Domanda:
Acquisto di un router "usato"
GWR
2019-02-19 23:23:47 UTC
view on stackexchange narkive permalink

Sto acquistando un "nuovo" router da una vendita a scatola aperta presso un'azienda che liquida i rendimenti dell'e-commerce. Pianifica di usarlo per una rete domestica al cottage.

Sono un po 'preoccupato che possa essere stato modificato da chi l'ha avuto l'ultima volta.

  1. Quali sono i principali rischi in questo scenario?
  2. Quali passaggi specifici è necessario eseguire prima e durante la configurazione di un nuovo router a cui qualcun altro potrebbe aver avuto accesso in passato?

Aggiorna : Il modello del dispositivo è un router TP-Link AC4500 (archer).

@R .. L'acquisto di beni usati non significa necessariamente solo risparmiare denaro
Le risposte riguardano principalmente il firmware.Potrebbe esserci un firmware personalizzato che potrebbe essere dannoso, ma può essere risolto eseguendo un ripristino delle impostazioni di fabbrica o installando il firmware più recente dal produttore.Ma come si può essere sicuri che non ci siano modifiche hardware?Non credo che ci voglia molto per leggere o modificare il traffico.Inoltre, se stai per scaricare e installare un nuovo firmware, devi prima collegarlo, non sei già compromesso allora?Non comprerei mai altro che router intatti.
@Kapten-N ovviamente nessuno ti obbliga a scaricare tale firmware utilizzando questo particolare interruttore.Si può farlo al lavoro (se la politica aziendale lo consente), internet cafè, wi-fi gratuito, telefono cellulare e così via.Il resto del tuo commento sembra una domanda separata.
@Mołot Devi essere ancora connesso ad esso e alimentarlo mentre esegui l'installazione.Chissà che il dispositivo lo faccia allora?Un dispositivo compromesso potrebbe infettare altri dispositivi a cui è collegato.
Assicurati solo di controllare l'allineamento e di acquistare tutti i nuovi bit.
A volte non puoi nemmeno fidarti dei nuovi router: [Le foto di una fabbrica di "upgrade" NSA mostrano che il router Cisco riceve l'impianto] (https://arstechnica.com/tech-policy/2014/05/photos-of-an-nsa-upgrade-factory-show-cisco-router-getting-implant /).
@user2390246 Nel caso di un router, quale altra * possibile * ragione potresti avere?Voglio dire, forse se volessi un modello specifico che non è più realizzato, ma sembra un caso d'uso molto estremo e insolito, e potresti ancora probabilmente trovarlo nuovo da qualche parte.
@only_pro Ridurre gli sprechi
@user2390246 Lol.Se lo dici tu...
Se sei preoccupato, non farlo.Potresti rischiare che qualcuno abbia accesso alla rete IT del tuo cottage.
Se ti vendo un router usato con uno zero rpi aggiunto all'interno, il ripristino delle impostazioni di fabbrica funziona ancora?;-P
Nove risposte:
ThoriumBR
2019-02-19 23:57:47 UTC
view on stackexchange narkive permalink

Risposta breve: ripristina le impostazioni di fabbrica, aggiorna il firmware e sei a posto.

Il rischio è molto basso, quasi zero. Il proprietario precedente potrebbe aver installato un firmware personalizzato o modificato la sua configurazione, ma un aggiornamento del firmware e un ripristino delle impostazioni di fabbrica sono sufficienti per prendersi cura di quasi tutte le modifiche.

Il rischio che il proprietario precedente abbia manomesso il router e il suo le modifiche possono sopravvivere anche a un aggiornamento del firmware e il ripristino delle impostazioni di fabbrica è trascurabile.

Quindi, non preoccuparti, a meno che tu non sia una persona di particolare interesse : lavori su cose top-secret o avere informazioni finanziarie privilegiate su una grande impresa. Ma poiché stai acquistando un router usato, scommetto che sei una persona comune e non saresti un bersaglio per quegli attacchi.

