nos traía Papá Noel estas Navidades, y que seguramente sea la primera de unas cuantas que poblarán los mundos digitales en años venideros.
La idea no era para nada nueva. De Mirai hablamos largo y tendido recientemente, y el funcionamiento, al menos en esa fase inicial, es semejante: infectar a todo dispositivo desprotegido al alcance para usarlo de pasarela al ataque propiamente dicho, que en caso de estos dos últimos es dejar una red específica colapsada bajo demanda (servicio de DDoS contratable por agencias de inteligencia, gobiernos, compañías y el resto de interesados).
No únicamente de DDoS vive la industria del cibercrimen
Fue enviarlo a los mecenas y encontrarme con Switcher (EN), un troyano que por ahora ha sido localizado en dos aplicaciones Android (una que imitaba ser el buscador chino Baidu, y otra que aseguraba poder bypasear la contraseña de cualquier WiFi), cuyo objetivo es distinto (aquí se ataca directamente a la red) pero que utiliza para ello una estrategia parecida.
Alguien instala esa aplicación fail, y Switcher informa a su centro de control. Desde el CoC se identifica con una ID la red objetivo, y se lanzan una serie de ataques para bypasear las defensas del router y tomar control del mismo.
Para ello utiliza diferentes librerías con credenciales de administrador, y una vez dentro, modifica las direcciones de los servidores DNS, tomando la precaución de incluir como secundaria la de Google (8.8.8.8) por si en algún momento su servidor está sobrecargado o caído, y con la idea de que la víctima no se de cuenta de nada.
¿Qué pasa entonces? Como ya explicamos al hilo del tutorial para defendernos de la censura gubernamental, las DNS no dejan de ser un listado de direcciones que asocian un nombre de dominio (por ejemplo, pabloyglesias.com) a una dirección IP específica donde en teoría está dicho servicio (una dirección IPV4 o IPV6 que apunta al servidor donde está alojada esta web). Esto se hace porque sinceramente nos es mucho más sencillo tener que acordarnos del nombre de un dominio que de un grupo de números para entrar en nuestras páginas o acceder a los servicios que habitualmente utilizamos.
Estas “agendas digitales” están generalmente alojadas en una dirección IP específica, que por defecto tiende a ser la que nuestro operador de servicio pone a nuestra disposición. Pero podría ser cualquier otro fichero semejante, y que por supuesto, podría tener fines maliciosos como es el caso.
Cuando Switcher cambia nuestro DNS por el suyo, realmente lo que está consiguiendo es que a la hora de entrar por ejemplo en esta web, en vez de llamar a mi servidor llame a otro servidor (en este caso, fraudulento) que previsiblemente mostraría una web semejante, pero bajo el control de los criminales. Ahora cambie la llamada a pabloyglesias.com por la página de su banco o la de Facebook y entenderá donde está el negocio…
Agregando como secundaria la de Google, se asegura que para todas esas webs de las cuales no tiene página fail, el ordenador preguntará a Google y Google le dará la dirección adecuada. Pero para las que tiene fichadas (entidades bancarias, acceso a correo y servicios web masivos) ya se encargarán de que cualquier intento de acceso se salde con el robo de credenciales oportuno.
Le cuento todo esto porque en los tres ataques anteriormente mencionados, la seguridad del router es crítica. Si Leep o Mirai es incapaz de hacerse con el control del router, no puede utilizarlo como dispositivo zombie para realizar sus DDoS. Si Switcher no consigue hacerse con el control del router, no puede comprometer los DNS de esa red (envenenamiento de DNS), y por tanto, no podemos ser víctima de sus campañas de fraude.
Y esto solo es la punta del iceberg. El router, como cualquier otro dispositivo inteligente (sí, la mayoría de routers que tenemos por casa cuentan con un sistema operativo propio) permanentemente conectado a Internet, es hoy en día objetivo principal de la industria del crimen. Para muy diversos usos, de hecho.
El router de nuestra casa, y en definitiva, el resto de routers a los que habitualmente nos conectamos (el de casa de nuestros amigos y familiares, el de la oficina, el de esa cafetería a la que va todas las mañanas, el del transporte público…) son la puerta de acceso principal a nuestros dispositivos. Y al igual que en su casa no se dejaría la puerta abierta, no debería hacer lo propio con la digital.
