Recientemente, se instalaron cámaras de seguridad con transmisión en vivo en toda la casa. Las cámaras están conectadas al enrutador y se cargan en los servidores de la empresa, y luego puedo ver las transmisiones en vivo en mi teléfono.
La persona que vino a instalar las cámaras cambió muchas de las configuraciones del enrutador (creo que hizo algún tipo de reinicio, porque mis puertos reenviados desaparecieron y la plantilla guardada también), y también cambió para que el nombre de usuario y la contraseña no estuvieran ya no es necesario: cualquier persona conectada a través de WiFi podría acceder a la página de administración simplemente visitándola 192.168.1.1(suena como una gran vulnerabilidad y, por lo tanto, increíblemente sospechosa).
Ahora, en medio de mi sesión de juego, noté que la configuración del enrutador cambió repentinamente, porque había habilitado UPnP después de que eliminaron mis puertos reenviados, pero ahora está deshabilitado nuevamente mientras intento jugar. Fui a la página del enrutador para ver qué habían hecho y veo que se requiere el nombre de usuario y la contraseña una vez más, pero los cambiaron, por lo que ahora ni siquiera puedo acceder a la página. Básicamente, secuestraron el enrutador.
Quiero saber qué están haciendo. Mi computadora está conectada al enrutador y tengo acceso físico a él. Sin embargo, no quiero simplemente restablecer físicamente el enrutador y cortar su acceso a menos que eso me permita ver lo que han hecho. En otras palabras: quiero pillarlos con las manos en la masa.
Además, cuando tienen acceso total al enrutador, ¿pueden espiar HTTP? HTTPS? ¿Existe quizás algún otro problema de seguridad en el que no haya pensado?
El enrutador es un Thomson Technicolor TG799vn v2.
Instalé un programa llamado Capsa y quizás sea la herramienta perfecta para este trabajo. Sin embargo, mi falta de conocimiento es demasiado grande para hacer un análisis adecuado.
Respuesta1
El enrutador es una computadora Linux, por lo que cualquier programador de Linux con acceso puede programarlo para que haga cualquier cosa que esté dentro de sus capacidades de hardware. Si también tienen acceso a la red, pueden cargar programas, descargar videos, reflejar el video de cualquier cámara en su servidor de Internet, básicamente cualquier cosa a la que el enrutador tenga acceso. Luego pueden cargar estos videos en cualquier lugar de Internet.
También pueden interceptar sus sesiones de Internet, registrar contraseñas y copiar correos electrónicos recibidos y enviados. Todo lo que pase a través del enrutador es un juego limpio.
No pueden ver el interior de su computadora. Entonces, si inicia sesión en una VPN a través del escritorio, no pueden interceptar su inicio de sesión, a menos que el programa de escritorio VPN envíe estúpidamente su identificación y contraseña sin cifrar. Desafortunadamente, existen exploits de intermediario HTTPS y su enrutador está justo en el medio.
Para saber exactamente cómo han realizado el tráfico en su enrutador, será necesario que un experto forense descargue el disco del sistema de su enrutador y compare su contenido con la imagen original.
Puede colocar un dispositivo de rastreo especializado entre el enrutador y su proveedor de Internet (ISP) para rastrear si el enrutador realiza conexiones no solicitadas de manera rutinaria a direcciones de Internet que usted no ha solicitado. Eso los pillaría con las manos en la masa y serviría como prueba legal. Desafortunadamente, no puedo recomendar ningún dispositivo de este tipo, pero buscando en Amazon seguramente encontrará uno.
Sin embargo, mientras tanto, usted corre el riesgo de comunicar esa información a un delincuente que la usará en su contra, cada vez que se conecte a cualquier sitio web que requiera ingresar un nombre de usuario y contraseña. Si ha utilizado la misma contraseña en otros sitios web o servicios, corre el riesgo de que ellos también obtengan acceso a ellos.
Realmente no creo que las personas que instalaron su enrutador tengan la culpa, o tal vez simplemente por dejar, sin saberlo, alguna puerta trasera abierta. Preferiría pensar que una red de crimen organizado utilizó algún exploit de día cero para entrar en su modelo de enrutador. Entonces, lo máximo que encontrará es que la comunicación no solicitada se dirigirá a algún lugar de Rusia o a algún otro lugar donde sean inmunes. su agencia policial local.
Mi recomendación es descargar e instalar el último firmware del enrutador de Thomson (o su ISP), que puede cerrar la puerta trasera del enrutador, proteger el enrutador desactivando todas las opciones de control de Internet y cambiando todas las contraseñas predeterminadas, y finalmente cambiar todas tus contraseñas en cualquier lugar.
En cualquier lugar significa contraseñas en el enrutador y en cualquier sitio web o servicio en el que haya iniciado sesión a través del enrutador, o cualquier contraseña que también utilice en otro lugar. Las posibilidades de que atrape a alguien con las manos en la masa y pueda hacer algo al respecto son mucho menores que las posibilidades de hacerle daño.
Como comenta a continuación el usuario Cybernard, su ordenador también corre el riesgo de formar parte de una botnet si han conseguido instalar algún malware en él. Ejecute pruebas de malware en su computadora usando múltiples productos antivirus y continúe haciéndolo en el futuro, ya que los delincuentes siempre van por delante de los buenos. La operación realmente segura es volver a formatear e instalar tanto la computadora como el enrutador al mismo tiempo, pero eso puede ser ir demasiado lejos.
Respuesta2
En realidad sólo hay dos posibilidades:
- El atacante tuvo acceso a la interfaz web del enrutador. Podría haberlo usado para:
- Crear reenvíos de puertos para exponer recursos/dispositivos internos
- (Quizás) robar tus credenciales de acceso a Internet
- Cambia el servidor DNS (el favorito de todos) para redirigirte a copias fraudulentas de sitios web
- (Poco probable) Utilice algún exploit para acceder a funciones no tan oficiales
- Cambie el firmware, lo que provocará
- El atacante cambió el firmware del enrutador, lo que le permitió:
- Acceso sin restricciones a su red interna
- Para interceptar todas y cada una de las comunicaciones de red e Internet.
- Para convertir permanentemente (incluso después de los restablecimientos de fábrica) su enrutador en una caja espía.
Si es lo último, el enrutador ya no está apto para su uso. Pero no lo tires, es una prueba.
Dicho esto, la segunda posibilidad es muy improbable porque requiere mucho esfuerzo. Es más bien una especie de “inteligencia extranjera”.
Debido a que los enrutadores de consumo generalmente no ofrecen funciones para interceptar el tráfico, la única forma en que podrían interceptar sus datos (sin reemplazar el firmware) es cambiando el servidor DNS. Por supuesto, esto sólo afecta a los dispositivos que adquieren su configuración DNS a través de DHCP.
¿Cómo sucedió en primer lugar?Debido a que el enrutador ya no requiere autenticación, es muy probable que se produzca un ataque de falsificación de solicitud entre sitios. Esto significa que visitó un sitio web fraudulento o comprometido que atacó automáticamente su enrutador.
tl; dr: No atraparás a un atacante porque no lo hay. Está todo automatizado.