La maggior parte delle persone su stackoverflow / serverfault non sarebbero persone di interesse?Realizzano software che viene distribuito in molti luoghi o gestiscono sistemi per le aziende.Anche così, sono d'accordo con la tua risposta in quanto "il rischio è molto basso, rasenta lo zero", ma la categoria "persona di particolare interesse" è più ampia di quanto le persone spesso credono.È noto che le agenzie di intelligence prendono di mira in particolare gli amministratori di sistema.In qualità di consulente per la sicurezza che conosce le vulnerabilità prima che vengano risolte, posso immaginare quale interesse potrei attirare e, ragazzo, mi sento normale rispetto alle persone interessanti su questo sito.
The Evil Organization dovrebbe prevedere quando comprerò un router, prevedere quale marca / modello comprerò, dove comprerò, andarci prima, comprare tutti i router sul posto, mettere una backdoor su ognuno, restituiretutti, e aspetta che io acquisti il router compromesso.Non credo sia plausibile ...
Possibile, sì, ma così improbabile che può essere respinto.È più facile sfruttare uno zero-day sul router che attualmente ho ...
@ [.] (//) ThoriumBR Hai ragione.Non ho pensato a quanto lavoro sarebbe stato: anche se siamo generalmente obiettivi interessanti, questo non è scalabile.
Credimi, non sei così interessante.
Considera anche il rumore.Se la Evil Org non può controllare chi ottiene questi router hackerati, si ritroveranno con un'enorme quantità di rumore.Meglio rapirti e colpirti con una chiave inglese da $ 5 finché non spargi i fagioli, se gliene importa.
@Nelson intendi https://xkcd.com/538/?
Non sei così interessante.Anche The Evil Organization non si preoccupa, vuole solo l'accesso per hackerare persone casuali in massa, acquistare nuovi router e rivenderli fingendo di una società che liquida i rendimenti dell'e-commerce, quindi è plausibile
@Mehdi non hanno bisogno di acquistare router e rivenderli in seguito.In alcuni paesi The Evil Organization può costringere il produttore a mettere backdoor sui propri prodotti e non dirlo a nessuno.
* "La Malvagia Organizzazione dovrebbe prevedere quando comprerò un router, prevedere quale marca / modello comprerò, dove comprerò ..." * Molte persone non comprano online adesso?Intercettare un pacco dovrebbe essere un gioco da ragazzi per un'organizzazione malvagia, quindi non importa cosa compri o da dove.E potrebbero probabilmente fare qualcosa di nefasto per far sembrare che il tuo router esistente * sembri * rotto
Finché avvii l'acquisto (cioè, non sei sollecitato; il venditore non esercita * selettività * nel fatto che tu sia il cliente), allora questo probabilmente non è più rischioso che acquistarne uno dallo scaffale.Non è che il mercato IT delle materie prime sia un esempio di sicurezza per cominciare.
@Xen2050 se riescono a far sembrare il mio router rotto, significa che lo hanno già compromesso ... È come se avessi bisogno della password di root per installare un keylogger che verrà utilizzato per rubare la password di root ...
@Xen2050 Senza dubbio non sarai sorpreso di apprendere che questo già accade: https://www.theguardian.com/books/2014/may/12/glenn-greenwald-nsa-tampers-us-internet-routers-snowden
Stavo pensando più sulla falsariga di sabotare o bloccare il tuo accesso a Internet a monte da te, o un attacco sottile, quindi un passaggio ragionevole per la risoluzione dei problemi sarebbe provare un altro router, ma in realtà non hanno compromesso il tuo vecchio router.
@James_pic Interessante, anche in un rapporto del 2010.È quasi esattamente ciò di cui si preoccupa l'OP, tranne che invece di "router usato" è quasi "qualsiasi router di un altro paese"
@hft Potrei non essere così interessante io stesso, ma lavoro per persone che _sono_ così interessanti.
Molte persone parlano di una "organizzazione malvagia".Ma il fatto è, cosa succede se qualcuno vuole semplicemente usare un router come bot (DDOS) o usare la tua identità.
@DT in questo caso, ci sono innumerevoli modi più semplici ed economici per utilizzare un sistema come uno zombi o rubare un'identità.Il phishing è il modo più semplice, in grado di prendere di mira innumerevoli vittime, con poco sforzo.Disassemblare un router, modificarne l'hardware, tornare come openbox?Come si ridimensionerebbe?
schroeder
2019-02-19 23:30:09 UTC
view on stackexchange narkive permalink

Il rischio principale è che il firmware sia stato sostituito da una versione dannosa, che potrebbe consentire di intercettare tutto il traffico sulla rete. Password, iniezione di malware, reindirizzamento a siti dannosi e così via. È lo scenario peggiore, ma è facile per qualcuno.

Si desidera ripristinare le impostazioni di fabbrica del dispositivo per provare a cancellare tutto ciò che il proprietario precedente potrebbe essere stato impostato nel firmware di fabbrica.

Ma ancora più importante, vuoi vedere se il firmware è stato modificato controllando se il case è stato aperto o manomesso e per vedere se il sistema operativo del router è cambiato. Ma potrebbe non essere sufficiente. È facile simulare il sistema operativo e il sito Web su un router.