Por eso me he animado a dedicarle un artículo de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital, para explicarle los pasos que hay que seguir para minimizar el impacto de troyanos y botnets dirigidas a atacar nuestros routers.
8 tips para proteger nuestro router, puerta de entrada al resto de dispositivos
Afortunadamente, hay muchos elementos que están bajo nuestro control, y para colmo nos va a llevar configurarlos apenas cinco minutos.
Bastará con teclear el navegador de un dispositivo conectado a esa red 192.168.0.0 ó 192.168.0.1 ó 192.168.1.0 ó 192.168.1.1 (cada router es un mundo…) para entrar en su panel de administración, desde donde parametrizaremos todos los siguientes puntos:
- Cambiar el usuario y contraseña de acceso a la página de administración que viene por defecto: Ya no debería hacer falta decirlo, pero el router, como esa cámara IP o ese servidor multimedia que tiene en casa vienen de fábrica con unos credenciales específicos. Credenciales que son conocidos públicamente (una búsqueda rápida en Google te dice que usuario y qué contraseña tiene cada modelo de router por defecto), y es lo primero que prueba cualquier ataque automatizado que llegue hasta nuestro router.
- Cambiar la contraseña de acceso a la WiFi: Al igual que pasa con las credenciales de acceso a la página de administración, cada router suele contar con una serie de contraseñas por defecto para acceder a la WiFi. Cambiándolas por cualquier otra evitamos que esas aplicaciones que supuestamente “adivinan” la contraseña (ojito, que la mayoría son fail) hagan de las suyas.
- Deshabilitar UPnP: Universal Plug and Play es una de esas características molonas que comprometen la seguridad de la mayoría de routers solo por estar activadas. Gracias a UPnP, periféricos como impresoras y puntos de acceso WiFi pueden conectarse automáticamente sin meter las credenciales de acceso. Y quien dice una impresora, dice una botnet como Mirai o un troyano como Switcher. Si no lo va a usar, desactívelo.
- Deshabilitar WPS: WPS es un protocolo que permite bypasear la contraseña mediante la inclusión de un código de cuatro dígitos. Eso significa que en efecto conectar un nuevo dispositivo resulta más cómodo. Y también que le estamos sirviendo en bandeja de plata nuestra conexión a cualquier otro interesado. Siempre utilizar contraseña WPA2 y superior, para que al menos los ataques por fuerza bruta no den resultados.
- DLNA y acceso (o gestión) remoto: Según el router que tengamos, quizás cuente con la capacidad de crear un servidor privado y/o de acceder a recursos del router fuera de la red. Piense un momento si de verdad va a dar uso a alguno de estos servicios alguna vez en su vida (¿de verdad alguien se conecta a su router desde fuera de casa para algo?), y como la respuesta va a ser negativa, busque alguna mención a alguno de estos servicios en la página de administración del router y desactívela.
- Ojo con las redes de invitados y redes de 2,4Ghz: Los routers modernos suelen ofrecer diferentes redes para facilitarnos la vida. Aunque la de 5Ghz es la que a priori se va a quedar, seguramente tenga por casa dispositivos que aún se conectan a las redes antiguas (2,4Ghz) e incluso puede que tenga activa una red auxiliar para invitados (para no tener que compartir la contraseña de la red principal). Cambiar la contraseña solo en la de 5Ghz no es suficiente, teniendo que hacer lo propio en la de 2,4 y decidir si dejamos activa la de invitados o solo la utilizamos cuando de verdad vayamos a darle uso, ya que cada una de estas son puertas de acceso al router desde fuera.
- Mantener el router actualizado: El router es a efectos prácticos un ordenador, y como cualquier otro dispositivo es necesario mantenerlo actualizado, habida cuenta de que continuamente salen vulnerabilidades nuevas que afectan a uno u otro modelo. Si hay opción para ello, dejar que el router se actualice automáticamente cada vez que haya una nueva versión. Y si no, no está de más echarle un ojo periódicamente a la página del fabricante por si ha liberado alguna actualización.