Qualcosa che potresti fare è sostituire il firmware con uno tuo. Ciò dovrebbe eliminare qualsiasi firmware dannoso sul dispositivo. Esistono firmware after-market open source che puoi utilizzare.

che ne dici di scaricare un nuovo firmware dal sito di supporto del router (piuttosto che da openWRT)?
Se ce n'è uno disponibile presso il produttore del router, dovrebbe essere quello preferito!
Certo, se disponibile.
Dato quanto sono comuni gli attacchi di iniezione di comando autenticato / esecuzione di codice (ad esempio tramite aggiornamento del firmware o solo una cattiva codifica) nei router, non sono sicuro che il controllo della manomissione hardware sia sufficiente.E se un utente malintenzionato ha manomesso il firmware, dovrebbe essere in grado di falsificare qualsiasi aggiornamento del firmware o inserire una backdoor in qualsiasi firmware appena installato.Per un aggiornamento tramite interfaccia web del router, questo dovrebbe essere banale, per un aggiornamento tramite interfaccia seriale o ripristino del firmware probabilmente un po 'più difficile (anche se non sono sicuro di quanto di più; se potessi aggiungere più informazioni su questo, quellosarebbe bello).
"... vuoi vedere se il firmware è stato modificato cercando di vedere se la custodia è stata aperta o manomessa ..." Sono curioso di sapere quali segni fisici vedrei nella custodia per sapere cheil firmware (software) era stato modificato in qualche modo.Ho aggiornato il firmware su un paio di router e ho persino installato DD-WRT: non ho mai aperto il case del router e, per quanto ne so, non ha lasciato alcuna prova fisica.Cosa mi sono perso?
@FreeMan è se stai utilizzando la funzione di aggiornamento del software, che, se compromessa, non è il percorso più sicuro.Se è stato effettuato l'accesso diretto all'hardware, dovrebbero essere presenti dei segnali.
Come possono essere esposte le password se sono crittografate con SSL nel client?
@Jean se il router funziona come mitm, può rompere SSL.
@Jean cerca intercettazione mtim ssl.Ci sono molti modi diversi per farlo e molte protezioni contro di esso.Non ho intenzione di delineare tutto qui.
bta
2019-02-20 01:55:45 UTC
view on stackexchange narkive permalink

Di gran lunga, il rischio principale nell'acquisto di un router "a scatola aperta" è che il router presenti alcuni danni sottili che il produttore non ha rilevato ma che alla fine ridurranno la durata del dispositivo. Questo è uno dei motivi per cui spesso hanno garanzie ridotte.

Dal punto di vista della sicurezza, il rischio è trascurabile se si ripristina le impostazioni di fabbrica e si esegue nuovamente il flash del firmware. Ciò dovrebbe riscrivere tutto nella memoria programmabile e cancellare qualsiasi cosa dannosa che un utente precedente potrebbe aver caricato. In effetti, questa è una best practice anche per i nuovi router. Ho acquistato nuovi router più volte solo per scoprire che erano ancora programmati per quella che era chiaramente una rete di prova in fabbrica.

Il malware persistente è una cosa reale, ma non è qualcosa di cui preoccuparsi troppo . Dopo tutto, un router "nuovo di zecca" avrebbe potuto avere un malware persistente caricato in fabbrica, quindi questo non è un rischio che puoi mitigare completamente.

Nobody
2019-02-20 16:56:44 UTC
view on stackexchange narkive permalink

In breve: se ti interessano davvero cose del genere, vai in un negozio al dettaglio e acquista un nuovo router disponibile. Il rischio è piccolo, ma non puoi mitigarlo facilmente.

Immagino che un creep possa acquistare molti router, restituirli e poi spiare le persone che li hanno acquistati solo per il gusto di farlo. O naturalmente qualche organizzazione malvagia. Questo rischio è piccolo, certo.

Ma vorrei dubitare delle affermazioni delle altre risposte sul "solo" ripristino del router. Certo, eseguire il reflash del firmware dovrebbe cancellare praticamente ogni cosa negativa che potrebbe esserci. Ma come lo faresti? Non puoi usare l'interfaccia web (questa sarebbe la prima cosa che qualcuno disabiliterebbe / falsificherà) e un pulsante fisico probabilmente invia anche un segnale al firmware corrente , che dovrebbe resettarsi. Il trasferimento seriale è gestito anche dal firmware corrente che mi aspetterei.

A meno che tu non abbia intenzione di eseguire il reflash del firmware utilizzando un'interfaccia JTAG che potrebbe o non potrebbe essere presente (o qualcosa di equivalente), allora sono abbastanza sicuro resettare non è molto meglio che fidarsi che il dispositivo sia praticamente a posto (ovviamente dovresti resettarlo comunque per eliminare le impostazioni dei precedenti proprietari).

E non so abbastanza su JTAG per valutarne la sicurezza, l'unica cosa di cui sono sicuro è che è meno banale da falsificare rispetto all'interfaccia / pulsante web.