- El debate sobre el nombre de nuestra conexión WiFi: El nombre que aparecerá cuando un dispositivo quiere conectarse a las WiFis cercanas es otro elemento que podemos modificar, y que no pocos profesionales del sector animan a hacer. A nivel puramente de seguridad no hay diferencia entre dejar el de por defecto y cambiar a otro, ya que por un lado, mientras la contraseña haya sido cambiada, esos automatismos que antes mencionábamos no van a funcionar aunque el script identifique el tipo de router que tenemos gracias al nombre de su conexión, pero por otro, y según el nombre que le pongamos, podríamos estar llamando más la atención, incitando a que terceros intenten entrar. Por el mismo motivo, ocultar la red solo sirve para que complicar las cosas a aquellos dispositivos que queremos conectar por primera vez. Una SSID oculta sigue apareciendo en el tracking que van a utilizar aquellos troyanos y botnets interesados en acceder a nuestro router vía WiFi, por lo que realmente no minimiza el riesgo. Pero no seré yo quien les lleve la contraria a los expertos :).
En serio. En el tiempo que le ha llevado leer esta guía todo esto ya está solventado. Solo se trata de entrar en la página de administración del router y tocar cuatro cosas.
Y realizando estos cambios minimizamos hasta el absurdo la posibilidad de que el día de mañana nos llevemos una sorpresa desagradable. ¿Va a jugársela por apenas 5 minutos?
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Una pregunta Pablo, le paso a un amigo hace unos dias, se le iba la conexion de internet, ya que esta con wifi, tenia como microcortes en su conexion.. Llamo a la empresa que le ofrecen los servicios de internet y, les comentaba el operador, que es porque en su zona, hay muchas conexiones wifi, y por eso existian esos microcortes, ¿Que hay de cierto en eso?
Jajaja, si yo te contara… Precisamente estoy ahora mismo conectado en una biblioteca pública por VPN debido a un problema semejante. Llevo cosa de un mes con microcortes y no encontramos las razones. Para colmo, desde ayer a la tarde, sin acceso a la red. En un rato se supone que me envían un técnico, pero he venido aquí a trabajar esta mañana.
Y las razones pueden ser varias. Si es problema de la línea (como parece que le dicen a tu amigo), debería afectarle también a vecinos con el mismo operador (o red). En mi caso la línea está bien, y el problema viene dado por algo que ocurre en los últimos metros. Me han cambiado el router, he cambiado los cables, hemos desactivado IPV6 y nada. Si hoy no lo solucionan, ya he mirado otra operadora para cambiarme. Pero te recalco que mi caso es verdaderamente raro. Lo más normal sea que en efecto, por la razón que sea, la línea que le llega a casa de tu amigo tiene microcortes.
Por cierto, que pruebe a desconectar el teléfono. A veces, sobre todo con redes ADSL, puede hacer interferencia. Y por descartar problemas, que se meta en la configuración del router y seleccione un canal específico para el WIFI (por defecto viene en automático). Son dos pruebas rápidas que a veces solucionan el problema. Pero si es la línea, o lo soluciona el operador o poco podemos hacer a excepción de meter presión y/o cambiarnos de compañía.
En mi area, realmente solo si vea un carro con una antena encima, entonces me preocupare. Pero en mi area como no hay personas tan expertas y que se creen el programa que se les ponga enfrente. Tengo oculto mi nombre, otra contraseña tanto de administrador como de wifi, y quitado todos los dispositivos que en su momento conecte con anterioridad y dejado solo de la familia y dos conocidos que hacen visita una vez al año pero que no entienden de estas cosas.
Si, lei sobre Leep el año pasado y dije “2017 allá te vamos”.
Pues bien hecho. Te habrá llevado a lo sumo 5 minutos, y con eso ya evitas la mayoría de ataques habituales.
En realidad y posiblemente solo los datos indicados aca si pudieron dar 5 minutos, pero he tardado en ingresar al admin por un simbolo que cuesta un poco que el teclado lo marque. Aparte hecharle un ojo a todo daba para largo, he visto que mi router puede solicitar cambiar dns de la compañia local a los de DYN y otras empresas, pero ya con lo que ha pasado me dije, no gracias estoy bien como estoy.
Jajaja, eso ya es para un nivel extra. Con los cambios que comenté por aquí, prácticamente estás fuera de ataques genéricos. Y contra algo dirigido (muchísimo menos probable) no hay manera de defenderse 100% efectiva, así que…