"e un pulsante fisico probabilmente invia anche un segnale al firmware corrente" - di solito c'è un pulsante di ripristino per entrare in modalità boot loader e caricare il nuovo fw.Se dopo tale preinstallazione la GUI mostra il nuovo sistema, si può supporre che sia aggiornato.È quindi possibile effettuare una seconda reinstallazione.Sarà troppo difficile preparare un firmware speciale che possa patchare qualsiasi possibile firmware alternativo al momento del flash e renderlo sia in esecuzione che pronto per riparare / crackare il prossimo aggiornamento.
Sjoerd
2019-02-20 15:49:27 UTC
view on stackexchange narkive permalink

Quali sono i rischi principali in questo scenario?

So che questo non è lo scopo della tua domanda, ma secondo me il rischio principale non è per te, ma al precedente proprietario. È probabile che le credenziali del precedente proprietario siano ancora presenti sul dispositivo. In questo modo puoi accedere all'account del proprietario precedente. I dispositivi rivenduti spesso non vengono cancellati affatto, lasciando informazioni sensibili su di essi.

Intendi login e password del sito web?Cookie salvati?Come e dove li salvano i router?
Intendo account dyndns, SMTP e ISP che sono stati configurati in precedenza nell'interfaccia web del router.
I segreti VPN IPSEC, o le conoscenze di progettazione sul sito in cui il dispositivo era precedentemente distribuito, funzionano come intervalli IP e gateway e dove vengono indirizzati timeserver o stampanti o quali VLAN potrebbero essere configurate in loco.
jeronino
2019-02-20 19:53:40 UTC
view on stackexchange narkive permalink

Se un utente malintenzionato ha modificato il firmware in un modo moderatamente sofisticato, l'unico modo per essere completamente sicuri di cancellare quel firmware è aggiornare tramite jtag o scrittura flash diretta. Se ti affidi all'aggiornamento del firmware basato su software, questo è sotto il controllo del firmware compromesso. Ci sono tutorial online su come farlo se rientra nel tuo modello di minaccia. Invece di aggiornare, potresti semplicemente estrarre il firmware usando jtag / spi o qualsiasi altra cosa e confrontarlo con la versione del firmware che viene mostrata come installata.

Ovviamente, con la modifica dell'hardware, potrebbe essere ancora più insidioso cambiamenti in atto che potrebbero sopravvivere, ma a quel punto stai entrando nel regno dei TLA.

Criggie
2019-02-22 09:39:39 UTC
view on stackexchange narkive permalink

Tieni presente che alcuni dispositivi aziendali sono configurati per disabilitare il ripristino della password. Questo non è raro per i CPE forniti da Telco, come i router Cisco. Potresti acquistare un fermacarte o un donatore di parti.

Tieni d'occhio gli adesivi che indicano che si tratta di un dispositivo del sito del cliente fornito da big-local-telco, e forse evita quelle inserzioni.

Yury Schkatula
2019-02-24 02:50:43 UTC
view on stackexchange narkive permalink

Come posso capire, il modello di cui parliamo è un po 'non costoso. Quindi, è meglio preoccuparsi delle vulnerabilità esistenti nel firmware predefinito di fabbrica (password hardcoded, telnet aperto su porta personalizzata ecc.). Quindi, se possibile, aggiorna il firmware a qualcosa come DD-WRT o qualsiasi altra soluzione open source.

Concordato.Poiché la maggior parte dei router non riceve aggiornamenti quando vengono scoperti i loro CVE o le backdoor di fabbrica, qualsiasi router più vecchio è probabilmente pericoloso anche se conservato in una scatola sigillata.
David Refoua
2019-02-24 11:08:32 UTC
view on stackexchange narkive permalink

Non che sia una cosa comune, ma aggiungerò solo un'altra risposta che sono sorpreso di vedere nessun altro menzionato correttamente.

Devi aprire il router prima di usarlo.

Se vedi qualcosa di simile ...

... allora è probabile che qualcuno possa facilmente sniffare i tuoi pacchetti Ethernet con uno di questi:

Quale non è una buona cosa. Ciò significa che tutto il traffico non protetto sarà visibile alla terza parte. Potrebbero facilmente fiutare anche i pacchetti WiFi.

Se vedi qualsiasi cablaggio strano nascosto all'interno del pacchetto del router, suggerisco di evitare di usarlo. Farai meglio a buttarlo subito.

Non sto dicendo che sia una cosa comune da vedere, ma con un facile controllo come questo, puoi evitare di essere spiato. Non sai mai da dove proviene il router.

Sarebbe abbastanza facile compromettere un router senza un impianto hardware.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...